30 juillet 2019

Publications

Par son arrêt "Fashion ID" du 29 juillet 2019, la Cour de Justice de l'Union Européenne fait supporter une obligation de co-compliance au site qui insère un émoticone actif de Facebook : l'intermaillage de la Compliance se renforce par "le droit de savoir" de l'internaute

par Marie-Anne Frison-Roche

L'Europe est décidément la zone du monde dans laquelle la protection des personnes se pense.

Elle le fait par des textes, dont le très fameux Réglement adopté en 2016 relative à la protection des personnes physiques à l'égard du traitement à caractère personnel et à la libre circulation de ces données, dit "RGPD", recopié désormais en Californie, par des initiatives nationales, comme la prochaine loi française contre les discours de haine dans l'espace numérique, par de nombreuses études et rapports - le droit souple étant aussi importante que le Droit pénal en Droit de la Compliance, mais encore par des décisions de justice.

Les décisions de justice ont été à l'origine du mouvement de protection de la protection, par la création prétorienne d'un "droit à l'oubli" par la décision Google Spain de 2014 de la Cour de Justice de l'Union européenne. 

L'arrêt que la CJUE a rendu le 29 juillet 2019, Fashion ID, est tout aussi important.  Comme le précédent, il tranche nettement une question essentielle : qui doit faire la police des consentements dans l'espace numérique.

Et la réponse est : tous les acteurs numériques qui en tirent profit.

Il en résulte donc un "intermaillage" (sur cette notion qui est l'avenir du Droit de la Compliance dans le numérique, v. Frison-Roche, M.-A., L'apport du Droit de la Compliance dans Internet, 2019).

Voir ci-dessous l'analyse de l'arrêt.

 

La situation de faits soumise à la Cour de Justice de l'Union européenne

En effet, il ressort de l'arrêt que lorsqu'un site insère dans sa présentation un lien vers Facebook (et tout opérateur national) qui permet à l'internaute d'exprimer une satisfaction à l'égard du site qui a inséré le lien, par exemple "j'aime" (et tout autre signe équivalent), cette insertion produit deux effets.

Le premier effet est que cela permet à l'entreprise propriétaire du site en question d'obtenir ainsi des informations sur l'internaute, la principale étant l'appréciation positive que celui-ci a par rapport aux informations que le site lui-même expose. Cette information à caractère personnel sera stockée par l'entreprise propriétaire du site, exploitée, réutilisée, transmise à des tiers éventuellement contre de l'argent (ce que l'on présente souvent comme une "vente de données").

Le second effet est que cela permet aussi à l'entreprise qui propose ce genre d'expression, par exemple "I like" exprimé par un emoticône, petit dessin de coeur, de sourire, de face réjouie, etc. de récolter également des informations, qui font l'objet de traitements similaires.

Ainsi de fait c'est coup double, puisque les données sont utilisées et par le titulaire du site et par Facebook. 

Or, l'arrêt souligne que : "En ce qui concerne, en particulier, le bouton « j’aime » de Facebook, il semble ressortir de la décision de renvoi que, lorsqu’un visiteur consulte le site Internet de Fashion ID, des données à caractère personnel de ce visiteur sont, en raison du fait que ce site intègre ledit bouton, transmises à Facebook Ireland. Il apparaît que cette transmission s’effectue sans que ledit visiteur en soit conscient et indépendamment du fait qu’il soit membre du réseau social Facebook ou qu’il ait cliqué sur le bouton « j’aime » de Facebook.".

Une association de défense des consommateurs agit contre l'entreprise allemande qui tient le site. Or, à l'époque des faits il n'était pas acquis qu'une telle association avait qualité pour le faire. Ce n'est qu'ultérieurement que le Réglement de 2016 permettra qu'une association d'utilité publique saisisse ainsi les tribunaux. 

En outre l'entreprise se défend sur le fond en disant qu'on ne peut la condamner pour l'usage que ferait Facebook de ces données, car comment pourrait-elle connaître un tel usage ? Mais le Tribunal allemand condamne l'entreprise. 

Ce sont alors les deux opérateurs numériques qui se dressent l'un contre l'autre en appel, l'entreprise allemand titulaire du site pour contester sa responsabilité ainsi engagée, Facebook qui forme un appel incident pour la voir accrue Comme quoi dans l'espace numérique aussi, l'idéal irénique n'est que de façade.  

 

Les questions posées à la Cour de Justice de l'Union européennes

Les tribunaux allemands forment des "questions préjudicielles" à la CJUE pour que celle-ci rende un arrêt précisant le sens du Droit de l'Union européenne, sens qui s'imposera par la suite.

Ainsi la Cour allemande en cause serait plutôt d'avis que les associations de consommateurs sont légitimes à agir, bien que n'étant pas clientes du site, puisque la législation vise à assurer "la pleine application" du droit européen par des "mesures appropriées". 

A titre principale, elle demande si le gestionnaire d'un site qui insère un tel dispositif peut être considéré comme "responsable du traitement des données à caractère personnel", alors qu'il n'a "aucune influence sur le traitement des données transmises" à celui qui lui a fourni ce dispositif. 

A titre subsidiaire, la Cour demande si en droit national, l'on peut superposer l'idée que le gestionnaire du site pourrait être responsable civil du fait d'autrui, ici du fait de Facebook. 

Au regard de la notion de "l'intérêt légitime", elle se demande s'il faut prendre en compte celui du gestionnaire du site ou celui du fournisseur du dispositif et à qui incombent l'obligation d'obtenir le consentement de l'internaute ainsi que l'obligation de l'informer sur le traitement des données qui le concernent. La juridiction nationale souligne que cette question "présente une importance particulière car toute insertion de contenus externes sur un site Internet donne lieu, en principe, à un traitement de données à caractère personnel, dont l’étendue et la finalité sont toutefois inconnues de celui qui opère l’insertion de ces contenus, à savoir le gestionnaire du site Internet concerné. Celui-ci ne pourrait, de ce fait, donner l’information due, pour autant qu’il y est tenu, de sorte que faire peser sur ce gestionnaire l’obligation d’informer la personne concernée conduirait en pratique à interdire l’insertion de contenus externes.".

 

Les réponses de la Cour de Justice de l'Union européennes

D'une façon longue et argumentée, la Cour pose que les législations nationales peuvent donner à des associations un droit d'agir alors même qu'à l'époque le Droit communautaire ne l'avait pas prévu car d'une façon générale le droit d'action est fondamental et d'une façon plus particulière c'est ce qui permet l'effectivité des règles de droit en cause ainsi que la protection des consommateurs.

Sur le fond, la Cour rappelle que, pour assurer l'effectivité de la protection de l'internaute au regard de ses données personnelles, la notion de "responsable" reçoit dans ce contexte une "définition large", ce qui permet une "protection efficace et complète des personnes concernées".

Ainsi, poursuit la Cour, est "responsable", l'organisme qui "seul ou conjointement avec d'autre" détermine les finalités et les moyens du traitemnt de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement...". Et dès l'instant qu'une personne a, "à des fins qui lui sont propres" une "influence sur le traitement" et "participe de ce fait à la détermination des finalités et des moyens de ce traitement", elle est "responsable".

Mais cela ne signifie pas que les différents responsables le sont de façon identique. 

Comme le dit parfaitement la Cour : "l'objectif étant d'assurer, par une définition large de la notion de "responsable", une protection efficace et complète des personnes concernées, l'existence d'une responsabilité conjointe ne se traduit pas nécessaire par une responsable équivalente, pour un même traitement de données à carctère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d'entre eux doit être évaluée en tenant compte de toutes les circonstances pertinentes du cas d'espèce".

Une fois cela posé, la CJUE relève que lorsque le gestionnaire du site a imposé cette fonctionnalité qui renvoie des informations personnelles relative à tout visiteur, même non-membre de Facebook, à Facebook, il en est "responsable", même si en l'espèce il n'avait pas accès aux données - son intérêt étant dans l'attractivité offerte par le réseau social pour attirer des clients - et doit à ce titre informer l'internaute, ce qu'il ne faisait pas ; en revanche, l'arrêt prenant expressément l'image de la chaîne, parce que ce gestionnaire ne peut savoir ce qu'il advient de ces données, une fois celles-ci transférées chez Facebook, il n'est pas "responsable" du traitement que celui-ci en fait. 

Voilà la définition que la Cour donne de la "responsabilité conjointe" entre le gestionnaire de site et le réseau social. 

Ainsi le gestionnaire du site supporte les obligations d'informer l'internaute et de recueillir le consentement de celui-ci, mais ses obligations ne s'étendent pas aux traitements que l'entreprise à laquelle ces données sont transmises opère!footnote-124

Ainsi le consentement de l'internaute doit bien être donné au gestionnaire du site et non pas au "fournisseur du module social" (ici Facebook qui a fourni le logiciel qui sous la forme d'un émoticone capte les informations). La raison en est, selon la Cour, c'est "le fait que  c’est le fait pour un visiteur de consulter ce site Internet qui déclenche le processus de traitement des données à caractère personnel".

Or, pour que la protection de l'internaute soit efficace, il faut que l'information de celui-ci s'opère "en temps utile", c'est-à-dire au moment où il consulte le site. C'est donc le gestionnaire du site qui est "responsable" de son information.

Mais selon ce même critère de l'efficacité de la protection de la personne, le gestionnaire est "responsable" de cela et que de cela, c'est-à-dire qu'il n'est pas responsable de l'exploitation que le réseau social fait dans un second temps de ces données personnelles.

En cela, la Cour suit les longues conclusions de l'Avocat général qui, selon ce critère de "l'efficacité de la protection", ."il ne serait pas conforme à une protection efficace et en temps utile des droits de la personne concernée que le consentement ne soit donné qu’au seul responsable conjoint du traitement intervenant ultérieurement, à savoir au fournisseur dudit module.". 

Mais l'on ne peut lui demander plus qu'il ne peut lui-même savoir : c'est pourquoi le gestionnaire du site doit fournir à l'internaute des information "sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ce gestionnaire détermine effectivement les finalités et les moyens", cela mais pas plus que cela".

 

APPRECIATION DE L'ARRET RENDU FASHION ID DE LA CJUE DU 29 JUILLET 2019

De la même façon que les deux opérateurs numériques voulaient que l'autre soit entièrement responsable, chacun a crié victoire de ne pas l'être entièrement ....

En réalité, l'arrêt est équilibré, pragmatique et repose sur un principe simple et unique, ce qui explique qu'en appliquant des textes anciens (seuls applicables en l'espèce, mais par une solution qui demeure pertinente aujourd'hui parce que "de principe") : la protection de l'internaute.

Et si l'on pose la primauté de la protection de l'internaute, et qu'on pose ce principe d'une façon pragmatique, l'on arrive à une conclusion : la primauté de "l'efficacité de la protection de l'internaute". Comme quoi lorsqu'on raisonne en principe, ce qui paraît très compliqué, voire "complexe", voire insoluble, devient simple.

Car ce qui est remarquable dans cet arrêt, c'est sa simplicité : chacun est responsable en ce qui le concerne en raison de sa position et au regard d'un simple principe, à savoir la protection de l'internaute, laquelle doit être effective. Dès lors, au regard de la notion très usuelle en procédure de "temps utile", c'est bien au site d'informer l'internaute sur la puissance de l'émoticone, mais parce que le site ne sait pas l'utilisation que le fournisseur du "module social" fait des données, il ne peut informer l'internaute de cela.

L'argument comme quoi les petites entreprises qui gèrent des petits sites sont pénalisées par la décision n'est pas pertinent car la protection de l'internaute exige que le gestionnaire l'informe que, même si le visiteur n'est pas membre du fournisseur du logiciel prenant la forme d'un "like", ce sont ses données personnelles qui sont aspirées.

Il convient d'appeler cela une "chaine de Compliance", car dans un second temps Facebook, puisque c'est de lui dont il s'agit, devrait informer de l'usage qu'il fait de ses données. Mais, chaque chose en son temps, le recours à la notion de "temps utile" étant remarquable car la Compliance est un "process", c'est-à-dire une procédure, ce qui rend pertinent l'application des droits fondamentaux de procédure, c'est-à-dire avant tout le "droit de savoir".

Ici, le droit subjectif de l'internaute de savoir ce qui lui arrive quand il marque son appréciation en cliquant sur un petit dessin.

A travers un Droit de la co-responsabilité entre ces deux types d'opérateurs numériques (gestionnaire de site et réseau social), le Droit de la Compliance est en train de se construire (comme le fît avant lui le Droit de la Régulation, dont il est un prolongement) sur des droits subjectifs dont l'internaute est titulaire.

Le premier des droits subjectifs numériques est le droit de savoir.

Il est plus puissant que les simples obligations d'information. 

L'arrêt Fashion ID l'a concrétisé. 

 

 

 

 

 

 

les commentaires sont désactivés pour cette fiche