Dies ist eine HTML Version eines Anhanges der Informationsfreiheitsanfrage 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.



 
Ref. Ares(2017)2205289 - 28/04/2017
COMMISSION EUROPÉENNE 
 
 
 
   
Bruxelles, le 28 avril 2017 
sj.f(2017)2509079 
TRAD: DE-FR 
Documents de procédure 
juridictionnelle 

À MONSIEUR LE PRESIDENT ET AUX MEMBRES 
DE LA COUR DE JUSTICE DE L’UNION EUROPEENNE 
OBSERVATIONS ECRITES 
déposées,  conformément  à  l’article 23,  deuxième alinéa,  du  protocole  sur  le  statut  de  la 
Cour de justice de l'Union européenne, 
dans l'affaire C-40/17, 
 
par  la  Commission  européenne,  représentée  par  M. Hannes  Krämer,  son  conseiller 
juridique, et M. Herke Kranenborg, membre de son service juridique, ayant élu domicile 
auprès  du  service  juridique,  Greffe  contentieux,  BERL  1/169,  B-1049  Bruxelles,  et 
consentant à la signification de tout acte de procédure via eCuria, 
 
ayant  pour  objet  une  demande  de  décision  préjudicielle  présentée,  en  vertu  de 
l’article 267  du  traité  sur  le  fonctionnement  de  l'Union  européenne,  par 
l’Oberlandesgericht Düsseldorf (Allemagne), dans le litige opposant  
 
Fashion ID GmbH& Co.KG 
– partie requérante à l'appel – 
à 
Verbraucherzentrale NRW e.V., 
– partie défenderesse à l'appel – 
 
et portant sur l'interprétation de l'article 2, sous d) et h), de l'article 7, sous a) et f), ainsi 
que  des  articles 10,  22,  23  et  24  de  la  directive 95/46/CE  du  Parlement  européen  et  du 
 
Commission européenne/Europese Commissie, 1049 Bruxelles/Brussel, BELGIQUE/BELGIË –Tél. +32 22991111 
Bureau: BERL 1/25 – Tél. ligne directe + 32 229-50686 


 
Conseil  du  24 octobre 1995  sur  la  protection  des  personnes  physiques  à  l'égard  du 
traitement  des  données  à  caractère  personnel  et  à  la  libre  circulation  de  ces  données 
(JO L 281 du 23.11.1995, p. 31, ci-après la «directive 95/46/CE»).  
La  Commission  a  l'honneur  de  présenter  les  observations  suivantes  concernant  la 
présente procédure préjudicielle:  
A. Cadre juridique 
1. Droit de l'Union européenne 
1. 
L'article 2 («Définitions») de la directive 95/46/CE est libellé comme suit:   
 
«Aux fins de la présente directive, on entend par:  
 
[...] 
 
d)  "responsable  du  traitement":  la  personne  physique  ou  morale,  l'autorité 
publique,  le  service  ou  tout  autre  organisme  qui,  seul  ou  conjointement  avec 
d'autres, détermine les finalités et les moyens du traitement de données à caractère 
personnel; lorsque les finalités et les moyens du traitement sont déterminés par des 
dispositions  législatives  ou  réglementaires  nationales  ou  communautaires,  le 
responsable du traitement ou les critères spécifiques pour le désigner peuvent être 
fixés par le droit national ou communautaire;  
 
e) "sous-traitement": la personne physique ou morale, l'autorité publique, le service 
ou  tout  autre  organisme  qui  traite  des  données  à  caractère  personnel  pour  le 
compte du responsable du traitement; 
 
[...] 
 
h): "consentement de la personne concernée": toute manifestation de volonté, libre, 
spécifique et informée par laquelle la personne concernée accepte que des données 
à caractère personnel la concernant fassent l’objet d’un traitement.» 
2. 
L'article 7 de la directive 95/46/CE est libellé comme suit: 
 


 
 
«Les  États  membres  prévoient  que  le  traitement  de  données  à  caractère  personnel 
ne peut être effectué que si: 
 
a) la personne concernée a indubitablement donné son consentement;  
 
[...] 
 
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable 
du  traitement  ou  par  le  ou  les  tiers  auxquels  les  données  sont  communiquées,  à 
condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la 
personne  concernée,  qui  appellent  une  protection  au  titre  de  l’article 1er 
paragraphe 1.» 
3. 
L’article 10  («Informations  en  cas  de  collecte  de  données  auprès  de  la  personne 
concernée») de la directive 95/46/CE est libellé comme suit:  
 
«Les États membres prévoient que le responsable du traitement ou son représentant 
doit fournir à la personne auprès de laquelle il collecte des données la concernant 
au  moins  les  informations  énumérées  ci-dessous,  sauf  si  la  personne  en  est  déjà 
informée: 
 
a) l’identité du responsable du traitement et, le cas échéant, de son représentant; 
 
b) les finalités du traitement auquel les données sont destinées; 
 
c) toute information supplémentaire telle que: 
 
– les destinataires ou les catégories de destinataires des données, 
 
– le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que 
les conséquences éventuelles d’un défaut de réponse, 
 
– l’existence d’un droit d’accès aux données la concernant et de rectification de ces 
données, 
 
dans la mesure où, compte tenu des circonstances particulières dans lesquelles les 
données  sont  collectées,  ces  informations  supplémentaires  sont  nécessaires  pour 
assurer à l’égard de la personne concernée un traitement loyal des données.» 
 


 
4. 
L'article 22 («Recours») de la directive 95/46/CE est libellé comme suit:  
 
«Sans préjudice du recours administratif qui peut être organisé, notamment devant 
l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité 
judiciaire,  les  États  membres  prévoient  que  toute  personne  dispose  d’un  recours 
juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions 
nationales applicables au traitement en question». 
5. 
L'article 23 («Responsabilité») de la directive 95/46/CE est libellé comme suit:  
 
«1. Les États membres prévoient que toute personne ayant subi un dommage du fait 
d'un  traitement  illicite  ou  de  toute  action  incompatible  avec  les  dispositions 
nationales  prises  en  application  de  la  présente  directive  a  le  droit  d'obtenir  du 
responsable du traitement réparation du préjudice subi. 
 
2.  Le  responsable  du  traitement  peut  être  exonéré  partiellement  ou  totalement  de 
cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas 
imputable.» 
6. 
L'article 24 («Sanctions») de la directive 95/46/CE est libellé comme suit: 
 
«Les  États  membres  prennent  les  mesures  appropriées  pour  assurer  la  pleine 
application  des  dispositions  de  la  présente  directive  et  déterminent  notamment  les 
sanctions à appliquer en cas de violation des dispositions prises en application de la 
présente directive.» 
7. 
L’article 28  («Autorité  de  contrôle»)  de  la  directive 95/46/CE  est  libellé  comme 
suit:  
 
«1.  Chaque  État  membre  prévoit  qu'une  ou  plusieurs  autorités  publiques  sont 
chargées de surveiller l'application, sur son territoire, des dispositions adoptées par 
les États membres en application de la présente directive. 
 
Ces autorités exercent en toute indépendance les missions dont elles sont investies. 
 
[...]  
 
3. Chaque autorité de contrôle dispose notamment: 
 


 
 
–  de  pouvoirs  d’investigation,  tels  que  le  pouvoir  d’accéder  aux  données  faisant 
l’objet  d’un  traitement  et  de  recueillir  toutes  les  informations  nécessaires  à 
l’accomplissement de sa mission de contrôle, 
 
– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis 
préalablement à la mise en œuvre des traitements, conformément à l’article 20, et 
d’assurer  une  publication  appropriée  de  ces  avis  ou  celui  d’ordonner  le 
verrouillage,  l’effacement  ou  la  destruction  de  données,  ou  d’interdire 
temporairement  ou  définitivement  un  traitement,  ou  celui  d’adresser  un 
avertissement ou une admonestation au responsable du traitement ou celui de saisir 
les parlements nationaux ou d’autres institutions politiques, 
 
– du pouvoir d'ester en justice en cas de violation des dispositions nationales prises 
en application de  la  présente  directive  ou du pouvoir de porter ces violations à la 
connaissance de l'autorité judiciaire. 
 
Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours 
juridictionnel. 
 
4.  Chaque  autorité  de  contrôle  peut  être  saisie  par  toute  personne,  ou  par  une 
association la représentant, d’une demande relative à la protection de ses droits et 
libertés  à  l’égard  du  traitement  de  données  à  caractère  personnel.  La  personne 
concernée est informée des suites données à sa demande. 
 
Chaque  autorité  de  contrôle  peut,  en  particulier,  être  saisie  par  toute  personne 
d’une demande de vérification de la licéité d’un traitement lorsque les dispositions 
nationales prises en vertu de l’article 13 de la présente directive sont d’application. 
La personne est à tout le moins informée de ce qu’une vérification a eu lieu.  
 
[...] 
 
6.  Indépendamment  du  droit  national  applicable  au  traitement  en  cause,  chaque 
autorité  de  contrôle  a  compétence pour  exercer,  sur  le territoire  de l'État  membre 
dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. 
Chaque  autorité  peut  être  appelée  à  exercer  ses  pouvoirs  sur  demande  d'une 
autorité d'un autre État membre. 
 


 
 
Les  autorités  de  contrôle  coopèrent  entre  elles  dans  la  mesure  nécessaire  à 
l'accomplissement  de  leurs  missions,  notamment  en  échangeant  toute  information 
utile.  
 
[...]». 
8. 
Le considérant 10 de la directive 2002/58/CE du Parlement européen et du Conseil 
du  12 juillet 2002  concernant  le  traitement  des  données  à  caractère  personnel  et  la 
protection  de  la  vie  privée  dans  le  secteur  des  communications  électroniques 
(JO L 201  du  12 juillet 2002,  p. 37,  ci-après  la  «directive 2002/58/CE»),  est  libellé 
comme suit: 
 
«Dans  le  secteur  des  communications  électroniques,  la  directive 95/46/CE  est 
applicable  notamment  à  tous  les  aspects  de  la  protection  des  droits  et  libertés 
fondamentaux qui n'entrent pas expressément dans le cadre de la présente directive, 
y  compris  les  obligations  auxquelles  est  soumis  le  responsable  du  traitement  des 
données à caractère personnel et les droits individuels. [...]». 
9. 
L'article 3 («Services concernés») de la directive 2002/58/CE est libellé comme suit:  
 
«La présente directive s’applique au traitement des données à caractère personnel 
dans  le  cadre  de  la  fourniture  de  services  de  communications  électroniques 
accessibles  au  public  sur  les  réseaux  de  communications  publics  dans  la 
Communauté,  y  compris  les  réseaux  de  communications  publics  qui  prennent  en 
charge les dispositifs de collecte de données et d'identification.» 
10.  L'article 5  («Confidentialité  des  communications»)  de  la  directive 2002/58/CE  est 
libellé comme suit:  
 
«[...]  
 
3. Les États membres garantissent que le stockage d'informations, ou l’obtention de 
l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné 
ou  d’un  utilisateur  n’est  permis  qu’à  condition  que  l’abonné  ou  l’utilisateur  ait 
donné  son  accord,  après  avoir  reçu,  dans  le  respect  de  la  directive  95/46/CE,  une 
information  claire  et  complète,  entre  autres  sur  les  finalités  du  traitement.  Cette 
disposition  ne  fait  pas  obstacle  à  un  stockage  ou  à  un  accès  techniques  visant 
 


 
exclusivement  à  effectuer  la  transmission  d’une  communication  par  la  voie  d’un 
réseau de communications électroniques, ou strictement nécessaires au fournisseur 
pour la fourniture d’un service de la société de l’information expressément demandé 
par l’abonné ou l’utilisateur 
 
B. 
Procédure au principal et questions préjudicielles 
 
11.  La partie défenderesse à l'appel est une association d’utilité publique de défense des 
intérêts des consommateurs et la partie requérante à l'appel une entreprise de vente 
en ligne de vêtements. 
12.  La  partie  défenderesse  à  l'appel  demande  à la  partie  requérante  à  l'appel  de  ne  pas 
insérer  sur  son  site  internet  «www.fashionid.de»  le  module  social  «J’aime»  du 
réseau social Facebook (Facebook Inc., plus précisément Facebook Ireland Ltd.):  
 
1) sans avoir informé les utilisateurs du site, de manière explicite et visible, et avant 
que  le  fournisseur  du  module  n’accède  à  l’adresse IP  et  ne  prenne  la  chaîne  de 
caractères de l'utilisateur, sur la finalité de la collecte et de l’utilisation des données 
transmises, et/ou 
 
2)  sans  avoir  au  préalable  recueilli  le  consentement  des  utilisateurs  du  site 
concernant  l’accès  à  l’adresse IP  et  à  la  chaîne  de  caractères  du  navigateur  par  le 
fournisseur du module social, ainsi que concernant l’utilisation des données, et/ou 
 
3) sans avoir informé les utilisateurs ayant donné leur consentement, conformément 
au chef de conclusions sous 2 ci-dessus, qu'ils peuvent se rétracter à tout moment et 
avec effet pour l'avenir,  
 
4)  tout  en  publiant  la  déclaration  suivante:  «Si  vous  êtes  utilisateur  d'un  réseau 
social  et  ne  souhaitez  pas  que  celui-ci  collecte  des  données  vous  concernant  par 
l'intermédiaire  de  notre  site internet  et  les  relient  à  vos  données  d’utilisateur 
stockées dans  le réseau social,  vous devez vous déconnecter de ce réseau  avant de 
visiter notre site.» 
 


 
13.  Lorsqu'un  gestionnaire  de  site internet  a  inséré  dans  son  site  le  module  social 
«J’aime» de Facebook, le navigateur de l’utilisateur transmet, selon les constatations 
de la juridiction de renvoi, outre l’adresse IP et la chaîne de caractères (si celle-ci est 
activée),  plusieurs  «cookies»,  à  savoir  des  fichiers  textes  contenant  certaines 
informations, que l'utilisateur ait cliqué ou non sur le bouton «J'aime». Ces cookies 
englobent  le  «cookie  de  session»,  qui  est  placé  chez  les  membres  de  Facebook 
connectés  et  permet  d’identifier  sans  équivoque  un  compte  d’utilisateur,  le 
«cookie datr», qui est placé lors de la première visite d’une page Facebook et permet 
d'identifier  sans  équivoque  le  navigateur  des  membres  et  non  membres  du  réseau 
social,  ainsi  que  le  «cookie fr»,  qui  permet  également  d'identifier  sans  équivoque 
l’utilisateur  et  qui  est  placé  lors  de  la  visite  d’une  page  Facebook  ou  d'une  page 
partenaire non spécifiée. En outre, la page à partir de laquelle le bouton a été utilisé 
est également transférée. Le gestionnaire d'un site internet qui a inséré dans son site 
le  module  social  «J’aime»  de  Facebook  n'a  aucune  influence  sur  les  données 
transmises  par  le  navigateur  de  l'utilisateur  ni  sur  le  fait  de  savoir  si  et,  le  cas 
échéant, comment Facebook va utiliser ces données. 
14.  Par  un  jugement  du  9 mars 2016,  le  Landgericht  (tribunal  régional)  compétent  a 
condamné  la  partie  requérante  à  l'appel  pour  les  chefs  de  conclusions 1  à  3 
reproduits  au  point 12  des  présentes  observations  écrites  et  rejeté  la  demande 
concernant le chef de conclusions 4. 
15.  Par  son  appel  devant  l’Oberlandesgericht  Düsseldorf  (ci-après  la  «juridiction  de 
renvoi»), la partie requérante à l'appel souhaite obtenir l'annulation du jugement du 
Landgericht du 9 mars 2016, dans la mesure où celui-ci a fait droit à la demande de 
la  partie  défenderesse  à  l'appel.  Elle  avance,  en  substance,  d’une  part,  que  le 
Landgericht  a  estimé  à  tort  que  la  partie  défenderesse  à  l'appel  avait  qualité  pour 
agir, étant donné que, selon elle, les dispositions exhaustives des articles 22 à 24 de 
la directive 95/46/CE prévoient que seules les autorités chargées de la protection des 
données et les personnes concernées – et non les associations – ont qualité pour agir 
en vue de faire respecter les obligations des responsables du traitement des données. 
Elle  fait  valoir,  d'autre  part,  que  le  Landgericht  a  considéré  à  tort  que  la  partie 
requérante à l'appel était responsable du traitement au sens de l’article 2, sous d), de 
la directive 95/46/CE. 
 


 
16.  La partie défenderesse à l'appel demande le rejet de l’appel et affirme en substance 
que  Facebook  Inc.  ou,  plus  précisément,  Facebook  Ireland  Ltd,  stocke  l'adresse IP 
transmise,  ainsi  que  la  chaîne  de  caractères,  et  les  relie  à  un  utilisateur  spécifique 
(qu'il soit membre ou non membre du réseau social). 
17.  La juridiction de renvoi a sursis à statuer au principal et posé à la Cour les questions 
préjudicielles suivantes: 
 
«1. Le régime des articles 22, 23 et 24 de la directive 95/46/CE [...] s’oppose-t-il à 
une  réglementation  nationale  qui,  en  marge  des  pouvoirs  d’intervention  des 
autorités  de  protection  des  données  et  des  actions  en  justice  de  la  personne 
concernée, habilite, en cas d’atteintes, des associations d’utilité publique de défense 
des intérêts des consommateurs à agir contre l’auteur d’une atteinte?  
 
Si la première question appelle une réponse négative: 
 
2. Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un code 
programme permettant au navigateur de l’utilisateur de solliciter des contenus d’un 
tiers et de transmettre à cet effet au tiers des données à caractère personnel, celui 
qui fait l’insertion est-il «responsable du traitement» au sens de l’article 2, sous d), 
de la directive 95/46/CE [...] lorsqu’il ne peut avoir lui-même aucune influence sur 
ce processus de traitement des données? 
 
3.  Si  la  deuxième question  appelle une  réponse  négative: l’article 2,  sous  d),  de  la 
directive 95/46/CE [...] doit-il être interprété en ce  sens  qu’il régit exhaustivement 
la responsabilité en ce sens qu’il s’oppose à la mise en cause sur le plan civil d’un 
tiers  qui  n’est  certes  pas  «responsable  du  traitement»  mais  est  à  l’origine  du 
processus de traitement des données sans avoir d’influence sur celui-ci? 
 
4. Dans un contexte comme celui de l’espèce, quel est l’«intérêt légitime» à prendre 
en  compte  dans  la  mise  en  balance  à  faire  au  titre  de  l’article 7,  sous  f),  de  la 
directive 95/46/CE?  Est-ce  l’intérêt  d’insérer  des  contenus  de  tiers  ou  est-ce 
l’intérêt du tiers? 
 
5. Dans un contexte comme celui de l’espèce, à qui doit être donné le consentement 
visé à l’article 7, sous a), et à l’article 2, sous h), de la directive 95/46/CE? 
 

10 
 
 
6.  L’obligation  d’informer  la  personne  concernée  en  vertu  de  l’article 10  de  la 
directive 95/46/CE  dans  une  situation  telle  que  celle  qui  se  présente  en  l’espèce 
pèse-t-elle également sur le gestionnaire du site qui a inséré le contenu d’un tiers et 
est  ainsi  à  l’origine  du  traitement  des  données  à  caractère  personnel  fait  par  un 
tiers?» 
 
C. 
Appréciation juridique 
 
1. 
 
Sur la première question 
 
18.  Par  sa  première  question,  la  juridiction  de  renvoi  demande,  en  substance,  si  les 
articles 22  à  24  et  28  de  la  directive 95/46/CE  doivent  être  interprétés  en  ce  sens 
qu'ils régissent de manière exhaustive les voies de recours de la personne concernée 
par  un  traitement  de  données  ainsi  que  les  pouvoirs  d'intervention  des  autorités 
nationales  de  contrôle,  de  telle  façon  à  ce  qu'ils  s’opposent  à  une  réglementation 
nationale  qui  habilite  les  associations  d'utilité  publique  de  défense  des  intérêts  des 
consommateurs  à  former  un  recours  contre  le  responsable  du  traitement  en  cas 
d'éventuel traitement de données illicite. 
19.  La  Commission  fait  observer  à  titre  liminaire  que  l'article 28,  paragraphe 4,  de  la 
directive 95/46/CE  prévoit  expressément  qu'une  association  représentant  une 
personne concernée par un traitement de données peut saisir une autorité de contrôle 
nationale  afin  de  protéger  les  droits  et  les  libertés  de  cette  personne  à  l'égard  du 
traitement  de  données.  La  directive 95/46/CE  ne  prévoit  cependant  pas 
expressément  ni  l’introduction  d’un  recours  par  une  association,  ni  la  possibilité 
pour  celle-ci  d'intenter  des  poursuites  sans  un  mandat  de  la  part  de  la  personne 
concernée. 
20.  Il  n'en  résulte  pas  pour  autant  que  la  directive 95/46/CE  s’opposerait  à  une 
réglementation  nationale  qui  habilite  les  associations  d'utilité  publique  de  défense 
des  intérêts  des  consommateurs  à  former  un  recours  contre  le  responsable  du 
traitement en cas d'éventuel traitement de données illicite. 
21.  Il  est  vrai  que,  la  Cour  a  jugé  que  la  directive 95/46/CE  ne  se  limite  pas  à  une 
harmonisation  minimale  des  dispositions  nationales,  mais  aboutit  à  une 
 

11 
 
harmonisation  qui  est,  en  principe,  complète.  C’est  dans  cette  optique  que  la 
directive 95/46/CE  entend  assurer  la  libre  circulation  des  données  à  caractère 
personnel, tout en garantissant un haut niveau de protection des droits et des intérêts 
des 
personnes 
visées 
par 
ces 
données 
(arrêts Lindqvist, 
C-101/01, 
ECLI:EU:C:2003:596,  point 96,  et  ASNEF,  C-468/10,  ECLI:EU:C:2011:777, 
point 29).  Si  la  directive 95/46/CE  reconnaît  aux  États  membres  une  marge  de 
manœuvre  dans  certains  domaines  et  les  autorise  à  maintenir  ou  à  introduire  des 
régimes  particuliers  pour  des  situations  spécifiques,  de  telles  possibilités  doivent 
toutefois  être  utilisées  de  la  manière  prévue  par  la  directive 95/46/CE  et 
conformément  à  son  objectif  consistant  à  maintenir  un  équilibre  entre  la  libre 
circulation  des  données  à  caractère  personnel  et  la  protection  de  la  vie  privée 
(arrêt Lindqvist, point 97). 
22.  Il  ressort  cependant  de  ces  développements  de  la  Cour  au  sujet  du  degré  de 
l'harmonisation  des  législations  nationales  qu'opère  la  directive 95/46/CE  ainsi  que 
des  marges  de  manœuvre  laissées  aux  États  membres,  que  ceux-ci  concernent 
uniquement  des  réglementations  nationales  susceptibles,  en  principe,  d'affecter 
l’équilibre  entre  la  libre  circulation  des  données  à  caractère  personnel  et  la 
protection  de  la  vie  privée.  Tel  était  le  cas  des  réglementations  nationales  faisant 
l’objet  des  arrêts Lindqvist  et  ASNEF.  Dans  l'affaire Lindqvist,  il  s'agissait  d'une 
réglementation  nationale  prévoyant  une  protection  des  données  à  caractère 
personnel  plus  étendue  que  celle  prévue  par  la  directive 95/46/CE,  dans 
l'affaire ASNEF, d'une réglementation nationale exigeant que, lorsque le traitement 
de  données  à  caractère  personnel  doit  être  effectué  sans  le  consentement  de  la 
personne concernée afin de réaliser l'intérêt légitime du responsable du traitement ou 
du/des tiers auxquels les données sont communiquées, ces données soient contenues 
dans des sources accessibles au public. 
23.  La réglementation nationale en cause en l'espèce donne simplement des possibilités 
de mettre en œuvre les droits et les libertés conférés par la directive 95/46/CE aux 
personnes  concernées  par  un  traitement  de  données,  qui  vont  au-delà  de  celles 
prévues à cette fin par ladite directive. Une telle réglementation n'est cependant pas 
susceptible, en principe, d'affecter l'équilibre entre la libre circulation des données à 
caractère personnel et la protection de la vie privée. 
 

12 
 
24.  À  la  première  question,  il  convient  par  conséquent  de  répondre  selon  la 
Commission,  que  les  articles 22  à  24  et  28  de  la  directive 95/46/CE  doivent  être 
interprétés en ce sens qu'ils régissent de manière exhaustive les voies de recours de 
la  personne  concernée  par  un  traitement  de  données  ainsi  que  les  pouvoirs 
d'intervention  des  autorités  nationales  de  contrôle,  ils  s’opposent  à  une 
réglementation  nationale  qui  habilite  les  associations  d'utilité  publique  de  défense 
des  intérêts  des  consommateurs  à  former  un  recours  contre  le  responsable  du 
traitement en cas d'éventuel traitement de données illicite. 
 
2.  
 
Sur la deuxième question 
 
25.  Par  sa  deuxième question,  la  juridiction  de  renvoi  demande,  en  substance,  si  le 
gestionnaire  d’un  site internet  qui  insère  dans  son  site  un  code  programme 
permettant  au  navigateur  de  l’utilisateur  de  ce  site  de  solliciter  des  contenus  d'un 
tiers et de transmettre à cet effet au tiers des données à caractère personnel (ci-après 
le  «gyestionnaire  du  site internet»)  peut  être  considéré  comme  un  responsable  du 
traitement,  après  leur  transmission,  des  données  à  caractère  personnel,  au  sens  de 
l’article 2,  sous d),  de  la  directive 95/46/CE,  lorsqu’il  n'a  pas  d'influence  sur  les 
données transmises par le navigateur de l'utilisateur ni sur le fait de savoir si et, le 
cas échéant, comment le tiers va utiliser ces données. 
26.  La Commission rappelle que l’article 2, sous d), de la directive 94/56/CE définit le 
«responsable  du  traitement»  comme  étant  «la  personne  physique  ou  morale, 
l'autorité  publique,  le  service  ou  tout  autre  organisme  qui,  seul  ou  conjointement 
avec  d'autres,  détermine  les  finalités  et  les  moyens  du  traitement  de  données  à 
caractère personnel […]». À cet égard, la Cour a jugé, dans l’arrêt Google Spain e.a. 
(C-131/12,  ECLI:EU:C:2014:317,  point 34),  que  l’objectif  de  la  disposition 
consistant  à  assurer  une  protection  efficace  et  complète  des  personnes  concernées 
exige une définition large de la notion de «responsable du traitement».  
27.  Dans  une  situation  telle  que  celle  en  cause  au  principal,  lorsque  les  données  à 
caractère personnel des utilisateurs du site internet sont transmises à un tiers, c'est-à-
dire au gestionnaire d'un réseau social tel que Facebook, à la suite de la consultation 
du  site,  c'est  ce  tiers  qui  est  responsable  du  traitement  des  données  transmises.  En 
 

13 
 
effet, c'est lui qui détermine les finalités et les moyens du traitement des données à 
caractère  personnel  qui  lui  ont  été  communiquées.  Cela  n’exclut  toutefois  pas  de 
considérer  également  le  gestionnaire  du  site internet  comme  responsable  du 
traitement  des  données  à  caractère  personnel  de  l'utilisateur  effectué  après  la 
transmission de ces données. 
28.  Cependant, ainsi qu'il découle du libellé même de l’article 2, sous d), de la directive 
95/46/CE,  plusieurs  personnes  peuvent  être  conjointement  responsables  d'une 
procédure  de  traitement  de  données  à  caractère  personnel.  Tel  est  le  cas  lorsque 
chacune d'elles effectue une action fondée sur une décision concernant les finalités 
et les moyens du traitement. 
29.  Une personne effectue une action fondée sur une décision concernant les finalités et 
les  moyens  du  traitement  de  données  à  caractère  personnel  lorsqu'elle  prend  des 
dispositions  de  fait  ou  de  droit  en  matière  de  traitement  de  données  à  caractère 
personnel. Cela est, de manière évidente, le cas lorsque la personne traite elle-même 
les données, sans en avoir été chargée par une autre personne. De telles dispositions 
(de droit) existent également lorsqu'une personne charge une autre du traitement de 
données à caractère personnel, ce qui, dans la situation en cause au principal, n'est 
toutefois pas le cas. Par ailleurs, il y a disposition de fait concernant le traitement de 
données  à  caractère  personnel  lorsqu'une  personne  oriente  vers  une  autre  la 
transmission  de  données  à  caractère  personnel  qu'elle-même  ne  détient  pas.  Une 
action de ce type est nécessairement fondée sur une décision concernant les finalités 
et  les  moyens  du  traitement  après  la  transmission.  Dans  une  telle  situation,  la 
personne  qui  oriente  la  transmission  de  données  à  caractère  personnel  et  celle  qui 
effectue  le  traitement  des  données  transmises  sont  conjointement  responsables  du 
traitement. 
30.  Tel est le cas dans une situation telle que celle en cause au principal. Le gestionnaire 
du site internet, par le seul fait d'insérer le code programme concerné dans son site, 
oriente vers le tiers la transmission de données à caractère personnel que lui-même 
ne  détient  pas.  Il  prend  ainsi  des  dispositions  (de  nature  factuelle)  concernant  le 
traitement de données à caractère personnel. Dès lors, le gestionnaire du site internet 
décide des  finalités et des  moyens  de traitement des données  à caractère personnel 
effectué  après  la  transmission  et  il  est  donc  responsable  du  traitement  au  sens  de 
 

14 
 
l’article 2,  sous  d),  de  la  directive  95/46/CE.  Le  gestionnaire  du  site internet  et  le 
tiers  sont  par  conséquent  conjointement  responsables  du  traitement  des  données  à 
caractère personnel effectué après la transmission de ces données. 
31.  La  situation  d'un  gestionnaire  de  site internet  qui  insère  dans  ce  dernier  un  code 
programme permettant au navigateur de l'utilisateur du site de solliciter des contenus 
d'un  tiers  et  de  lui  transmettre  à  cet  effet  des  données  à  caractère  personnel  se 
distingue de manière caractéristique de celle du détenteur d'une «fan page» hébergée 
sur un réseau social tel que Facebook (qui fait l’objet de la procédure au principal 
dans  l’affaire  pendante C-210/16,  Wirtschaftsakademie  Schleswig  Holstein).  En 
effet,  le  détenteur  d'une  «fan page»  ne  gère  pas  la  transmission,  vers  une  autre 
personne,  de  données  à  caractère  personnel  que  lui-même  ne  détient  pas  et  il  ne 
prend  donc  aucune  disposition,  de  quelque  nature  que  ce  soit,  en  matière  de 
traitement de données à caractère personnel. 
32.  À  la  deuxième question,  il  convient  par  conséquent  de  répondre,  selon  la 
Commission,  que  le  gestionnaire  d’un  site internet  qui  insère  dans  ce  dernier  un 
code programme permettant au navigateur de l'utilisateur  de solliciter des contenus 
d'un  tiers  et  de  lui  transmettre  à  cet  effet  des  données  à  caractère  personnel  est  un 
responsable  du  traitement  au  sens  de  l’article 2,  sous d),  de  la  directive  95/46/CE, 
même s'il n'a pas d'influence sur les données à caractère personnel transmises par le 
navigateur  de  l'utilisateur  ni  sur  le  fait  de  savoir  si  et,  le  cas  échéant,  comment  le 
tiers va traiter ces données. 
 
3.  
 
Sur la troisième question 
 
33.  Par  sa  troisième question  –  pour  le  cas  où  la  deuxième question  appellerait  une 
réponse  négative  –,  la  juridiction  de  renvoi  demande  si  l'article 2,  sous d),  de  la 
directive 95/46/CE  doit  être  interprété  en  ce  sens  qu'il  régit  exhaustivement  la 
responsabilité,  dans  le  sens  qu'il  s'oppose  à  la  mise  en  cause  sur  le  plan  civil  d'un 
tiers  qui,  sans  être  un  «responsable  du  traitement»  est  à  l'origine  du  processus  du 
traitement des données sans avoir d'influence sur celui-ci. 
 

15 
 
34.  Pour la Commission, il n'y a pas lieu de répondre à la troisième question, car elle n’a 
été posée que dans le cas où il serait répondu par la négative à la deuxième question, 
qui appelle cependant une réponse affirmative. 
35.  Quant  au  fond,  la  Commission  estime  que  les  États  membres  sont  en  principe 
habilités à imposer des obligations, au moyen d'une réglementation autonome, à des 
personnes  non  responsables  du  traitement  au  sens  de  l'article 2),  sous d),  de  la 
directive 95/46/CE, dans le cas d'activités qui ne constituent pas en soi un traitement 
de  données,  mais  qui  ont  un  lien  avec  des  activités  de  traitement.  Ces  obligations 
peuvent par exemple relever du domaine de la protection des consommateurs. Si les 
États membres définissent de telles obligations, ils doivent toutefois le faire dans le 
respect du droit  de  l'Union. L'article 1er de la directive 95/46/CE, en particulier,  ne 
leur  permet  pas  de  restreindre  ni  d'interdire  la  libre  circulation  des  données  à 
caractère  personnel  entre  États  membres  pour  des  raisons  relatives  à  la  protection 
des libertés et droits fondamentaux des personnes physiques, notamment de leur vie 
privée, à l’égard du traitement des données à caractère personnel. 
36.  À  la  troisième question,  il  convient  par  conséquent  de  répondre,  selon  la 
Commission, que l'article 2, sous d), de la directive 95/46/CE doit être interprété en 
ce sens qu'il régit exhaustivement la responsabilité, dans le sens qu'il s'oppose à la 
mise  en  cause  sur  le  plan  civil  d'un  tiers  qui,  sans  être  un  «responsable  du 
traitement»  est  à  l'origine  du  processus  du  traitement  des  données  sans  avoir 
d'influence sur celui-ci.  
 
4.  
 
Sur la quatrième question 
 
37.  Par sa quatrième question, la  juridiction de renvoi demande, en substance, si, dans 
une  situation  telle  que  celle  en  l'espèce,  il  convient  de  prendre  en  compte,  lors  de 
l’application de l'article 7, sous f), de la directive 95/46/CE, les intérêts légitimes du 
gestionnaire du site internet ou l’intérêt du tiers. 
38.  La  Commission  fait  observer  que  la  quatrième question,  à  son  sens,  n'est  pas 
pertinente pour la résolution du litige pendant devant la juridiction de renvoi.  
 

16 
 
39.  En vertu de l'article 5, paragraphe 3, de la directive 2002/58/CE notamment l'accès à 
des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur 
n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après 
avoir  reçu,  dans  le  respect  de  la  directive  95/46/CE,  une  information  claire  et 
complète,  entre  autres  sur  les  finalités  du  traitement.  Cela  signifie  implicitement, 
mais  nécessairement,  que  cet  accès  n'est  autorisé  qu’avec  le  consentement  de  la 
personne  concernée.  Un  tel  accès  ne  peut  en  particulier  être  justifié  pour  l'une  des 
autres raisons visées à l’article 7 de la directive 95/46/CE qui confèrent un caractère 
de  licéité  au  traitement  de  données  à  caractère  personnel.  En  effet,  selon  le 
considérant 10  de  la  directive 2002/58/CE,  dans  le  secteur  des  communications 
électroniques,  la  directive 95/46/CE  est  applicable  seulement  aux  aspects  de  la 
protection des droits et libertés fondamentaux, y compris les obligations auxquelles 
est  soumis  le  responsable  du  traitement  des  données  à  caractère  personnel  et  les 
droits  individuels,  qui  n'entrent  pas  expressément  dans  le  cadre  de  la 
directive 2002/58/CE. 
40.  Selon  les  explications  de  la  juridiction  de  renvoi  (points 4  à  6  de  l'ordonnance  de 
renvoi),  dans  la  situation  en  cause  en  l'espèce,  le  gestionnaire  du  site internet  (en 
l'occurrence,  la  partie  requérante  à  l'appel)  insère  dans  ce  site  un  code  programme 
qui  permet  au  navigateur  de  l'utilisateur  de  solliciter  des  contenus  d'un  tiers  (en 
l'occurrence,  Facebook)  et  de  lui  transmettre  à  cet  effet  des  données  à  caractère 
personnel.  Ce  tiers  accède  ainsi  à  des  informations  stockées  dans  l'équipement 
terminal  d'un  utilisateur,  au  sens  de  l'article 5,  paragraphe 3,  de  la 
directive 2002/58/CE. 
41.  Il est vrai que, dans une situation telle que celle en cause au principal, ni la gestion 
d’un  site internet,  ni  celle  d’un  réseau  social  tel  que  Facebook  ne  constitue  une 
fourniture  de  services  de  communications  électroniques  accessibles  au  public.  Cet 
aspect  n'est  cependant  pas  nécessaire  pour  ouvrir  le  champ  d'application  de  la 
directive 2002/58/CE.  En  vertu  de  l'article 3  de  cette  directive,  ce  champ 
d'application englobe tout traitement de données à caractère personnel effectué dans 
le cadre de la fourniture de tels services de communications. Dans une situation telle 
que celle en cause au principal, le tiers, c'est-à-dire le gestionnaire d’un réseau social 
tel que Facebook, traite effectivement les données qui lui ont été transmises dans le 
 

17 
 
cadre  de  la  fourniture  de  services  de  communications  électroniques  accessibles  au 
public,  au  sens  de  l’article 3  de  la  directive  2002/58/CE.  En  effet,  la  transmission 
des données s’effectue dans le cadre de l’utilisation d'internet.  
42.  Les  seules  exceptions  à  l'obligation  de  consentement  prévues  à  l'article 5, 
paragraphe 3,  de  la  directive 2002/58/CE  concernent  uniquement  les  cas  où  l'accès 
vise  exclusivement  à  effectuer  ou  à  faciliter  la  transmission  d'une  communication 
par  la  voie  d'un  réseau  de  communications  électroniques,  ou  est  strictement 
nécessaire  à  la  fourniture  d'un  service  de  la  société  de  l'information  expressément 
demandé  par  l'abonné  ou  l'utilisateur.  Ces  exceptions  ne  sont  toutefois  pas 
pertinentes dans une situation telle que celle en cause au principal. 
43.  Par  conséquent,  dans  une  situation  telle  que  celle  en  l'espèce,  le  traitement  de 
données à caractère personnel effectué après la transmission de ces données – pour 
lequel,  comme  l’a  exposé  la  Commission  au  point 30  des  présentes  observations 
écrites, le gestionnaire du site internet et le tiers sont conjointement responsables –, 
n'est autorisé qu’avec le consentement de la personne concernée. Ainsi, il importe 
peu  de  savoir  si  ce  traitement  de  données  à  caractère  personnel  est  nécessaire  à  la 
réalisation de l'intérêt légitime poursuivi par le ou les responsables du traitement ou 
par un tiers. 
 
5.  
 
Sur les cinquième et sixième questions 
 
44.  Par  ses  cinquième  et  sixième questions,  auxquelles,  selon  la  Commission,  il 
convient de répondre conjointement, la juridiction de renvoi demande en substance 
si,  dans  une  situation  telle  que  celle  en  cause  au  principal,  premièrement,  le 
consentement de la personne concernée visé à l’article 7, sous a), lu en combinaison 
avec l’article 2, sous h), de la directive 95/46/CE, doit être donné au gestionnaire du 
site internet  ou  au  tiers  et,  deuxièmement,  si  l’obligation  d’information  prévue  à 
l’article 10 de la directive 95/46/CE concerne le gestionnaire de site internet.  
45.  Comme  la  Commission  l’a  indiqué  au  point 30  des  présentes  observations  écrites, 
dans  une  situation  telle  que  celle  en  cause  au  principal,  le  gestionnaire  du 
site internet et le tiers sont conjointement responsables du traitement des données à 
caractère personnel effectué après la transmission de ces données. 
 

18 
 
46.  La directive 95/46/CE ne prévoit pas de règles spécifiques pour le cas où plusieurs 
personnes  sont  conjointement  responsables  du  traitement  de  données  à  caractère 
personnel. Selon la Commission, le fait qu'il y ait plusieurs responsables ne doit pas 
affecter l'équilibre des droits et obligations existants entre le ou les responsables du 
traitement, d’une part, et la personne concernée par ce traitement, d’autre part.  
47.  S'agissant du consentement de la personne concernée par un traitement de données à 
caractère  personnel,  celle-ci  est  libre  de  choisir  à  qui  donner  son  consentement 
parmi  les  responsables  du  traitement.  Le  consentement  ne  doit  cependant  être 
accordé  qu’une  seule  fois.  Une  fois  qu'il  est  accordé,  il  vaut  pour  l'ensemble  des 
responsables du traitement.  
48.  S'agissant  de  l’obligation  d’information  prévue  à  l’article 10  de  la  directive 
95/46/CE,  la  Commission  estime  que  celle-ci  incombe,  en  principe,  à  chacun  des 
différents  responsables  du  traitement.  La  personne  concernée  ne  doit  cependant 
recevoir  les  informations  qu’une  seule  fois.  Une  fois  qu'elle  les  a  reçues,  cela 
exonère de leurs obligations l'ensemble des responsables du traitement. 
49.  Il  convient  à  cet  égard  de  rappeler  que  la  personne  concernée  doit  recevoir  les 
informations  avant  la  collecte  des  données  à  traiter.  Dans  une  situation  telle  que 
celle  en  cause  au  principal,  la  personne  concernée  doit  recevoir  les  informations 
visées  à  l’article 10  de  la  directive 95/46/CE  avant  de  consulter  le  site internet  en 
question.  En  effet,  le  traitement,  par  le  tiers,  des  données  à  caractère  personnel 
s'effectue automatiquement à la suite de cette consultation.  
50.  Aux cinquième et sixième questions il convient par conséquent de répondre, selon la 
Commission, que, dans une situation telle que celle en cause au principal: 
 
–  la  personne  concernée  est  libre  de  donner  son  consentement,  en  vertu  de 
l’article 7,  sous a),  lu  en  combinaison  avec  l’article 2,  sous h),  de  la  directive 
95/46/CE, soit au gestionnaire du site internet, soit au tiers; le consentement ne doit 
être  accordé  qu’une  seule  fois;  une  fois  qu'il  a  été  accordé  à  l'un,  il  vaut  pour 
l’autre1;  
                                                 
1  Ndt:  le  texte  allemand  doit  se  lire  comme  suit:  «ist  sie  gegenüber  einem  der  beiden  erteilt  worden,  so 
wirkt dies zugunsten des jeweils anderen». 
 

19 
 
 
– l’obligation d’information prévue à l'article 10 de la directive 95/46/CE incombe, 
en principe, tant au gestionnaire du site internet qu'au tiers, et la personne concernée 
doit  recevoir  les  informations  visées  dans  cette  disposition  avant  de  consulter  le 
site en  question;  la  personne  concernée  ne  doit  recevoir  les  informations  qu’une 
seule fois. Une fois qu'elle les a reçues, cela exonère de leurs obligations l'ensemble 
des responsables du traitement. 
 
D.  
 
Conclusion 
 
51.  Eu  égard  aux  considérations  qui  précèdent,  la  Commission  propose  à  la  Cour  de 
répondre comme suit aux questions préjudicielles: 
 
«1. Les articles 22 à 24 et 28 de la directive 95/46/CE doivent être interprétés en ce 
sens  qu'ils  régissent  de  manière  exhaustive  les  voies  de  recours  de  la  personne 
concernée  par  un  traitement  de  données  ainsi  que  les  pouvoirs  d'intervention  des 
autorités  nationales  de  contrôle,  de  telle  façon  à  ce  qu'ils  s’opposent  à  une 
réglementation  nationale  qui  habilite  les  associations  d'utilité  publique  de  défense 
des  intérêts  des  consommateurs  à  former  un  recours  contre  le  responsable  du 
traitement en cas d'éventuel traitement de données illicite. 
 
2.  Le  gestionnaire  d’un  site internet  qui  insère  dans  son  site  un  code  programme 
permettant  au  navigateur  de  l'utilisateur  de  solliciter  des  contenus  d'un  tiers  et  de 
transmettre à cet effet au tiers des données à caractère personnel est un responsable 
du  traitement  au  sens  de  l’article,  paragraphe 2,  sous d),  de  la  directive  95/46/CE, 
même  s'il  n'a  pas  d'influence  sur  les  données  transmises  par  le  navigateur  de 
l'utilisateur ni sur le fait de savoir si et, le cas échéant, comment le tiers va utiliser 
ces données. 
 
3.  L'article 2,  sous d),  de  la  directive 95/46/CE  doit  être  interprété  en  ce  sens  qu'il 
régit exhaustivement la responsabilité, dans le sens qu'il s'oppose à la mise en cause 
sur  le  plan  civil  d'un  tiers  qui,  sans  être  un  «responsable  du  traitement»  est  à 
l'origine du processus du traitement des données sans avoir d'influence sur celui-ci. 
 

20 
 
 
4. Dans une situation telle que celle en cause au principal, il importe peu de savoir si 
le  traitement  de  données  à  caractère  personnel  est  nécessaire  à  la  réalisation  de 
l'intérêt légitime poursuivi par le ou les responsables du traitement ou par un tiers.  
 
5. Dans une situation telle que celle en cause au principal: 
 
– la personne concernée est libre, en vertu de l’article 7, sous a), lu en combinaison 
avec l’article 2, sous h), de la directive 95/46, d'accorder son consentement soit au 
gestionnaire  du  site internet,  soit  au  tiers;  le  consentement  ne  doit  être  accordé 
qu’une seule fois; une fois qu'il a été accordé à l'un, il vaut pour l’autre2;  
 
– l’obligation d’information prévue à l'article 10 de la directive 95/46/CE incombe, 
en principe, tant au gestionnaire du site internet qu'au tiers, et la personne concernée 
doit  recevoir  les  informations  visées  dans  cette  disposition  avant  de  consulter  le 
site en  question;  la  personne  concernée  ne  doit  recevoir  les  informations  qu’une 
seule fois. Une fois qu'elle les a reçues, cela exonère de leurs obligations l'ensemble 
des responsables du traitement.» 
 
 
 
 
 
 
Hannes KRÄMER 
 
 
 
Herke KRANENBORG 
 
 
Agents de la Commission 
                                                 
2 Ndt: même remarque que dans la note 1 ci-dessus. 
 

Document Outline