Sommaires exécutifs 11 déc. 2019
Le contrôle conjoint et les risques liés à l’utilisation des modules de site Web
Les entreprises qui font appel aux services de technologie publicitaire, soit pour vendre leurs produits, soit pour recueillir des renseignements sur les Européens, peuvent être considérées comme des responsables conjoints du traitement selon la décision de la Cour de justice de l’Union européenne (« CJUE ») dans l’affaire Fashion ID GmbH &Co.KG c. Verbraucherzentrale NRW eV (« Fashion ID »), une décision qui crée des obligations de conformité.
Danielle Miller Olofsson est l’auteure du présent article.
Dans cette affaire, Fashion ID GmbH, un détaillant de mode en ligne, avait intégré sur son site Web le module social « Like » de Facebook. Les données personnelles des visiteurs du site Fashion ID étaient immédiatement transmises à Facebook Ireland sans que les visiteurs: i) en soient conscients, ii) aient cliqué sur le bouton « J’aime » ou iii) aient un compte Facebook. Bien que Fashion ID GmbH ait fait valoir qu’elle ne pouvait pas contrôler les données transmises par le navigateur ni ce que Facebook en faisait, elle a néanmoins été considérée comme un « responsable conjoint du traitement » au sens des lois européennes sur la protection des données. Le tribunal a statué que: « Le gestionnaire d’un site Internet, [...] qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement.»
La CJUE précise toutefois que la fonction de responsable du traitement ne s’applique qu’aux données sur lesquelles l’entreprise exerce un certain contrôle, c’est-à-dire les données que son site Web traite jusqu’au moment où il les transmet au navigateur du fournisseur de technologie publicitaire.
Concrètement, cela signifie que les organisations qui utilisent les services marketing de fournisseurs de technologie publicitaire, comme Google, Amazon ou Facebook, ainsi que de nombreux autres, peuvent en fait être considérées comme des responsables conjoints du traitement aux fins du Règlement général sur la protection des données (« RGPD ») de l’Union européenne et, à ce titre, être tenues de conclure un accord de responsabilité conjointe avec ces fournisseurs. Cet accord impose aux deux responsables du traitement de définir leurs responsabilités respectives quant au traitement des données, notamment en ce qui concerne l’objet et les méthodes de collecte, ainsi que leurs obligations de notification respectives conformément aux articles 13 et 14 du RGPD. Il convient de rappeler que les responsables du traitement, par définition, sont également tenus de:
- traiter les données de façon licite, ce qui, dans la plupart des cas, requiert l’obtention du consentement explicite au moment du traitement (c’est-à-dire avant le transfert des données au navigateur du visiteur);
- informer clairement la personne concernée du fait que ses données peuvent être transmises à un tiers et de l’utilisation qui peut en être faite;
- aviser les personnes concernées d’une atteinte à la protection des données au plus tard 72 heures après en avoir eux-mêmes été informées;
- veiller à ce que les données qui pourraient être transmises soient protégées par des mesures de protection adéquates; et
- si le site du tiers n’est pas situé dans l’Union européenne, veiller à ce que des mesures de protection adéquates soient en place (adéquation, protection de la vie privée, règles d’entreprise contraignantes, codes de conduite, etc.) pour assurer que le transfert ne contrevienne pas au RGPD.
À la lumière de la décision prise dans l’affaire Fashion ID, les propriétaires de sites Web qui utilisent des modules sociaux pour recueillir des données sur leur clientèle devraient donc envisager:
- de mettre immédiatement à jour leurs avis de confidentialité pour tenir compte des exigences de la décision, plus particulièrement en ce qui concerne le consentement et la divulgation complète; et
- de rédiger un modèle d’accord de responsabilité conjointe qui délimite clairement l’étendue de leurs responsabilités.
Le groupe de protection des données de BCF sera heureux d’aider les organisations à examiner leur relation avec les fournisseurs de services marketing et à mettre en œuvre les mesures nécessaires pour se conformer à leur nouveau rôle à la lumière de la décision Fashion ID.
Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.