Un arrêt de la Cour de justice de l'Union européenne en date du 5 juin dernier vient illustrer le poids non négligeable des responsabilités en matière de données personnelles sur internet. La solution dégagée par la Cour, bien que prise sous l'empire de la défunte directive 95/46/CE sur la protection des données, vaut bien évidemment et plus encore sous l'empire du RGPD entré en application le 25 mai dernier.
Ainsi, selon la Cour, "L’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs".
La Cour rappelle que techniquement l'administrateur d'une page de fans (ajoutons aussi celui d'un groupe) "participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs". En conséquence, "cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement".
Une responsabilité à ne pas prendre à la légère
Cette solution très logique pour qui connaît la réglementation sur la protection des données personnelles, tant ancienne (directive de 1995 et en France, loi Informatique, fichiers et libertés de 1978 modifiée) que nouvelle (le RGPD et ses à-côtés), rappelle brutalement quelles sont les responsabilités des gestionnaires et autres animateurs de pages Facebook : dès l'instant qu'il dispose des outils de paramétrage des inscrits et visiteurs sur sa page, l'administrateur devient "responsable conjoint du traitement de ces données" à égalité de responsabilité avec Facebook.
La totalité du RGPD à prendre en compte, y compris les sanctions encourues
En clair, il faut comprendre que le "responsable conjoint du traitement" est avant tout responsable. C'est-à-dire que c'est sur lui que pèsent toutes les obligations légales du RGPD et, en cas de non respect de celles-ci, de toutes les sanctions administratives et pénales prévues par le RGPD (10 à 20 millions d'euros d'amende administrative ou 2 à 4% du chiffre d'affaires mondial de l'entreprise) et par l'arsenal pénal de chaque État membre, en France, les articles 226-16 à 24 du Code pénal (5 ans de prison et 300 000 euros d'amende pénale).
La notion de responsabilité conjointe
Ce statut de responsable conjoint du traitement a été spécialement aménagé par le RGPD : l'article 26 en définit les contours. C'est donc formellement une nouveauté, mais l'esprit d'un partage de responsabilités, dès l'instant que la définition des règles de traitement des données est elle aussi partagée, découle de la simple logique. C'est la raison pour laquelle la CJUE a pu retenir cette responsabilité conjointe en l'absence de règle spécifique.
En savoir plus
Voir le communiqué de presse de la CJUE en français sur le site Curia (pdf 226 ko) :
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081fr.pdf
Voir l'arrêt lui-même dans sa version française sur EUR-Lex :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62016CJ0210
Toutes nos actualités sur le RGPD.