Dans son arrêt du 5 juin 2018, la Cour de justice européenne répond par l’affirmative.

Bien que la Cour se positionne au regard de la directive de 95/46 abrogée par le RGPD (règlement (UE) 2016/679), le raisonnement tenu ici peut être appliqué au regard du nouveau règlement.

L’affaire concerne la société allemande Wirtschaftsakademie Schleswig-Holstein, spécialisée dans le domaine de l’éducation, qui offrait des services de formation au moyen d’une page hébergée sur Facebook.

L’autorité allemande de protection des données avait ordonné la désactivation de cette page dès lors que ni la société allemande ni Facebook n’avaient informé les visiteurs de la page que Facebook collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ensuite ces informations étaient traitées.

Saisie d’une question préjudicielle dans cette affaire à la suite du recours introduit par la société, la Cour décide qu’un administrateur tel que la société allemande susvisée doit être considéré comme étant, au sein de l’Union, conjointement responsable avec Facebook du traitement des données en question.

La Cour relève en effet qu’un tel administrateur participe, par son action de paramétrage à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page, ce qui répond effectivement à la notion de responsable de traitement.

En conséquence, si vous souhaitez en vue de l’organisation d’un teambuilding créer une page et/ou un groupe sur Facebook ou sur tout autre réseau social, vous êtes tenu autant que le réseau social de veiller au respect des 6 principes fixés par le RGPD (transparence, limitation des finalités, minimisation des données, exactitude des données, limitation de la durée de conservation des données, sécurité/intégrité/confidentialité des données).

Source: CJCE, arrêt C-210/16, http://www.curia.europa.eu