
Sur la planche de la Cour de justice de l’Union européenne, une affaire risque de susciter un grand chamboulement dans les pratiques des sites Internet. Elle vise à déterminer qui est responsable de traitement des données personnelles lors de l’introduction d’un bouton « J’aime » en bas d’une publication en ligne.
La détermination du responsable de traitement n’est pas toujours aisée. Cette mission achevée permet de savoir qui doit supporter les obligations légales, en particulier au regard du règlement général sur la protection des données personnelles : devoir d’information, droits des personnes physiques, obligations de sécurisation, responsabilité devant les autorités de contrôle ou les juridictions… Les intérêts sont multiples et lourds de conséquences.
Mercredi prochain, la Cour de justice de l’Union européenne (CJUE) entendra les plaidoiries autour de l’affaire « Fashion ID ». Ce site de e-commerce allemand, spécialisé dans la vente de vêtements, a intégré un bouton « J’aime » sous ses produits. Un moyen pratique pour faciliter le partage social sur Facebook, garantir sa visibilité et donc l’arrivée de nouveaux clients potentiels.
Rien de nouveau, ce module social étant très repandu.
En octobre dernier, comme l’avait résumé l’avocat général Yves Bot en marge d’un autre litige, une association de consommateurs a néanmoins reproché à cet e-commerçant d’avoir permis de ce fait à Facebook « d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel ».
Le widget Facebook : un choix du site, sans maîtrise sur les données
Lorsque des utilisateurs consultent le site enrichi d’un bouton social sous forme de widget, des données sont en effet transmises à Facebook, automatiquement : « l’adresse IP, les données techniques du navigateur ainsi que des informations sur le contenu souhaité », selon le résumé dressé par les services de la CJUE.
L’e-commerçant n’a pas de maitrise sur ces informations. Néanmoins, l’association de consommateur considère que ces solutions devraient être interdites : les utilisateurs ne donnent pas leur consentement et ne sont même pas informés des finalités ou de l’utilisation de ces données envoyées à Facebook.
Saisies, les juridictions allemandes ont transmis à la CJUE une batterie de questions.(...)
Une décision qui vaudra pour le RGPD
Le dossier concerne l’ancienne législation européenne, la directive du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données personnelles. Les réponses de la cour vaudront néanmoins pour le nouveau règlement européen, mis en application depuis le 25 mai. Celui-ci reprend en effet ces principes de base en ajoutant de nouveaux droits et obligations (notre analyse ligne par ligne des 99 articles).(...)
Précisons pour notre part que Next INpact n’utilise pas les plug-ins sociaux fournis clef en main par Facebook (ou Twitter et autres solutions similaires). Nous avons opté pour l’inclusion de simples liens, sans tracker. Preuve qu’il est possible pour les sites de s’assurer d’une certaine visibilité sociale, tout en respectant les droits de chacun.