Série de décisions jurisprudentielles au lendemain de l’entrée en vigueur du RGPD.
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, nous assistons à une série de jurisprudences d’interprétation de cette règlementation pourtant existante au sein de la loi informatique et liberté du 6 …
Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, nous assistons à une série de jurisprudences d’interprétation de cette règlementation pourtant existante au sein de la loi informatique et liberté du 6 janvier 1978 mais non effective jusqu’à présent.
L’administrateur d’une page Facebook, co-responsable de Facebook du traitement des données personnelles de ses visiteurs (CJUE, 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein/Wirtschaftsakademie Schleswig-Holstein GmbH, affaire C-210/16,)
La Cour de Justice de l’Union Européenne s’est prononcée sur la qualification d’un administrateur d’une page fan Facebook.
Si Facebook a la qualité de « Responsable de traitement », c’est-à-dire, qu’il détermine les finalités du traitement et les moyens de ce traitement, un administrateur d’une page fan Facebook n’est pas déchargé de ses responsabilités pour autant.
En effet, le 5 juin 2018, la CJUE a déclaré qu’un administrateur d’une page fan Facebook était co-responsable du traitement des données personnelles des utilisateurs en ce qu’il participe à la détermination des finalités et des moyens du traitement des données personnelles notamment par le fait qu’il puisse accéder, grâce à ses paramétrages, à certaines de leurs informations personnelles, sans leur consentement préalable, afin de cibler au mieux son public (âge, sexe, profession, centres d’intérêt, données géographiques…) et pour des objectifs d’organisation et de promotion.
De plus, la Cour précise que chaque autorité de contrôle est compétente pour assurer le respect des obligations dictées par le RGPD.
Cette décision de la CJUE s’inscrit dans cette volonté de protection de la vie privée des citoyens européens et rappelle les importantes obligations pesant sur les responsables de traitements, ainsi que la volonté de l’autonomie des autorités de contrôle nationale.
Nous pouvons supposer que la position de la CJUE sur cette qualification s’étendra probablement aux autres administrateurs de pages sur les réseaux sociaux.
Arrêt du Conseil d’Etat du 6 juin 2018 : rappel des règles en matière de cookies et traceurs
Le Conseil d’Etat valide la décision de la CNIL ayant imposé une sanction pécuniaire à une société pour violation des règles en matière de cookies et consentement.
En effet, la règlementation en matière de cookies impose une information préalable claire, et complète ainsi que le consentement de l’utilisateur à l’insertion de ces cookies et traceurs par un site internet.
Si le Conseil d’Etat se fonde sur la loi Informatique et Libertés du 6 janvier 1978, le Règlement Général sur la Protection des Données impose également ces conditions.
Un éditeur de service de communication électronique (site, application…) doit informer ses utilisateurs de la finalité des cookies, obtenir leur consentement et prévoir et fournir un moyen par lequel un internaute pourrait s’opposer ou refuser ce traçage, et ce avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services.
Toutefois, ces obligations ne concernent que certaines catégories de cookies. Notamment, les cookies qui sont essentiels au fonctionnement technique du site ou ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur sont exonérés de cette obligation.
Le Conseil d’Etat a confirmé que « le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne ».
Ainsi le Conseil d’Etat affirme que le principe, selon lequel l’insertion de cookies liés aux opérations relatives à la publicité doit faire l’objet d’une information préalable et d’une demande de consentement est général, même s’ils sont nécessaires à la viabilité économique d’un site.
L’hébergeur de données personnelles, quid de son régime de responsabilité au regard du RGPD?
Cette fois ci, à la veille de l’entrée en vigueur du RGPD, le TGI de Paris, par une Ordonnance de référé rendue le 18 mai 2018, a considéré qu’un hébergeur de données personnelles devait être qualifié d’hébergeur au sens de la LCEN.
Cet hébergeur se voit ainsi conférer le statut d’hébergeur avec un régime de responsabilité limitée ou allégée, du fait de son rôle passif quant aux contenus qu’il héberge.
Toutefois, si le TGI semble s’être positionné sur la question, le régime de responsabilité d’un hébergeur de données personnelles au sens du RGPD continue de se poser.
La CNIL a publié sur son site internet (www.cnil.fr) un guide du sous-traitant. A la lecture de ce guide, l’hébergeur de données personnelles semble être inclus dans cette définition de « sous-traitant ».
En effet, au sens de l’article 4 du RGPD, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».
Est également qualifié de traitement de données, au sens du même article du RGPD, une collecte de données.
Dès lors, dès qu’un hébergeur de données personnelles collecte des données et peut y avoir accès ou peut être amené à y accéder sur instructions du responsable de traitement, il doit être regardé comme sous-traitant.
En ce sens, les obligations édictées par le RGPD et un régime de responsabilité contractuelle en cas de manquement à l’une ou plusieurs de ces obligations s’appliqueraient à l’hébergeur de données personnelles du seul fait du stockage de ces données, considéré comme collecte.
La responsabilité de l’hébergeur de données personnelles devrait donc être contractuelle.
Néanmoins, aucune précision au sein du RGPD n’est pour le moment donnée quant à ce statut d’hébergeur et un éventuel régime de responsabilité particulier.
La question qui subsiste est de savoir si c’est à cause de ce manque de précision au sein du RGPD que le TGI de Paris a statué ainsi et si nous devons alors considérer qu’en cas d’absence de mention contraire, l’hébergeur se voit conférer un régime de responsabilité allégée.
Par Marine Volpé, stagiaire
