L'administrateur d'une page de réseau social est coresponsable du traitement de données à caractère personnel au même titre que le réseau social

Cour de justice de l'Union Européenne n°81/2018 du 5 juin 2018 - affaire C-210/6

Toute personne souhaitant créer une page sur un réseau social conclut un contrat spécifique relatif à l'ouverture d'une telle page et souscrit  aux conditions d'utilisation, y compris à la politique en matière de cookies.

Ainsi, l’administrateur d'une page de réseau social offre la possibilité à ce réseau social de placer des cookies sur l’ordinateur ou sur tout appareil de la personne ayant visité la page, que la personne dispose ou non d'un compte sur le réseau social.

L'administrateur peut paramétrer en fonction de son audience cible ainsi que des objectifs de gestion ou de promotion de ses activités des statistiques établies à partir de la visite de sa page.

Par son action de paramétrage, l'administrateur participe à la détermination des finalités et des moyens du traitement de données personnelles des visiteurs de sa page. De ce fait, l'administrateur doit être qualifié de responsable de traitement conjointement avec le réseau social.

La Cour affirme cependant que le simple fait d’utiliser un réseau social ne rend pas un utilisateur du réseau social coresponsable d’un traitement de données effectué par le réseau. C’est donc bien l’action de paramétrage et les choix opérés par l’administrateur qui tendent à lui donner cette qualification.

A noter enfin que le fait que les statistiques d’audience établies par le réseau social soient transmises à l’administrateur de la page de manière anonymisée est sans effet sur la décision, l’établissement de ces statistiques nécessitant la collecte et le traitement de données personnelles.

Cette situation implique de mettre en œuvre toutes les mesures de protection de données à caractère personnel sur sa page de réseau social.

Il apparait nécessaire pour l’organisme qui créé sa page  et détermine ses cibles et mesures d’audience à l’instar de l’organisme de formation de :

  • inscrire ce traitement dans son registre, s’il est tenu d’établir un registre
  • procéder à l’information des personnes concernées notamment en affichant une politique de protection des données sur sa page.