Dans un arrêt en date du 5 juin dernier, la Cour de justice de l’Union européenne considère que « l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs« . Il s’agit d’une décision importante sur les responsabilités en matière de données personnelles sur internet.
La Cour rappelle ainsi que techniquement l’administrateur d’une page de fans (ajoutons aussi celui d’un groupe) « participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs« . En conséquence, « cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement« .
Une responsabilité à ne pas prendre à la légère
Cette solution très logique pour qui connaît la réglementation sur la protection des données personnelles, tant ancienne (directive européenne de 1995 et en France, loi Informatique, fichiers et libertés de 1978 modifiée) que nouvelle (le RGPD et ses à-côtés), rappelle brutalement quelles sont les responsabilités des gestionnaires et autres animateurs de pages Facebook : dès l’instant qu’il dispose des outils de paramétrage des inscrits et visiteurs sur sa page, l’administrateur devient « responsable conjoint du traitement de ces données » à égalité de responsabilité avec Facebook.
La totalité du RGPD à prendre en compte, y compris les sanctions encourues
En clair, il faut comprendre que le « responsable conjoint du traitement » est avant tout responsable. C’est-à-dire que c’est sur lui que pèsent toutes les obligations légales du RGPD et, en cas de non respect de celles-ci, de toutes les sanctions administratives et pénales prévues par le RGPD (10 à 20 millions d’euros d’amende administrative ou 2 à 4% du chiffre d’affaires mondial de l’entreprise) et par l’arsenal pénal de chaque État membre, en France, les articles 226-16 à 24 du Code pénal (5 ans de prison et 300 000 euros d’amende pénale).
Voir l’arrêt dans sa version française sur EUR-Lex : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62016CJ0210