CJUE 29 juillet 2019, affaire Fashion ID, n° C‑40/17

Le gestionnaire d’un site Internet, (ici Fashion ID, entreprise de vente de vêtements de mode en ligne) a inséré sur son site Internet le module « J’aime » du réseau social Facebook, permettant au navigateur du visiteur de ce site de transférer à Facebook des données personnelles du visiteur (que ce dernier ait ou non cliqué sur le bouton « J’aime » de Facebook).

Selon la CJUE, le gestionnaire du site est considéré comme étant responsable conjoint du traitement avec Facebook.

Cette responsabilité est cependant limitée aux opérations en question (« dont il détermine effectivement les finalités et les moyens »), à savoir la collecte et la communication par transmission des données en cause (et non les traitements ultérieurs de Facebook).

De plus, si le traitement repose sur le consentement, c’est au gestionnaire du site de l’obtenir.

Plus généralement, l’obligation d’information prévue par la règlementation pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur les opérations de collecte et la communication par transmission à Facebook des données en cause (opérations « dont il détermine les finalités et les moyens »).

À cette occasion, la cour rappelle que la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de cette disposition, ne présuppose pas que chacun d’eux ait accès aux données. (Voir, en ce sens, l’arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, qui avait considéré que l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs de la page).

Cet article fait partie d’un panorama des décisions récentes de la Cour de Justice de l’Union Européenne, en matière de marketing et de cookies ainsi qu’en matière de droit au déréférencement, fondé sur la protection des données personnelles ou sur la réglementation sur le commerce électronique.