Suis-je responsable de ce que Facebook fait avec les données des visiteurs ?

En partie. Vous êtes responsable conjoint avec Facebook (Meta) pour les données personnelles collectées via votre page entreprise. Facebook a rédigé un addendum à cet effet (Page Insights Controller Addendum). Il répartit les responsabilités, mais ne vous libère pas de vos propres obligations.

Dois-je supprimer ma page entreprise pour être conforme au RGPD ?

Non. Vous pouvez avoir une page entreprise, mais vous devez connaître vos responsabilités. Ajoutez des informations sur la vie privée à votre page, incluez la page dans votre registre des traitements et informez les visiteurs du traitement des données.

Cela s'applique-t-il aussi à LinkedIn et Instagram ?

Oui. L'arrêt de la Cour de justice européenne porte sur le principe de responsabilité conjointe pour les pages entreprises sur les réseaux sociaux. Cela s'applique à toute plateforme qui fournit des statistiques sur vos visiteurs, y compris LinkedIn et Instagram.

Que sont les Insights et pourquoi sont-ils pertinents ?

Les Insights sont les statistiques que les plateformes vous fournissent sur vos visiteurs : démographie, portée, interactions. Pour générer ces statistiques, la plateforme traite des données personnelles des visiteurs. Parce que vous recevez et bénéficiez de ces statistiques, vous partagez la responsabilité de ce traitement.

Page entreprise réseaux sociaux et RGPD - Responsabilité conjointe

Vous avez une page entreprise sur Facebook, Instagram ou LinkedIn ? Vous êtes responsable conjoint avec la plateforme pour les données des visiteurs. Découvrez ce que cela implique et ce que vous devez faire.

Une page entreprise est un traitement de données

Vous avez une page sur Facebook, Instagram ou LinkedIn. C’est logique - c’est là que se trouvent vos clients. Mais ce que beaucoup d’entrepreneurs ignorent : en créant et en gérant cette page entreprise, vous partagez la responsabilité des données personnelles que la plateforme collecte auprès de vos visiteurs.

Le RGPD est clair à ce sujet, et la Cour de justice européenne l’a confirmé en 2018.

L’arrêt Wirtschaftsakademie

En juin 2018, la Cour de justice européenne a statué dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C-210/16) que l’administrateur d’une page entreprise Facebook est responsable conjoint avec Facebook pour le traitement des données personnelles des visiteurs.

Pourquoi ? Parce qu’en tant qu’administrateur de page, vous :

Choisissez délibérément une plateforme qui traite des données personnelles pour générer des statistiques
Définissez des paramètres qui déterminent quelles données sont collectées (public cible, filtres démographiques)
Tirez profit des statistiques (Insights) que la plateforme fournit sur vos visiteurs
Influencez le traitement en créant et en configurant votre page

Le fait que vous n’ayez pas d’accès technique aux données personnelles brutes est sans importance. Vous en bénéficiez et vous avez contribué à initier le traitement.

Que signifie “responsable conjoint” ?

L’article 26 du RGPD impose aux responsables conjoints de convenir de leurs responsabilités respectives en matière d’obligations RGPD. Les grandes plateformes ont rédigé des documents à cet effet :

Facebook/Instagram (Meta) : Page Insights Controller Addendum
LinkedIn : Joint Controller Addendum pour Page Insights

Ces documents attribuent la majeure partie de la responsabilité opérationnelle à la plateforme. Mais ils ne vous libèrent pas entièrement. En tant qu’administrateur de page, vous restez tenu de :

Informer les visiteurs du traitement des données
Inclure le traitement dans votre registre des traitements
Disposer d’une base juridique pour votre part du traitement

Que devez-vous faire en pratique ?

1. Informations sur la vie privée sur votre page

Ajoutez des informations sur le traitement des données personnelles à votre page entreprise. Sur Facebook, vous pouvez le faire dans la section “À propos” ou via un lien vers votre politique de confidentialité. Sur LinkedIn, vous pouvez inclure un lien vers votre politique de confidentialité dans le profil de l’entreprise.

Mentionnez au minimum :

Que vous êtes responsable conjoint avec la plateforme
Où les visiteurs peuvent trouver votre politique de confidentialité
Comment les visiteurs peuvent vous contacter pour des questions relatives à leur vie privée

2. Mettre à jour votre registre des traitements

Incluez vos pages entreprise sur les réseaux sociaux dans votre registre des traitements. Par page :

Finalité : communication d’entreprise, marketing, service client
Catégories de données : statistiques de visiteurs, données d’interaction, messages
Base juridique : intérêt légitime (communication d’entreprise et marketing)
Responsable conjoint : Meta / LinkedIn / plateforme
Référence à l’addendum Controller de la plateforme

3. Mettre à jour votre politique de confidentialité

Mentionnez dans votre politique de confidentialité générale que vous gérez des pages entreprise sur les réseaux sociaux et que vous en êtes responsable conjoint avec la plateforme. Renvoyez à la politique de confidentialité de la plateforme pour les détails de leur traitement.

4. Soyez vigilant avec les Insights

Les données Insights que vous recevez sont anonymisées ou agrégées - vous ne voyez pas de profils individuels. Mais le fait que la plateforme génère ces statistiques sur base de données personnelles vous rend en partie responsable. Soyez-en conscient et n’utilisez pas les données Insights à des fins non documentées dans votre registre des traitements.

Erreurs fréquentes

Aucune information sur la vie privée sur la page entreprise
Ne pas inclure la page entreprise dans le registre des traitements
Penser que la plateforme gère tout - la plateforme gère ses propres obligations, pas les vôtres
Ne pas traiter les messages clients via les réseaux sociaux comme un traitement de données personnelles - quand un client vous envoie un message privé contenant des informations personnelles, vous traitez des données personnelles

Pas de raison de paniquer

Une page entreprise sur les réseaux sociaux n’est pas un problème tant que vous connaissez vos obligations. Vous n’avez pas besoin de supprimer votre page. Vous n’avez pas besoin de rédiger des contrats compliqués, car les plateformes ont déjà préparé les addendums. Vous devez surtout être transparent envers vos visiteurs et vous assurer que votre registre des traitements est complet.

auto_awesome Votre registre des traitements est-il en ordre ?

GDPRWise vous aide à documenter tous vos traitements, y compris vos pages sur les réseaux sociaux. Registre des traitements complet, généré automatiquement.

Lancer le scan gratuit

Page entreprise sur les réseaux sociaux : que dit le RGPD ?