« L’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement », a estimé la Cour de justice de l’Union européenne dans un arrêt du 5 juin 2018. La Cour, qui se prononçait dans le cadre de la directive de 1995, rappelle que le fait que l’administrateur reçoive du réseau social des données anonymisées est indifférent, ce texte « n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. ».
Le litige porte sur le statut de responsable de traitement de données de l’administrateur d’une page fan hébergée par le réseau social. Ce dernier procure une fonctionnalité Facebook Insight aux pages fan qui leur permet d’accéder gratuitement aux informations statistiques concernant les visiteurs de la page, qu’ils soient membres ou non du réseau. Plus particulièrement, ils peuvent obtenir des données démographiques sur l’audience cible comme les tendances en matière d’âge, de sexe, de situation amoureuse, de profession, de comportements d’achats en ligne, etc. Ces traitements sont essentiellement effectués grâce au placement de cookies par Facebook sur l’ordinateur ou autres appareils de l’utilisateur ayant visité la page fan. Ces traitements permettent à la plateforme d’affiner son système de publicités qu’il diffuse sur son réseau et à l’administrateur de la page fan de connaître son public pour la promotion de ses activités.
Dans ces conditions, l’administrateur de la page est responsable du traitement conjointement avec Facebook. Selon la directive, tout comme le RGPD, le responsable de traitement est celui qui en définit les finalités. Facebook doit bien sûr être considéré comme ce responsable au principal. De son côté, explique la Cour, l’administrateur offre à Facebook la possibilité de placer des cookies sur les systèmes de ses fans, que la personne possède un compte Facebook ou non. Lorsqu’il crée sa page fan, il détermine son paramétrage en fonction de son audience cible et de ses objectifs, et fixe les critères à partir desquels les statistiques sont établies, ce qui influe sur le traitement de données. Pour la Cour, « l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page. ». Elle conclut à une responsabilité conjointe de l’administrateur et du réseau social. Elle précise cependant, reprenant les propos de l’avocat général que « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».