Une société allemande, spécialisée dans le domaine de l’éducation, offre des services de formation sur une page fan hébergée sur Facebook Germany. Ce type de page est un compte d’utilisateur qui peut être configuré par des particuliers ou des entreprises. Les administrateurs de pages fan peuvent obtenir des données statistiques anonymes sur les visiteurs de ces pages à l’aide d’une fonction mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables.

Une autorité régionale indépendante chargée de contrôler l’application de la directive 95/46 sur la protection des données a ordonné à la société de désactiver sa page fan, faut d’avoir, avec Facebook, informé ses visiteurs que le réseau social collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils les traitaient par la suite.

La société arguait que ce traitement des données à caractère personnel ne pouvait lui être imputé notamment puisqu’elle n’avait pas chargé Facebook d’y procéder.

Saisie aux fins d’interprétation de la directive, la Cour de justice de l’Union européenne (CJUE), dans son arrêt du 5 juin 2018, observe que si Facebook doit être regardé comme étant « responsables du traitement » des données à caractère personnel des personnes ayant visité les pages fan en ce qu’elle détermine, à titre principal, les finalités et les moyens du traitement de ces données, un administrateur tel que la société doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook.
En effet, cet administrateur participe à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. Cette co-responsabilité contribue à assurer une protection plus complète des droits des personnes qui visitent une page fan, conformément aux exigences de la directive précitée.

La Cour relève également que l’autorité de contrôle est compétente pour mettre en œuvre, à l’égard de la société et de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant la directive. Cette autorité est également compétente pour apprécier, de manière autonome la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard d’un organisme établi sur son territoire sans appeler préalablement l’autorité de contrôle de l’autre Etat membre à intervenir.

Notons que la directive en cause a été abrogée, avec effet au 25 mai 2018, par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).