Aujourd’hui, de nombreux sites marchands sont dotés d’un bouton « like » de Facebook. Cet élément qui semble anodin de prime abord a récemment fait parler de lui. Et pour cause, dans un arrêt rendu le 29 juillet 2019, la Cour européenne de justice (CEJ) estime que les sites qui en sont dotés devront demander aux internautes la permission de collecter leurs données et de les transmettre à Facebook. En d’autres mots, dorénavant, le bouton « like » de Facebook est un élément à utiliser avec précaution par les entreprises.

L’affaire FASHION ID

Rappel des faits :

Fashion ID est une société de vente en ligne proposant des articles de mode. Son site est doté du bouton « like » Facebook. Lorsqu’un internaute visite le site de Fashion ID, des informations sur son adresse IP ainsi que la chaîne de caractères de son navigateur sont transmises automatiquement à Facebook. Cette transmission se fait même s’il ne clique pas sur le bouton « like » et même s’il ne possède pas de compte Facebook.

Estimant ces pratiques contraires aux lois sur la protection des données à caractère personnel qu’une association allemande de protection des consommateurs, Verbraucherzentrale NRW, a saisi le tribunal régional supérieur de Düsseldorf. Pour trancher l’affaire, ce dernier a saisi à son tour la CEJ pour interpréter certaines dispositions de l’ancienne directive de 1995 sur la protection des données (aujourd’hui remplacée par le RGPD).

La position de la cour

Dans son arrêt, la CEJ apporte des précisions sur plusieurs points :

  • L’ancienne directive ne s’oppose pas à ce qu’une association de défense des intérêts des consommateurs agisse en justice contre l’auteur présumé d’une atteinte à la protection des données. D’ailleurs, aujourd’hui, cette possibilité est expressément prévue par l’article 80 du RGPD ;
  • Fashion ID ne peut être responsable des traitements de données réalisés par Facebook après la transmission de ces dernières. Toutefois, la société est coresponsable des opérations de collecte et de transmission ;
  • L’intégration du bouton « like » sur le site de Fashion ID offre des avantages commerciaux à ce dernier dans la mesure où il profite d’une meilleure visibilité sur le réseau social Facebook ;

Concrètement, qu’est-ce qui change ?

La décision prise par la CEJ a des conséquences importantes sur la gestion des sites dotés du bouton « like » :

  • Puisque le gestionnaire d’un site doté du bouton « like » d’un fournisseur de module social est coresponsable de certaines opérations de traitements des données des visiteurs de son site (collecte et transmission des données), il doit informer ses visiteurs sur son identité et les finalités du traitement ;
  • Le gestionnaire de ce type de site doit dorénavant obtenir le consentement du visiteur avant que le plug-in ne capture et ne transmette ses données à un réseau social comme Facebook. Cette autorisation devra toujours être demandée même si le visiteur ne clique pas sur le bouton ;
  • Lorsque le visiteur a donné son consentement, le gestionnaire du site ne peut recueillir le consentement préalable que pour les opérations dont il est coresponsable, c’est-à-dire, la collecte et la transmission des données ;

Cette décision de la CEJ ne risque pas de mettre en péril l’utilisation des « plug-ins sociaux ». Il invite néanmoins les sites marchands à la prudence.