La décision de la Cour de justice de l'UE stipule que ces sites sont conjointement responsables du traitement initial des données — et doivent soit obtenir le consentement éclairé des visiteurs du site avant que les données ne soient transférées sur Facebook, soit être en mesure de démontrer une base juridique d'intérêt pour le traitement de ces données.
En d’autres termes, la Cour de justice de l'Union européenne a statué que les sites Web avec des boutons Like de Facebook intégrés peuvent être tenus responsables de la transmission de données à Facebook.
Il s'agit d'une décision particulièrement importante en raison du fait que les boutons J'aime peuvent être utilisés pour partager des informations sur les visiteurs du site sans avoir besoin de cliquer sur le bouton Like.
La décision de l'UE signifie que les sites avec des boutons Like pourraient constater qu'ils sont - presque par inadvertance - en violation des règles de confidentialité RGPD. La décision stipule simplement que :
L’exploitant ou propriétaire d'un site Web qui dispose d'un bouton « J'aime » de Facebook peut être un contrôleur conjointement avec Facebook en ce qui concerne la collecte et la transmission à Facebook des données personnelles des visiteurs de son site Web.
Toutefois, elle poursuit en disant que :
Par contre, cet opérateur n'est pas, en principe, un contrôleur en ce qui concerne le traitement ultérieur de ces données effectuées par Facebook seul.
La décision européenne a été rendue à la suite d'une enquête sur un détaillant de vêtements allemand, Fashion ID, qui partageait des données avec Facebook via des boutons Like intégrés.
Partageant les détails de sa décision, la Cour a déclaré dans son arrêt :
Dans son arrêt rendu aujourd'hui, la Cour conclut, premièrement, que l'ancienne directive sur la protection des données n'empêche pas les associations de protection des consommateurs d'obtenir le droit d'intenter ou de défendre des poursuites judiciaires contre une personne qui serait responsable de la protection des données à caractère personnel.
La Cour note que le nouveau Règlement Général sur la Protection des Données (RGPD) prévoit désormais expressément cette possibilité.
La Cour estime, deuxièmement, qu'il semble que Fashion ID ne puisse pas être considéré comme un contrôleur en ce qui concerne les opérations de traitement des données effectuées par Facebook Irlande après que ces données ont été transmises à ce dernier. Il semble, au départ, impossible que Fashion ID détermine les buts et les moyens de ces opérations.
En revanche, Fashion ID peut être considéré comme un contrôleur conjointement avec Facebook Irlande en ce qui concerne les opérations impliquant la collecte et la divulgation par transmission à Facebook Irlande des données en cause, car il peut être conclu (sous réserve des enquêtes qu'il appartient à l'Oberlandesgericht de Dusseldorf de réaliser) que Fashion ID et Facebook Ireland déterminent conjointement les moyens et les objectifs de ces opérations.
Fait important, la Cour a également décidé que Fashion ID doit obtenir le consentement des visiteurs du site avant de partager des données avec Facebook :
La Cour précise que l'exploitant d'un site Web tel que Fashion ID, en tant que contrôleur (conjoint) en ce qui concerne certaines opérations impliquant le traitement des données des visiteurs de son site Web, telles que la collecte de ces données et leur transmission à Facebook Irlande, doit fournir, au moment de leur collecte, certaines informations aux visiteurs telles que, par exemple, son identité et les fins du traitement.
La Cour a également fourni d'autres informations concernant 2 des 6 affaires prévues dans la directive dans lesquelles le traitement des données à caractère personnel peut être considéré comme légal.
Ainsi, en ce qui concerne le cas où le sujet des données a donné son consentement, la Cour estime que l'exploitant d'un site Web tel que Fashion ID doit obtenir ce consentement préalable (uniquement) à l'égard des opérations pour lesquelles il est le contrôleur (conjoint) , à savoir la collecte et la transmission des données.”
Facebook a réagi à la décision dans une déclaration donnée à TechCrunch:
Les plugins de site Web sont des fonctionnalités communes et importantes de l'Internet moderne.
Nous nous félicitons de la clarté que la décision d'aujourd'hui apporte à la fois aux sites Web et aux fournisseurs de plugins et d'outils similaires.
Nous examinons attentivement la décision de la Cour et nous travaillerons en étroite collaboration avec nos partenaires pour nous assurer qu'ils peuvent continuer à bénéficier de nos plugins sociaux et d'autres outils d'affaires en pleine conformité avec la loi.
Facebook peut-il dire que pour les utilisateurs de leur service, leurs conditions de service sur leur plate-forme justifie l'utilisation ultérieure de données pour lesquelles les individus doivent avoir été mis au courant séparément par le site Web où elles ont été collectées ?
Car, la question se résume alors très clairement à des non-utilisateurs, ou à des utilisateurs qui sont effectivement non-utilisateurs de Facebook grâce à l'utilisation efficace de technologies telles que l'isolement de l'onglet navigateur mozilla.
Dans quelle mesure un pixel de suivi pourrait être considéré comme un «dispositif similaire» à un cookie est une autre question à considérer.
Le suivi des utilisateurs non-Facebook via des plugins sociaux continue certainement d'être une question juridique brûlante pour Facebook en Europe.
Source
