Dans un arrêt en date du 5 juin dernier, la Cour de justice de l’Union européenne considère que « l’administrateur d’une page fan sur Facebook est conjointement responsable avec Facebook du traitement des données des visiteurs« . Il s’agit d’une décision importante sur les responsabilités en matière de données personnelles sur internet.
La Cour rappelle ainsi que techniquement l’administrateur d’une page de fans (ajoutons aussi celui d’un groupe) « participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs« . En conséquence, « cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement« .
Une responsabilité à ne pas prendre à la légère
Cette solution très logique pour qui connaît la réglementation sur la protection des données personnelles, tant ancienne (directive européenne de 1995 et en France, loi Informatique, fichiers et libertés de 1978 modifiée) que nouvelle (le RGPD et ses à-côtés), rappelle brutalement quelles sont les responsabilités des gestionnaires et autres animateurs de pages Facebook : dès l’instant qu’il dispose des outils de paramétrage des inscrits et visiteurs sur sa page, l’administrateur devient « responsable conjoint du traitement de ces données » à égalité de responsabilité avec Facebook.
La totalité du RGPD à prendre en compte, y compris les sanctions encourues
En clair, il faut comprendre que le « responsable conjoint du traitement » est avant tout responsable. C’est-à-dire que c’est sur lui que pèsent toutes les obligations légales du RGPD et, en cas de non respect de celles-ci, de toutes les sanctions administratives et pénales prévues par le RGPD (10 à 20 millions d’euros d’amende administrative ou 2 à 4% du chiffre d’affaires mondial de l’entreprise) et par l’arsenal pénal de chaque État membre, en France, les articles 226-16 à 24 du Code pénal (5 ans de prison et 300 000 euros d’amende pénale).
Voir l’arrêt dans sa version française sur EUR-Lex : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62016CJ0210

Didier Frochot

Didier Frochot est titulaire d’une maîtrise de droit privé et d’un DESS de gestion. Présent dans le secteur de l’information-documentation depuis 1982, il est Consultant et Formateur depuis 1984, il collaboration à la rubrique Droit du mensuel professionnel Archimag depuis 2003. Il fut par le passé Responsable pédagogique du cycle supérieur de l’INTD/CNAM pendant 10 ans (1989-1998).

Spécialités
E-réputation – Propriété intellectuelle, Droit des technologies de l’information, de la documentation et des médiathèques, Données personnelles et RGPD – Technologies de l’information (Internet/Intranet : recherche d’informations conception de sites) – Documentation – Traitement de l’information – Information, documentation et veille juridiques.