Europe is definitely the zone of the world in which the protection of persons is thought.
Elle le fait par des textes, dont le très fameux Réglement adopté en 2016 relative à la protection des personnes physiques à l'égard du traitement à caractère personnel et à la libre circulation de ces données, dit "RGPD", recopié par exemple en Californie par la loi du 12 juillet 2018, par des initiatives nationales, comme la prochaine loi française contre les discours de haine dans l'espace numérique, par de nombreuses études et rapports - le droit souple étant aussi importante que le Droit pénal en Droit de la Compliance, mais encore par des décisions de justice.
Europe does this by texts, including the very famous Regulation adopted in 2016 relating to the treatment of personal data for their free circulation and the protection of peope concerned by them ( known as General Data Protection Regulation - GDPR ), copied for example in California by the Act of 12 July 2018, by national initiatives, such as the next French law against hate speech in the digital space, by numerous studies and reports - Soft Law being as important as Criminal Law in Law of Compliance system -, but also by court decisions.
Indeed, judicial decisions were at the origin of the movement of the person protection, with the creation of a "right to be forgotten" by the 2014 Google Spain decision of the Court of Justice of the European Union.
The judgment of the CJEU on 29 July 2019, Fashion ID, is just as important. Like the previous one, it clearly settles an essential question: who must police consents in the digital space?
And the answer is: all the digital players who benefit from it.
As a result, there is an "intermesh" (on this notion which is the future of Compliance Law in the digital world, see Frison-Roche, M.-A., The contribution of Compliance Law in the Governance of Internet, 2019 ).
See below the analysis of the judgment.
The situation of facts submitted to the Court of Justice of the European Union
Indeed, it appears from the judgment that when a site inserts in its presentation a link to Facebook (and any national operator) that allows the user to express satisfaction with the site that inserted the link for example "I like" (and any other equivalent sign), this insertion produces two effects.
Le premier effet est que cela permet à l'entreprise propriétaire du site en question d'obtenir ainsi des informations sur l'internaute, la principale étant l'appréciation positive que celui-ci a par rapport aux informations que le site lui-même expose. Cette information à caractère personnel sera stockée par l'entreprise propriétaire du site, exploitée, réutilisée, transmise à des tiers éventuellement contre de l'argent (ce que l'on présente souvent comme une "vente de données").
Le second effet est que cela permet aussi à l'entreprise qui propose ce genre d'expression, par exemple "I like" exprimé par un emoticône, petit dessin de coeur, de sourire, de face réjouie, etc. de récolter également des informations, qui font l'objet de traitements similaires.
Ainsi de fait c'est coup double, puisque les données sont utilisées et par le titulaire du site et par Facebook.
Or, l'arrêt souligne que : "En ce qui concerne, en particulier, le bouton « j’aime » de Facebook, il semble ressortir de la décision de renvoi que, lorsqu’un visiteur consulte le site Internet de Fashion ID, des données à caractère personnel de ce visiteur sont, en raison du fait que ce site intègre ledit bouton, transmises à Facebook Ireland. Il apparaît que cette transmission s’effectue sans que ledit visiteur en soit conscient et indépendamment du fait qu’il soit membre du réseau social Facebook ou qu’il ait cliqué sur le bouton « j’aime » de Facebook.".
Une association de défense des consommateurs agit contre l'entreprise allemande qui tient le site. Or, à l'époque des faits il n'était pas acquis qu'une telle association avait qualité pour le faire. Ce n'est qu'ultérieurement que le Réglement de 2016 permettra qu'une association d'utilité publique saisisse ainsi les tribunaux.
En outre l'entreprise se défend sur le fond en disant qu'on ne peut la condamner pour l'usage que ferait Facebook de ces données, car comment pourrait-elle connaître un tel usage ? Mais le Tribunal allemand condamne l'entreprise.
Ce sont alors les deux opérateurs numériques qui se dressent l'un contre l'autre en appel, l'entreprise allemand titulaire du site pour contester sa responsabilité ainsi engagée, Facebook qui forme un appel incident pour la voir accrue Comme quoi dans l'espace numérique aussi, l'idéal irénique n'est que de façade.
Les questions posées à la Cour de Justice de l'Union européennes
Les tribunaux allemands forment des "questions préjudicielles" à la CJUE pour que celle-ci rende un arrêt précisant le sens du Droit de l'Union européenne, sens qui s'imposera par la suite.
Ainsi la Cour allemande en cause serait plutôt d'avis que les associations de consommateurs sont légitimes à agir, bien que n'étant pas clientes du site, puisque la législation vise à assurer "la pleine application" du droit européen par des "mesures appropriées".
A titre principale, elle demande si le gestionnaire d'un site qui insère un tel dispositif peut être considéré comme "responsable du traitement des données à caractère personnel", alors qu'il n'a "aucune influence sur le traitement des données transmises" à celui qui lui a fourni ce dispositif.
A titre subsidiaire, la Cour demande si en droit national, l'on peut superposer l'idée que le gestionnaire du site pourrait être responsable civil du fait d'autrui, ici du fait de Facebook.
Au regard de la notion de "l'intérêt légitime", elle se demande s'il faut prendre en compte celui du gestionnaire du site ou celui du fournisseur du dispositif et à qui incombent l'obligation d'obtenir le consentement de l'internaute ainsi que l'obligation de l'informer sur le traitement des données qui le concernent. La juridiction nationale souligne que cette question "présente une importance particulière car toute insertion de contenus externes sur un site Internet donne lieu, en principe, à un traitement de données à caractère personnel, dont l’étendue et la finalité sont toutefois inconnues de celui qui opère l’insertion de ces contenus, à savoir le gestionnaire du site Internet concerné. Celui-ci ne pourrait, de ce fait, donner l’information due, pour autant qu’il y est tenu, de sorte que faire peser sur ce gestionnaire l’obligation d’informer la personne concernée conduirait en pratique à interdire l’insertion de contenus externes.".
Les réponses de la Cour de Justice de l'Union européennes
D'une façon longue et argumentée, la Cour pose que les législations nationales peuvent donner à des associations un droit d'agir alors même qu'à l'époque le Droit communautaire ne l'avait pas prévu car d'une façon générale le droit d'action est fondamental et d'une façon plus particulière c'est ce qui permet l'effectivité des règles de droit en cause ainsi que la protection des consommateurs.
Sur le fond, la Cour rappelle que, pour assurer l'effectivité de la protection de l'internaute au regard de ses données personnelles, la notion de "responsable" reçoit dans ce contexte une "définition large", ce qui permet une "protection efficace et complète des personnes concernées".
Ainsi, poursuit la Cour, est "responsable", l'organisme qui "seul ou conjointement avec d'autre" détermine les finalités et les moyens du traitemnt de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement...". Et dès l'instant qu'une personne a, "à des fins qui lui sont propres" une "influence sur le traitement" et "participe de ce fait à la détermination des finalités et des moyens de ce traitement", elle est "responsable".
Mais cela ne signifie pas que les différents responsables le sont de façon identique.
Comme le dit parfaitement la Cour : "l'objectif étant d'assurer, par une définition large de la notion de "responsable", une protection efficace et complète des personnes concernées, l'existence d'une responsabilité conjointe ne se traduit pas nécessaire par une responsable équivalente, pour un même traitement de données à carctère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d'entre eux doit être évaluée en tenant compte de toutes les circonstances pertinentes du cas d'espèce".
Une fois cela posé, la CJUE relève que lorsque le gestionnaire du site a imposé cette fonctionnalité qui renvoie des informations personnelles relative à tout visiteur, même non-membre de Facebook, à Facebook, il en est "responsable", même si en l'espèce il n'avait pas accès aux données - son intérêt étant dans l'attractivité offerte par le réseau social pour attirer des clients - et doit à ce titre informer l'internaute, ce qu'il ne faisait pas ; en revanche, l'arrêt prenant expressément l'image de la chaîne, parce que ce gestionnaire ne peut savoir ce qu'il advient de ces données, une fois celles-ci transférées chez Facebook, il n'est pas "responsable" du traitement que celui-ci en fait.
Voilà la définition que la Cour donne de la "responsabilité conjointe" entre le gestionnaire de site et le réseau social.
Ainsi le gestionnaire du site supporte les obligations d'informer l'internaute et de recueillir le consentement de celui-ci, mais ses obligations ne s'étendent pas aux traitements que l'entreprise à laquelle ces données sont transmises opère
Ainsi le consentement de l'internaute doit bien être donné au gestionnaire du site et non pas au "fournisseur du module social" (ici Facebook qui a fourni le logiciel qui sous la forme d'un émoticone capte les informations). La raison en est, selon la Cour, c'est "le fait que c’est le fait pour un visiteur de consulter ce site Internet qui déclenche le processus de traitement des données à caractère personnel".
Or, pour que la protection de l'internaute soit efficace, il faut que l'information de celui-ci s'opère "en temps utile", c'est-à-dire au moment où il consulte le site. C'est donc le gestionnaire du site qui est "responsable" de son information.
Mais selon ce même critère de l'efficacité de la protection de la personne, le gestionnaire est "responsable" de cela et que de cela, c'est-à-dire qu'il n'est pas responsable de l'exploitation que le réseau social fait dans un second temps de ces données personnelles.
En cela, la Cour suit les longues conclusions de l'Avocat général qui, selon ce critère de "l'efficacité de la protection", ."il ne serait pas conforme à une protection efficace et en temps utile des droits de la personne concernée que le consentement ne soit donné qu’au seul responsable conjoint du traitement intervenant ultérieurement, à savoir au fournisseur dudit module.".
Mais l'on ne peut lui demander plus qu'il ne peut lui-même savoir : c'est pourquoi le gestionnaire du site doit fournir à l'internaute des information "sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ce gestionnaire détermine effectivement les finalités et les moyens", cela mais pas plus que cela".
APPRECIATION DE L'ARRET RENDU FASHION ID DE LA CJUE DU 29 JUILLET 2019
De la même façon que les deux opérateurs numériques voulaient que l'autre soit entièrement responsable, chacun a crié victoire de ne pas l'être entièrement ....
En réalité, l'arrêt est équilibré, pragmatique et repose sur un principe simple et unique, ce qui explique qu'en appliquant des textes anciens (seuls applicables en l'espèce, mais par une solution qui demeure pertinente aujourd'hui parce que "de principe") : la protection de l'internaute.
Et si l'on pose la primauté de la protection de l'internaute, et qu'on pose ce principe d'une façon pragmatique, l'on arrive à une conclusion : la primauté de "l'efficacité de la protection de l'internaute". Comme quoi lorsqu'on raisonne en principe, ce qui paraît très compliqué, voire "complexe", voire insoluble, devient simple.
Car ce qui est remarquable dans cet arrêt, c'est sa simplicité : chacun est responsable en ce qui le concerne en raison de sa position et au regard d'un simple principe, à savoir la protection de l'internaute, laquelle doit être effective. Dès lors, au regard de la notion très usuelle en procédure de "temps utile", c'est bien au site d'informer l'internaute sur la puissance de l'émoticone, mais parce que le site ne sait pas l'utilisation que le fournisseur du "module social" fait des données, il ne peut informer l'internaute de cela.
L'argument comme quoi les petites entreprises qui gèrent des petits sites sont pénalisées par la décision n'est pas pertinent car la protection de l'internaute exige que le gestionnaire l'informe que, même si le visiteur n'est pas membre du fournisseur du logiciel prenant la forme d'un "like", ce sont ses données personnelles qui sont aspirées.
Il convient d'appeler cela une "chaine de Compliance", car dans un second temps Facebook, puisque c'est de lui dont il s'agit, devrait informer de l'usage qu'il fait de ses données. Mais, chaque chose en son temps, le recours à la notion de "temps utile" étant remarquable car la Compliance est un "process", c'est-à-dire une procédure, ce qui rend pertinent l'application des droits fondamentaux de procédure, c'est-à-dire avant tout le "droit de savoir".
Ici, le droit subjectif de l'internaute de savoir ce qui lui arrive quand il marque son appréciation en cliquant sur un petit dessin.
A travers un Droit de la co-responsabilité entre ces deux types d'opérateurs numériques (gestionnaire de site et réseau social), le Droit de la Compliance est en train de se construire (comme le fît avant lui le Droit de la Régulation, dont il est un prolongement) sur des droits subjectifs dont l'internaute est titulaire.
Le premier des droits subjectifs numériques est le droit de savoir.
Il est plus puissant que les simples obligations d'information.
L'arrêt Fashion ID l'a concrétisé.
____________
"si le gestionnaire d’un site Internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel dudit visiteur peut être considéré comme étant responsable, conjointement avec ce fournisseur, des opérations de collecte et de communication par transmission des données à caractère personnel de ce visiteur, son obligation de recueillir le consentement de la personne concernée visé à l’article 2, sous h), et à l’article 7, sous a), de la directive 95/46 ainsi que son obligation d’information prévue à l’article 10 de celle-ci concernent ces seules opérations. En revanche, ces obligations ne s’étendent pas aux opérations de traitement des données à caractère personnel visant les autres stades, antérieurs ou postérieurs auxdites opérations, qu’implique, le cas échéant, le traitement de données à caractère personnel en cause.".
comments are disabled for this article