Le responsable de traitement de données personnelles est la personne qui « détermine les finalités et les moyens du traitement des données ». Dans ce cas, un régime spécifique de responsabilités est prévu par le Règlement Général sur la Protection des Données. Cette détermination peut se faire pour la personne seule ou conjointement avec un tiers.
La qualification juridique des auteurs du traitement, laquelle repose sur des éléments opérationnels et factuels, constitue une étape préalable indispensable puisqu’elle détermine les obligations qui en découlent. Concrètement, la question de la qualification de responsable conjoint de traitement est moins aisée que celle de responsable de traitement ou de sous-traitant de traitement.
C’est sur cette qualification que la CJUE s’est prononcée sur renvoi préjudiciel, par un arrêt du 29 juillet 2019.
Au cas présent, une société de vente en ligne (Fashion ID) avait inséré sur son site internet le module social « j’aime » du réseau social Facebook. Ce module permettait la collecte de données personnelles (notamment l’adresse IP) de quiconque consultait le site de Fashion ID, ces données étant automatiquement transmises à Facebook, sans que le visiteur n’en soit conscient et indépendamment du fait qu’il soit membre du réseau social ou qu’il ait cliqué sur le bouton « j’aime ».
Dans ce contexte, le tribunal Allemand a demandé à la CJUE si, la personne insérant sur son site un module social de type « j’aime » de Facebook permettant au navigateur de l’utilisateur de transmettre au tiers des données personnelles le concernant, est responsable du traitement, dans la mesure où elle ne peut pas déterminer les données que le navigateur transmet ni ce que le fournisseur externe fait de ces données, en particulier s’il décide de les stocker ou de les exploiter et ne peut avoir aucune influence sur ce processus de traitement des données.
La CJUE considère que, par la transmission à Facebook des données, la société gestionnaire du site pouvait déterminer, conjointement avec Facebook, les moyens et les finalités du traitement, dès lors qu’en l’absence d’insertion du module par ses soins, Facebook ne se verrait pas transférer de telles données. Elle relève par ailleurs que s’agissant des finalités, « l’insertion par Fashion ID du bouton « j’aime » de Facebook sur son site lui permet d’optimiser la publicité pour ses produits en les rendant plus visibles sur le réseau social ».
En revanche, la société n’est pas considérée comme responsable des opérations de traitement de données effectuées par Facebook postérieurement à leur transmission à cette dernière, sa responsabilité étant limitée aux opérations dont elle détermine effectivement les finalités.
Il convient donc, pour les gestionnaires de sites de E-commerce souhaitant intégrer de tels modules de réseaux sociaux, en tant que responsable de traitement, d’encadrer juridiquement les obligations d’information et de recueil du consentement de l’internaute concerné par la collecte.