Il ressort de l’article 2, sous d), de la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, que doit être considéré comme un responsable de traitement de données à caractère personnel « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel […] ».
Par un arrêt du 29 juillet 2019, la Cour de justice de l’Union européenne (CJUE) est venue davantage préciser le champ de cette définition.
Une association allemande de défense des consommateurs nommée Verbraucherzentrale NRW reprochait à une société de e-commerce intervenant dans la vente de vêtements, FASHION ID, de transmettre des données personnelles de ses internautes à la société FACEBOOK sans leur consentement et sans information préalable, via la présence de l’onglet « j’aime » sur son site internet, sous ses produits.
Elle a donc assigné ladite société en justice aux fins d’obtenir que cette pratique cesse, avec succès.
Appel a donc été formé par FASHION ID. Cette dernière soutenait notamment que la juridiction avait commis une erreur en considérant qu’elle devait être considérée comme responsable de traitement, n’ayant selon elle aucune prise sur les données transmises et leur traitement par FACEBOOK.
La CJUE a, dans ce cadre, été saisie de plusieurs questions, dont celle de savoir si la société FASHION ID devait être considérée comme responsable de traitement, au sens de l’article précité, relativement aux données transmises à Facebook via le module « j’aime » sur son site internet.
La juridiction a commencé par rappeler que « la notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données » et que « la responsabilité conjointe de plusieurs acteurs pour un même traitement […] ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées ».
La Cour a ensuite tranché en faveur de la reconnaissance de la qualité de co-responsable de traitement pour FASHION ID.
En effet, elle avait permis la transmission à FACEBOOK des données personnelles de ses visiteurs via la présence du module « j’aime » de cette dernière sous ses produits, quand bien même ils ne cliqueraient pas sur ledit module ou n’auraient pas de compte FACEBOOK. Elle avait d’ailleurs conscience de cette transmission.
Il s’agit là, selon la Cour, d’une intervention directe dans la collecte et la transmission de données personnelles à FACEBOOK permettant de retenir que « Facebook Ireland et Fashion ID déterminent conjointement les moyens à l’origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID ».
Il a également été considéré, s’agissant des finalités des opérations de traitement des données personnelles qu’il « semble que l’insertion par Fashion ID du bouton « j’aime » de Facebook sur son site Internet lui permet d’optimiser la publicité pour ses produits en les rendant plus visibles sur le réseau social Facebook lorsqu’un visiteur de son site Internet clique sur ledit bouton. C’est afin de pouvoir bénéficier de cet avantage commercial consistant en une telle publicité accrue pour ses produits que Fashion ID, en insérant un tel bouton sur son site Internet, semble avoir consenti, à tout le moins implicitement, à la collecte et à la communication par transmission des données à caractère personnel des visiteurs de son site, ces opérations de traitement étant effectuées dans l’intérêt économique tant de Fashion ID que de Facebook Ireland, pour qui le fait de pouvoir disposer de ces données à ses propres fins commerciales constitue la contrepartie de l’avantage offert à Fashion ID ».
La juridiction a cependant pondéré l’ampleur de cette co-responsabilité en précisant qu’elle devait être « limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont [le gestionnaire du site internet] détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause ».
Le site internet devait par ailleurs, selon la CJUE, recueillir le consentement de ses visiteurs et remplir son obligation d’information relativement à ces opérations de traitement de données à caractère personnel.