Document public
Titre : | Arrêt relatif au fait que l'administrateur d'une page fan sur un réseau social est conjointement responsable avec ce dernier du traitement des données des visiteurs de sa page : Unabhängiges Landeszentrum für Datenschutz Schleswig (Allemagne) |
Auteurs : | Cour de justice de l'Union européenne (CJUE), Auteur |
Type de document : | Jurisprudences |
Année de publication : | 05/06/2018 |
Numéro de décision ou d'affaire : | C-210/16 |
Langues: | Français |
Mots-clés : |
[Géographie] Allemagne [Mots-clés] Internet [Mots-clés] Données personnelles [Mots-clés] Informatique et libertés [Mots-clés] Technologies du numérique |
Mots-clés: | homologue de CNIL |
Résumé : |
Une société allemande spécialisée dans le domaine de l'éducation offre ses service de formation au moyen notamment d'une page fan hébergée par un réseau social.
Les administrateurs d'une telle page peuvent obtenir des données statistiques anonymes sur leurs visiteurs à l'aide d'une fonctionnalité proposée gratuitement par le réseau social selon des conditions d'utilisation non modifiables. Ces données sont collectées grâce à des fichiers témoins ("cookies") comptant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par le réseau social sur le disque dur de l'ordinateur ou sur tout autre support des visiteurs de la page fan. Le code utilisateur, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur le réseau social est collecté et traité au moment de l'ouverture des pages fan. Chargée de contrôler l'application des dispositions adaptées par l'Allemagne en application de la directive européenne 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, l'autorité régionale indépendante de protection des données a ordonné à la société de formation de désactiver sa page fan. En effet, selon cette autorité, ni la société, ni le réseau social n'ont informé les visiteurs de la page fan que le réseau social collectait, à l'aide de cookies, des informations à caractère personnel les concernant et qu'ils traitaient ensuite ces informations. La CJUE considère que le réseau social doit être regardé comme responsable du traitement des données à caractère personnel des utilisateurs de son réseau ainsi que des personnes ayant visité les pages fan hébergées sur ce réseau. Ensuite, la Cour constate qu'un administrateur tel que la société de formation doit être considéré comme étant, au sein de l'Union, conjointement responsable avec le réseau social du traitement des données en question. En effet, un tel administrateur participe, par son action de paramétrage (en fonction, notamment, de son audience cible ainsi que des objectifs de gestion ou de promotion de ses propres activités), à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. En outre, la Cour considère que l'autorité régionale indépendante de protection des données est compétente, aux fins d'assurer le respect sur le territoire national des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, non seulement à l'égard de la société de formation ayant la page fan mais également à l'égard de la filiale nationale du réseau social, l'ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales. Enfin, la CJUE précise que lorsque cette autorité de contrôle d'un État membre entend exercer à l'égard d'un organisme établi sur son territoire (en l'espèce, la société de formation), les pouvoirs d'intervention prévus par la directive en raison d'atteintes aux règles relatives à la protection des données, commises par un tiers responsable de ces données ayant son siège dans un autre État membre (filiale du réseau social à l'étranger), cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à son homologue de cet État membre, la légalité d'un tel traitement de données. Elle peut exercer ses pouvoirs d'intervention à l'égard de l’organisme sur son territoire sans préalablement appeler l'autorité de contrôle de l'autre État membre à intervenir. |
ECLI : | EU:C:2018:388 |
Thématique Bulletin documentaire PDF : | Technologies du numérique |
En ligne : | http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=210545 |