La Cour de Justice de l’Union Européenne (CJUE) a estimé, dans un arrêt du 5 juin 2018 rendu par la Grande chambre, que l’administrateur d’une page fan sur Facebook était coresponsable de traitement avec le réseau social.

Mais qu’est-ce qu’un responsable de traitement ? Le Règlement Général sur la Protection des Données (RGPD) précise à l’article 4 qu’un responsable de traitement est une personne ou une entité qui définit les moyens et les finalités d’un traitement de données personnelles (c’est-à-dire de toute opération effectuée sur une donnée personnelle). Deux entités sont dites responsables conjoints (ou coresponsables de traitement) lorsqu’elles déterminent ensemble les moyens et les finalités d’un traitement.
Ainsi, dans sa décision, la CJUE a relevé que l’administrateur d’une page Facebook déterminait les moyens et la finalité du traitement des données des abonnés, conjointement avec Facebook. Elle a notamment relevé que l’administrateur de la page peut demander l’obtention de données qui lui permettent de cibler au mieux son offre d’informations (données démographiques concernant l’audience cible, informations sur le style de vie et les centres d’intérêts, données géographiques, etc.).
Quelles sont donc les conséquences pratiques pour les administrateurs de ces pages ? La Cour a tempéré sa décision en expliquant que le degré de responsabilité de chaque protagoniste ne serait pas nécessairement le même. Ainsi, toutes les circonstances de chaque cas devront être prises en compte pour déterminer la responsabilité de chacun. Toujours est-il que les conséquences en termes de respect du RGPD pourraient être lourdes pour les administrateurs.