Une société Allemande spécialisée dans la dispense de services de formation, assurait la promotion de ses services au moyen d’un page hébergée sur le site Facebook.
Elle bénéficiait, en sa qualité d’administrateur de la page, d’outils mis à disposition par le réseau social et pouvait ainsi obtenir des données statistiques anonymes sur les visiteurs de sa page, données collectées au moyen de cookies.
L’autorité de protection des données allemande a ordonné à la société de procéder à la fermeture de la page dès lorsqu’elle n’avait pas, au même titre que la société Facebook, informé les utilisateurs de la collecte et du traitement de leurs données personnelles opérées par Facebook.
Saisie d’une question préjudicielle, la Cour de justice de l’union européenne a précisé que l’auteur d’une page fan hébergée sur un réseau social a la qualité de responsable de traitement de données personnelles.
La Cour se base sur la définition de responsable de traitement de données personnelles issue de l’ancienne directive 95/46/CE du 24 octobre 1995, à savoir la personne qui « détermine les finalités et les moyens du traitement », définition reprise à l’identique par le règlement européen sur la protection des données (RGPD) applicable depuis le 25 mai 2018.
Si elle considère que Facebook est le principal responsable du traitement des données, elle souligne que l’auteur de la page fan contribue, de son côté, à déterminer les finalités et les moyens du traitement dès lors qu’il exerce une action de paramétrage en fonction de son public cible et des objectifs assignés à son activité, de sorte qu’il a l’obligation de respecter les règles relatives à ces données.
La Cour précise qu’il s’agit d’une responsabilité conjointe avec Facebook, qui n’implique pas nécessairement une responsabilité équivalente des opérateurs. Ainsi, la responsabilité de l’auteur de la page pourra varier en fonction des circonstances.
Sans nul doute, cette décision a vocation à s’appliquer sous l’empire de la nouvelle règlementation issue du RGPD.