Avoir une page Facebook, Instagram ou utiliser les services de réseaux sociaux fait de l’entreprise un « co-responsable ». Cela était déjà pressenti en 2018 et se confirme par un arrêt de la CJUE du 29 juillet 2019. Alors que les services marketing/digital ne peuvent pas se passer de ces réseaux sociaux. Voyons ensemble ce qui peut être analysé et retenu de ces arrêts…
Les entreprises avaient déjà reçu un premier frein à l’utilisation de Facebook et plus largement des réseaux sociaux. En effet, la Cour de Justice de l’Union Européenne avait conclu, dans un arrêt du 5 juin 2018, que l’entreprise qui administre sa page Facebook est co-responsable avec Facebook de l’utilisation des données.
Sur ce sujet, vous pouvez lire notre article « Facebook : Votre page entreprise c'est aussi votre responsabilité »
Aujourd’hui, la responsabilité des entreprises s’accroît. En effet, le simple fait de placer un « bouton » like sur son site internet suffit à faire du propriétaire du site un « co-responsable » des données avec Facebook.
C’est ce que confirme la Cour de Justice de l’Union Européenne par son arrêt du 29 juillet 2019.
Que penser de la position de la Cour de Justice de l’Union Européenne :
En théorie, c’est tout à fait logique.
L’entreprise choisit de placer un cookie tiers pour permettre à ce tiers de collecter des données. Dès lors, elle « ouvre » une porte depuis son site internet vers ce tiers, tel que Facebook.
A ce titre, elle est responsable de contracter avec Facebook pour s’assurer que les données collectées le sont conformément à la règlementation en place (RGPD – Règlement Général sur la Protection des Données) dans le respect de la vie privée des personnes.
Au-delà, le RGPD lui-même prévoit que les partenaires qui s’échangent et traitent des données, doivent impérativement s’assurer l’un et l’autre qu’ils disposent des garanties suffisantes !
Partant de tout cela, il apparaît intuitivement cohérent que l’entreprise qui recourt à des services de Facebook soit « co-responsable » des données au sens du RGPD en son article 26. Pour rappel l’article 26 prévoit bien qu’il faut un contrat entre les parties qui définissent dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord devraient même être mises à la disposition de la personne concernée.
Mais en pratique, il en va un peu différemment…
Dans la « vraie vie », les entreprises ne peuvent pas négocier de contrat avec Facebook ou Google et ne peuvent certainement pas « vérifier » que ces entreprises présentent des garanties suffisantes de conformité au RGPD.
Pire, si les entreprises ne font pas appel aux services des réseaux sociaux et moteur de référencement web, elles ne sont pas visibles et bien référencées sur internet, ce qui revient à réduire fortement leur impact client et prospects/acquisition.
On comprend donc que malgré le risque, les entreprises pourraient continuer à travailler avec ces sociétés alors qu’elles ne sont pas conformes au RGPD.
Alors que retenir de la position de la Cour de Justice de l’Union Européenne ?
Le principe de « co-responsabilité » peut être vu comme un complément et un palliatif à la difficulté pour les autorités de condamner ces GAFAM (Google, Amazon, Facebook, Apple, et Microsoft) et de s’assurer que les traitements des données soient conformes au RGPD et donc au respect de la vie privée des internautes.
En rendant « co-responsables » les « fournisseurs » de données qui sont le relais des GAFAM, la CJUE initie un cercle vertueux d’auto-contrôle. Elle évite le fameux « ce n’est pas moi, c’est l’autre » qui entraîne une violation épidémique de la vie privée des personnes physiques.
Bien entendu la « co-responsabilité » reste limitée à ce pour quoi les parties définissent ensemble les moyens et les finalités des traitements de données. Mais là encore, les contrats n’étant pas vraiment négociés avec les GAFAM, les entreprises se retrouveront souvent plus atteintes qu’elles ne le devraient.
Enfin, cette position de la Cour de Justice de l’Union Européenne aura tout de même pour vertu de contraindre les entreprises qui échangent des données par l’intermédiaire de technologies insérées sur les sites internet de contracter dans les conditions de l’article 26 du RGPD et donc notamment de s’assurer d’une réelle information et transparence sur ces transmissions de données parfois trop opaques…