Votre groupe Facebook est-il conforme au RGPD ?

La différence entre le dénigrement et la diffamation pour les alertes croquettes toxiques
La différence entre le dénigrement et la diffamation pour les alertes croquettes toxiques

Quand on prend beaucoup de temps à gérer un site, ou un groupe, on ne pense pas toujours à l’aspect légal. C’est encore plus vrai pour les groupes Facebook, auxquels on participe parfois en tant qu’administrateur.

L’article 28 de la directive 95/46 s’appliquant, par sa nature même, à tout traitement de données à caractère personnel, même en présence d’une décision d’une autorité de contrôle d’un autre État membre, une autorité de contrôle, saisie par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doit examiner, en toute indépendance, si le traitement de ces données respecte les exigences posées par ladite directive (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 57).

La responsabilité pénale des administrateurs de groupe sur Facebook
La responsabilité pénale des administrateurs de groupe sur Facebook

Il ressort clairement que l’administrateur d’un groupe Facebook est responsable du traitement des données.

Etre administrateur de groupe Facebook entraîne des responsabilités

Cela signifie aussi que si la société Facebook est un jour reconnue responsable de ne pas avoir respecté le RGPD, la responsabilité pourrait retomber sur l’administrateur de la page fan hébergée sur le réseau qui n’a pas mis en oeuvre toutes les mesures nécessaires à la protection des données personnelles (cf source ).

Retrouvez les textes d’origine sur Curia :

Par ces motifs, la Cour (grande chambre) dit pour droit :

1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.