Les réseaux sociaux en ligne et la vie privée

A Le lieu d'établissement du responsable du traitement

L'article 5-I-1°de la loi Informatique et Libertés dispose que lorsque le responsable du traitement de données à caractère personnel est établi sur le territoire français, la loi Informatique et Libertés s'applique à ce traitement. Le responsable du traitement de Facebook est situé en Californie, aux Etats-Unis, lieu de son siège social.

La même disposition précise que le responsable du traitement est considéré comme établi en France « dès lors qu'il exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique ».

L'article 4 1-a) de la directive du 24 octobre 1995 dispose que lorsque le responsable du traitement est établit sur le territoire d'un Etat membre, le droit de la protection des données à caractère personnel de l'Etat membre s'applique dès lors que le traitement est effectué dans « le cadre des activités d'un établissement du responsable de traitement ».

La notion d'établissement permet de pallier à l'absence de présence physique du responsable de traitement sur le territoire d'un Etat membre. La notion d'établissement sous-entend « l'exercice effectif d'une activité économique au moyen d'une installation stable dans un autre État membre pour une durée indéterminée »⁴¹. Le groupe de travail de l'article 29 dit G29 (groupe de travail établi en vertu de l'article 29 de la directive du 24 octobre 1995 regroupant toutes les autorités de protection des données à caractère personnel de la

40 « Règle de droit législative ou jurisprudentielle qui, tenant compte des liens qu'une situation présente avec plusieurs systèmes juridiques, prescrit l'application à cette situation, ou à tel ou tel de ses éléments, d'un de ces systèmes, de préférence aux autres». , G. Cornu, Dictionnaire de vocabulaire juridique, association Henri Capitant. Quadrige édition PUF 7^e édition.

41 CJCE 25 juillet 1991, affaire 21/89 Factortame. Disponible sur http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!CELEXnumdoc&lg=fr&numdoc=61989J 0221.

Communauté européenne.) a précisé dans un avis adopté le 4 avril 2008 WP 148 sur les aspects de la protection des données liées aux moteurs de recherche, que l'établissement doit jouer « un rôle significatif » dans l'opération de traitement en cause. Le raisonnement juridique du G29 s'applique également aux sites de réseaux sociaux. Le G29 relève trois cas d'activité effective lorsque :

« -Un établissement est chargé des relations avec les utilisateurs du moteur de recherche dans une juridiction donnée ;

-un fournisseur de moteur de recherche établit dans un bureau dans un Etat membre qui joue un rôle dans la vente de publique ciblée aux habitants de cet Etat ;

-l'établissement d'un fournisseur de moteur de recherche se conforme aux décisions des tribunaux et/ou répond aux demandes d'application de la loi aux autorités compétentes d'un Etat membre à l'égard des données d'utilisateur»⁴².

Dans un autre avis WP 56 sur l'application internationale du droit de l'UE en matière de protection des données au traitement des données à caractère personnel sur Internet par des sites web établis en dehors de l'UE du 30 mai 2002, le G29 indique que le lieu d'établissement d'une société qui fournit des services par le biais d'un site Internet n'est pas le lieu oü est située la technologie qui supporte son site web ni le lieu d'accès au site web mais le lieu où elle exerce son activité⁴³.

Il faut donc déterminer si des établissements du site Facebook, sont situés sur le territoire d'un État membre et jouent un rôle effectif et réel pour que la loi Informatique et Libertés soit applicable. En l'occurrence, le site societe.com mentionne qu'une entreprise Facebook UK LTD est établie en France sous la forme d'une société étrangère immatriculée au RCS⁴⁴. On ne sait pas si cette société exerce un rôle effectif dans le traitement des données à caractère personnel des utilisateurs français, le site societe.com indiquant seulement qu'elle s'occupe des « portails internet ».

Les tribunaux français interprètent de manière restrictive la notion d'activité effective. Nous
traiterons à plusieurs reprises dans cette section 1 de l'affaire Bénédicte S contre Google car
les faits de l'espèce traduisent la difficulté d'application de la loi Informatique et Libertés à

42 Avis WP 148 sur les aspects de la protection des données liées aux moteurs de recherche adopté le 4 avril 2008.

43 Avis WP 56 sur la protection des données au traitement des données à caractère personnel sur Internet par des sites web établis en dehors de l'UE du 20 mai 2002.

44 Disponible sur http://www.societe.com/cgi-bin/recherche?rncs=509004305.

une entreprise américaine dont le siège social est établie en dehors de l'EEE. Dans cette affaire, une internaute demandait l'application des dispositions de la loi Informatique et Libertés à Google Incorporated et à sa filiale Google France. Dans l'ordonnance de référé du Tribunal de grande instance de Paris du 14 avril 2008 Bénédicte S. contre Google⁴⁵, le président du tribunal a décidé que la filiale Google France ne répondait pas aux conditions d'établissement car elle constituait une simple agence commerciale intervenant dans la gestion du service du moteur de recherche.

En l'absence d'indication précise du rôle de la société Facebook UK LTD, on ne peut savoir
avec certitude si la loi Informatique et Libertés serait applicable sur le fondement de l'article

5- I -1^e de ladite loi.

Nous allons donc envisager le deuxième critère alternatif sur le droit applicable au traitement de données à caractère personnel, le critère de localisation des moyens de traitement utilisés (B).