Ref. Ares(2017)2205289 - 28/04/2017
COMMISSION EUROPÉENNE
Bruxelles, le 28 avril 2017
sj.f(2017)2509079
TRAD: DE-FR
Documents de procédure
juridictionnelle
À MONSIEUR LE PRESIDENT ET AUX MEMBRES
DE LA COUR DE JUSTICE DE L’UNION EUROPEENNE
OBSERVATIONS ECRITES
déposées, conformément à l’article 23, deuxième alinéa, du protocole sur le statut de la
Cour de justice de l'Union européenne,
dans l'affaire C-40/17,
par la Commission européenne, représentée par M. Hannes Krämer, son conseiller
juridique, et M. Herke Kranenborg, membre de son service juridique, ayant élu domicile
auprès du service juridique, Greffe contentieux, BERL 1/169, B-1049 Bruxelles, et
consentant à la signification de tout acte de procédure via eCuria,
ayant pour objet une demande de décision préjudicielle présentée, en vertu de
l’article 267 du traité sur le fonctionnement de l'Union européenne, par
l’Oberlandesgericht Düsseldorf (Allemagne), dans le litige opposant
Fashion ID GmbH& Co.KG
– partie requérante à l'appel –
à
Verbraucherzentrale NRW e.V.,
– partie défenderesse à l'appel –
et portant sur l'interprétation de l'article 2, sous d) et h), de l'article 7, sous a) et f), ainsi
que des articles 10, 22, 23 et 24 de la directive 95/46/CE du Parlement européen et du
Commission européenne/Europese Commissie, 1049 Bruxelles/Brussel, BELGIQUE/BELGIË –Tél. +32 22991111
Bureau: BERL 1/25 – Tél. ligne directe + 32 229-50686
2
Conseil du 24 octobre 1995 sur la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation de ces données
(JO L 281 du 23.11.1995, p. 31, ci-après la «directive 95/46/CE»).
La Commission a l'honneur de présenter les observations suivantes concernant la
présente procédure préjudicielle:
A. Cadre juridique
1. Droit de l'Union européenne
1.
L'article 2 («
Définitions») de la directive 95/46/CE est libellé comme suit:
«
Aux fins de la présente directive, on entend par:
[...]
d) "responsable du traitement": la personne physique ou morale, l'autorité
publique, le service ou tout autre organisme qui, seul ou conjointement avec
d'autres, détermine les finalités et les moyens du traitement de données à caractère
personnel; lorsque les finalités et les moyens du traitement sont déterminés par des
dispositions législatives ou réglementaires nationales ou communautaires, le
responsable du traitement ou les critères spécifiques pour le désigner peuvent être
fixés par le droit national ou communautaire;
e) "sous-traitement": la personne physique ou morale, l'autorité publique, le service
ou tout autre organisme qui traite des données à caractère personnel pour le
compte du responsable du traitement;
[...]
h): "consentement de la personne concernée": toute manifestation de volonté, libre,
spécifique et informée par laquelle la personne concernée accepte que des données
à caractère personnel la concernant fassent l’objet d’un traitement.»
2.
L'article 7 de la directive 95/46/CE est libellé comme suit:
3
«
Les États membres prévoient que le traitement de données à caractère personnel
ne peut être effectué que si:
a) la personne concernée a indubitablement donné son consentement;
[...]
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable
du traitement ou par le ou les tiers auxquels les données sont communiquées, à
condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la
personne concernée, qui appellent une protection au titre de l’article 1er
paragraphe 1.»
3.
L’article 10 («
Informations en cas de collecte de données auprès de la personne
concernée») de la directive 95/46/CE est libellé comme suit:
«
Les États membres prévoient que le responsable du traitement ou son représentant
doit fournir à la personne auprès de laquelle il collecte des données la concernant
au moins les informations énumérées ci-dessous, sauf si la personne en est déjà
informée:
a) l’identité du responsable du traitement et, le cas échéant, de son représentant;
b) les finalités du traitement auquel les données sont destinées;
c) toute information supplémentaire telle que:
– les destinataires ou les catégories de destinataires des données,
– le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que
les conséquences éventuelles d’un défaut de réponse,
– l’existence d’un droit d’accès aux données la concernant et de rectification de ces
données,
dans la mesure où, compte tenu des circonstances particulières dans lesquelles les
données sont collectées, ces informations supplémentaires sont nécessaires pour
assurer à l’égard de la personne concernée un traitement loyal des données.»
4
4.
L'article 22 («
Recours») de la directive 95/46/CE est libellé comme suit:
«
Sans préjudice du recours administratif qui peut être organisé, notamment devant
l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité
judiciaire, les États membres prévoient que toute personne dispose d’un recours
juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions
nationales applicables au traitement en question».
5.
L'article 23 («
Responsabilité») de la directive 95/46/CE est libellé comme suit:
«
1. Les États membres prévoient que toute personne ayant subi un dommage du fait
d'un traitement illicite ou de toute action incompatible avec les dispositions
nationales prises en application de la présente directive a le droit d'obtenir du
responsable du traitement réparation du préjudice subi.
2. Le responsable du traitement peut être exonéré partiellement ou totalement de
cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas
imputable.»
6.
L'article 24 («
Sanctions») de la directive 95/46/CE est libellé comme suit:
«
Les États membres prennent les mesures appropriées pour assurer la pleine
application des dispositions de la présente directive et déterminent notamment les
sanctions à appliquer en cas de violation des dispositions prises en application de la
présente directive.»
7.
L’article 28 («
Autorité de contrôle») de la directive 95/46/CE est libellé comme
suit:
«
1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont
chargées de surveiller l'application, sur son territoire, des dispositions adoptées par
les États membres en application de la présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
[...]
3. Chaque autorité de contrôle dispose notamment:
5
– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant
l’objet d’un traitement et de recueillir toutes les informations nécessaires à
l’accomplissement de sa mission de contrôle,
– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis
préalablement à la mise en œuvre des traitements, conformément à l’article 20, et
d’assurer une publication appropriée de ces avis ou celui d’ordonner le
verrouillage, l’effacement ou la destruction de données, ou d’interdire
temporairement ou définitivement un traitement, ou celui d’adresser un
avertissement ou une admonestation au responsable du traitement ou celui de saisir
les parlements nationaux ou d’autres institutions politiques,
– du pouvoir d'ester en justice en cas de violation des dispositions nationales prises
en application de la présente directive ou du pouvoir de porter ces violations à la
connaissance de l'autorité judiciaire.
Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours
juridictionnel.
4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une
association la représentant, d’une demande relative à la protection de ses droits et
libertés à l’égard du traitement de données à caractère personnel. La personne
concernée est informée des suites données à sa demande.
Chaque autorité de contrôle peut, en particulier, être saisie par toute personne
d’une demande de vérification de la licéité d’un traitement lorsque les dispositions
nationales prises en vertu de l’article 13 de la présente directive sont d’application.
La personne est à tout le moins informée de ce qu’une vérification a eu lieu.
[...]
6. Indépendamment du droit national applicable au traitement en cause, chaque
autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre
dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3.
Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une
autorité d'un autre État membre.
6
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à
l'accomplissement de leurs missions, notamment en échangeant toute information
utile.
[...]».
8.
Le considérant 10 de la directive 2002/58/CE du Parlement européen et du Conseil
du 12 juillet 2002 concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des communications électroniques
(JO L 201 du 12 juillet 2002, p. 37, ci-après la «directive 2002/58/CE»), est libellé
comme suit:
«
Dans le secteur des communications électroniques, la directive 95/46/CE est
applicable notamment à tous les aspects de la protection des droits et libertés
fondamentaux qui n'entrent pas expressément dans le cadre de la présente directive,
y compris les obligations auxquelles est soumis le responsable du traitement des
données à caractère personnel et les droits individuels. [...]».
9.
L'article 3 («
Services concernés») de la directive 2002/58/CE est libellé comme suit:
«
La présente directive s’applique au traitement des données à caractère personnel
dans le cadre de la fourniture de services de communications électroniques
accessibles au public sur les réseaux de communications publics dans la
Communauté, y compris les réseaux de communications publics qui prennent en
charge les dispositifs de collecte de données et d'identification.»
10. L'article 5 («
Confidentialité des communications») de la directive 2002/58/CE est
libellé comme suit:
«[...]
3. Les États membres garantissent que le stockage d'informations, ou l’obtention de
l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné
ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait
donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une
information claire et complète, entre autres sur les finalités du traitement. Cette
disposition ne fait pas obstacle à un stockage ou à un accès techniques visant
7
exclusivement à effectuer la transmission d’une communication par la voie d’un
réseau de communications électroniques, ou strictement nécessaires au fournisseur
pour la fourniture d’un service de la société de l’information expressément demandé
par l’abonné ou l’utilisateur.»
B.
Procédure au principal et questions préjudicielles
11. La partie défenderesse à l'appel est une association d’utilité publique de défense des
intérêts des consommateurs et la partie requérante à l'appel une entreprise de vente
en ligne de vêtements.
12. La partie défenderesse à l'appel demande à la partie requérante à l'appel de ne pas
insérer sur son site internet «www.fashionid.de» le module social «J’aime» du
réseau social Facebook (Facebook Inc., plus précisément Facebook Ireland Ltd.):
1) sans avoir informé les utilisateurs du site, de manière explicite et visible, et avant
que le fournisseur du module n’accède à l’adresse IP et ne prenne la chaîne de
caractères de l'utilisateur, sur la finalité de la collecte et de l’utilisation des données
transmises, et/ou
2) sans avoir au préalable recueilli le consentement des utilisateurs du site
concernant l’accès à l’adresse IP et à la chaîne de caractères du navigateur par le
fournisseur du module social, ainsi que concernant l’utilisation des données, et/ou
3) sans avoir informé les utilisateurs ayant donné leur consentement, conformément
au chef de conclusions sous 2 ci-dessus, qu'ils peuvent se rétracter à tout moment et
avec effet pour l'avenir,
4) tout en publiant la déclaration suivante: «Si vous êtes utilisateur d'un réseau
social et ne souhaitez pas que celui-ci collecte des données vous concernant par
l'intermédiaire de notre site internet et les relient à vos données d’utilisateur
stockées dans le réseau social, vous devez vous déconnecter de ce réseau avant de
visiter notre site.»
8
13. Lorsqu'un gestionnaire de site internet a inséré dans son site le module social
«J’aime» de Facebook, le navigateur de l’utilisateur transmet, selon les constatations
de la juridiction de renvoi, outre l’adresse IP et la chaîne de caractères (si celle-ci est
activée), plusieurs «cookies», à savoir des fichiers textes contenant certaines
informations, que l'utilisateur ait cliqué ou non sur le bouton «J'aime». Ces cookies
englobent le «cookie de session», qui est placé chez les membres de Facebook
connectés et permet d’identifier sans équivoque un compte d’utilisateur, le
«cookie datr», qui est placé lors de la première visite d’une page Facebook et permet
d'identifier sans équivoque le navigateur des membres et non membres du réseau
social, ainsi que le «cookie fr», qui permet également d'identifier sans équivoque
l’utilisateur et qui est placé lors de la visite d’une page Facebook ou d'une page
partenaire non spécifiée. En outre, la page à partir de laquelle le bouton a été utilisé
est également transférée. Le gestionnaire d'un site internet qui a inséré dans son site
le module social «J’aime» de Facebook n'a aucune influence sur les données
transmises par le navigateur de l'utilisateur ni sur le fait de savoir si et, le cas
échéant, comment Facebook va utiliser ces données.
14. Par un jugement du 9 mars 2016, le Landgericht (tribunal régional) compétent a
condamné la partie requérante à l'appel pour les chefs de conclusions 1 à 3
reproduits au point 12 des présentes observations écrites et rejeté la demande
concernant le chef de conclusions 4.
15. Par son appel devant l’Oberlandesgericht Düsseldorf (ci-après la «juridiction de
renvoi»), la partie requérante à l'appel souhaite obtenir l'annulation du jugement du
Landgericht du 9 mars 2016, dans la mesure où celui-ci a fait droit à la demande de
la partie défenderesse à l'appel. Elle avance, en substance, d’une part, que le
Landgericht a estimé à tort que la partie défenderesse à l'appel avait qualité pour
agir, étant donné que, selon elle, les dispositions exhaustives des articles 22 à 24 de
la directive 95/46/CE prévoient que seules les autorités chargées de la protection des
données et les personnes concernées – et non les associations – ont qualité pour agir
en vue de faire respecter les obligations des responsables du traitement des données.
Elle fait valoir, d'autre part, que le Landgericht a considéré à tort que la partie
requérante à l'appel était responsable du traitement au sens de l’article 2, sous d), de
la directive 95/46/CE.
9
16. La partie défenderesse à l'appel demande le rejet de l’appel et affirme en substance
que Facebook Inc. ou, plus précisément, Facebook Ireland Ltd, stocke l'adresse IP
transmise, ainsi que la chaîne de caractères, et les relie à un utilisateur spécifique
(qu'il soit membre ou non membre du réseau social).
17. La juridiction de renvoi a sursis à statuer au principal et posé à la Cour les questions
préjudicielles suivantes:
«
1. Le régime des articles 22, 23 et 24 de la directive 95/46/CE [...] s’oppose-t-il à
une réglementation nationale qui, en marge des pouvoirs d’intervention des
autorités de protection des données et des actions en justice de la personne
concernée, habilite, en cas d’atteintes, des associations d’utilité publique de défense
des intérêts des consommateurs à agir contre l’auteur d’une atteinte?
Si la première question appelle une réponse négative:
2. Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un code
programme permettant au navigateur de l’utilisateur de solliciter des contenus d’un
tiers et de transmettre à cet effet au tiers des données à caractère personnel, celui
qui fait l’insertion est-il «responsable du traitement» au sens de l’article 2, sous d),
de la directive 95/46/CE [...] lorsqu’il ne peut avoir lui-même aucune influence sur
ce processus de traitement des données?
3. Si la deuxième question appelle une réponse négative: l’article 2, sous d), de la
directive 95/46/CE [...] doit-il être interprété en ce sens qu’il régit exhaustivement
la responsabilité en ce sens qu’il s’oppose à la mise en cause sur le plan civil d’un
tiers qui n’est certes pas «responsable du traitement» mais est à l’origine du
processus de traitement des données sans avoir d’influence sur celui-ci?
4. Dans un contexte comme celui de l’espèce, quel est l’«intérêt légitime» à prendre
en compte dans la mise en balance à faire au titre de l’article 7, sous f), de la
directive 95/46/CE? Est-ce l’intérêt d’insérer des contenus de tiers ou est-ce
l’intérêt du tiers?
5. Dans un contexte comme celui de l’espèce, à qui doit être donné le consentement
visé à l’article 7, sous a), et à l’article 2, sous h), de la directive 95/46/CE?
10
6. L’obligation d’informer la personne concernée en vertu de l’article 10 de la
directive 95/46/CE dans une situation telle que celle qui se présente en l’espèce
pèse-t-elle également sur le gestionnaire du site qui a inséré le contenu d’un tiers et
est ainsi à l’origine du traitement des données à caractère personnel fait par un
tiers?»
C.
Appréciation juridique
1.
Sur la première question
18. Par sa première question, la juridiction de renvoi demande, en substance, si les
articles 22 à 24 et 28 de la directive 95/46/CE doivent être interprétés en ce sens
qu'ils régissent de manière exhaustive les voies de recours de la personne concernée
par un traitement de données ainsi que les pouvoirs d'intervention des autorités
nationales de contrôle, de telle façon à ce qu'ils s’opposent à une réglementation
nationale qui habilite les associations d'utilité publique de défense des intérêts des
consommateurs à former un recours contre le responsable du traitement en cas
d'éventuel traitement de données illicite.
19. La Commission fait observer à titre liminaire que l'article 28, paragraphe 4, de la
directive 95/46/CE prévoit expressément qu'une association représentant une
personne concernée par un traitement de données peut saisir une autorité de contrôle
nationale afin de protéger les droits et les libertés de cette personne à l'égard du
traitement de données. La directive 95/46/CE ne prévoit cependant pas
expressément ni l’introduction d’un recours par une association, ni la possibilité
pour celle-ci d'intenter des poursuites sans un mandat de la part de la personne
concernée.
20. Il n'en résulte pas pour autant que la directive 95/46/CE s’opposerait à une
réglementation nationale qui habilite les associations d'utilité publique de défense
des intérêts des consommateurs à former un recours contre le responsable du
traitement en cas d'éventuel traitement de données illicite.
21. Il est vrai que, la Cour a jugé que la directive 95/46/CE ne se limite pas à une
harmonisation minimale des dispositions nationales, mais aboutit à une
11
harmonisation qui est, en principe, complète. C’est dans cette optique que la
directive 95/46/CE entend assurer la libre circulation des données à caractère
personnel, tout en garantissant un haut niveau de protection des droits et des intérêts
des
personnes
visées
par
ces
données
(arrêts Lindqvist,
C-101/01,
ECLI:EU:C:2003:596, point 96, et ASNEF, C-468/10, ECLI:EU:C:2011:777,
point 29). Si la directive 95/46/CE reconnaît aux États membres une marge de
manœuvre dans certains domaines et les autorise à maintenir ou à introduire des
régimes particuliers pour des situations spécifiques, de telles possibilités doivent
toutefois être utilisées de la manière prévue par la directive 95/46/CE et
conformément à son objectif consistant à maintenir un équilibre entre la libre
circulation des données à caractère personnel et la protection de la vie privée
(arrêt Lindqvist, point 97).
22. Il ressort cependant de ces développements de la Cour au sujet du degré de
l'harmonisation des législations nationales qu'opère la directive 95/46/CE ainsi que
des marges de manœuvre laissées aux États membres, que ceux-ci concernent
uniquement des réglementations nationales susceptibles, en principe, d'affecter
l’équilibre entre la libre circulation des données à caractère personnel et la
protection de la vie privée. Tel était le cas des réglementations nationales faisant
l’objet des arrêts Lindqvist et ASNEF. Dans l'affaire Lindqvist, il s'agissait d'une
réglementation nationale prévoyant une protection des données à caractère
personnel plus étendue que celle prévue par la directive 95/46/CE, dans
l'affaire ASNEF, d'une réglementation nationale exigeant que, lorsque le traitement
de données à caractère personnel doit être effectué sans le consentement de la
personne concernée afin de réaliser l'intérêt légitime du responsable du traitement ou
du/des tiers auxquels les données sont communiquées, ces données soient contenues
dans des sources accessibles au public.
23. La réglementation nationale en cause en l'espèce donne simplement des possibilités
de mettre en œuvre les droits et les libertés conférés par la directive 95/46/CE aux
personnes concernées par un traitement de données, qui vont au-delà de celles
prévues à cette fin par ladite directive. Une telle réglementation n'est cependant pas
susceptible, en principe, d'affecter l'équilibre entre la libre circulation des données à
caractère personnel et la protection de la vie privée.
12
24. À la première question, il convient par conséquent de répondre selon la
Commission, que les articles 22 à 24 et 28 de la directive 95/46/CE doivent être
interprétés en ce sens qu'ils régissent de manière exhaustive les voies de recours de
la personne concernée par un traitement de données ainsi que les pouvoirs
d'intervention des autorités nationales de contrôle, ils s’opposent à une
réglementation nationale qui habilite les associations d'utilité publique de défense
des intérêts des consommateurs à former un recours contre le responsable du
traitement en cas d'éventuel traitement de données illicite.
2.
Sur la deuxième question
25. Par sa deuxième question, la juridiction de renvoi demande, en substance, si le
gestionnaire d’un site internet qui insère dans son site un code programme
permettant au navigateur de l’utilisateur de ce site de solliciter des contenus d'un
tiers et de transmettre à cet effet au tiers des données à caractère personnel (ci-après
le «gyestionnaire du site internet») peut être considéré comme un responsable du
traitement, après leur transmission, des données à caractère personnel, au sens de
l’article 2, sous d), de la directive 95/46/CE, lorsqu’il n'a pas d'influence sur les
données transmises par le navigateur de l'utilisateur ni sur le fait de savoir si et, le
cas échéant, comment le tiers va utiliser ces données.
26. La Commission rappelle que l’article 2, sous d), de la directive 94/56/CE définit le
«responsable du traitement» comme étant «la personne physique ou morale,
l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement
avec d'autres, détermine les finalités et les moyens du traitement de données à
caractère personnel […]». À cet égard, la Cour a jugé, dans l’arrêt Google Spain e.a.
(C-131/12, ECLI:EU:C:2014:317, point 34), que l’objectif de la disposition
consistant à assurer une protection efficace et complète des personnes concernées
exige une définition large de la notion de «responsable du traitement».
27. Dans une situation telle que celle en cause au principal, lorsque les données à
caractère personnel des utilisateurs du site internet sont transmises à un tiers, c'est-à-
dire au gestionnaire d'un réseau social tel que Facebook, à la suite de la consultation
du site, c'est ce tiers qui est responsable du traitement des données transmises. En
13
effet, c'est lui qui détermine les finalités et les moyens du traitement des données à
caractère personnel qui lui ont été communiquées. Cela n’exclut toutefois pas de
considérer également le gestionnaire du site internet comme responsable du
traitement des données à caractère personnel de l'utilisateur effectué après la
transmission de ces données.
28. Cependant, ainsi qu'il découle du libellé même de l’article 2, sous d), de la directive
95/46/CE, plusieurs personnes peuvent être conjointement responsables d'une
procédure de traitement de données à caractère personnel. Tel est le cas lorsque
chacune d'elles effectue une action fondée sur une décision concernant les finalités
et les moyens du traitement.
29. Une personne effectue une action fondée sur une décision concernant les finalités et
les moyens du traitement de données à caractère personnel lorsqu'elle prend des
dispositions de fait ou de droit en matière de traitement de données à caractère
personnel. Cela est, de manière évidente, le cas lorsque la personne traite elle-même
les données, sans en avoir été chargée par une autre personne. De telles dispositions
(de droit) existent également lorsqu'une personne charge une autre du traitement de
données à caractère personnel, ce qui, dans la situation en cause au principal, n'est
toutefois pas le cas. Par ailleurs, il y a disposition de fait concernant le traitement de
données à caractère personnel lorsqu'une personne oriente vers une autre la
transmission de données à caractère personnel qu'elle-même ne détient pas. Une
action de ce type est nécessairement fondée sur une décision concernant les finalités
et les moyens du traitement après la transmission. Dans une telle situation, la
personne qui oriente la transmission de données à caractère personnel et celle qui
effectue le traitement des données transmises sont conjointement responsables du
traitement.
30. Tel est le cas dans une situation telle que celle en cause au principal. Le gestionnaire
du site internet, par le seul fait d'insérer le code programme concerné dans son site,
oriente vers le tiers la transmission de données à caractère personnel que lui-même
ne détient pas. Il prend ainsi des dispositions (de nature factuelle) concernant le
traitement de données à caractère personnel. Dès lors, le gestionnaire du site internet
décide des finalités et des moyens de traitement des données à caractère personnel
effectué après la transmission et il est donc responsable du traitement au sens de
14
l’article 2, sous d), de la directive 95/46/CE. Le gestionnaire du site internet et le
tiers sont par conséquent conjointement responsables du traitement des données à
caractère personnel effectué après la transmission de ces données.
31. La situation d'un gestionnaire de site internet qui insère dans ce dernier un code
programme permettant au navigateur de l'utilisateur du site de solliciter des contenus
d'un tiers et de lui transmettre à cet effet des données à caractère personnel se
distingue de manière caractéristique de celle du détenteur d'une «fan page» hébergée
sur un réseau social tel que Facebook (qui fait l’objet de la procédure au principal
dans l’affaire pendante C-210/16, Wirtschaftsakademie Schleswig Holstein). En
effet, le détenteur d'une «fan page» ne gère pas la transmission, vers une autre
personne, de données à caractère personnel que lui-même ne détient pas et il ne
prend donc aucune disposition, de quelque nature que ce soit, en matière de
traitement de données à caractère personnel.
32. À la deuxième question, il convient par conséquent de répondre, selon la
Commission, que le gestionnaire d’un site internet qui insère dans ce dernier un
code programme permettant au navigateur de l'utilisateur de solliciter des contenus
d'un tiers et de lui transmettre à cet effet des données à caractère personnel est un
responsable du traitement au sens de l’article 2, sous d), de la directive 95/46/CE,
même s'il n'a pas d'influence sur les données à caractère personnel transmises par le
navigateur de l'utilisateur ni sur le fait de savoir si et, le cas échéant, comment le
tiers va traiter ces données.
3.
Sur la troisième question
33. Par sa troisième question – pour le cas où la deuxième question appellerait une
réponse négative –, la juridiction de renvoi demande si l'article 2, sous d), de la
directive 95/46/CE doit être interprété en ce sens qu'il régit exhaustivement la
responsabilité, dans le sens qu'il s'oppose à la mise en cause sur le plan civil d'un
tiers qui, sans être un «responsable du traitement» est à l'origine du processus du
traitement des données sans avoir d'influence sur celui-ci.
15
34. Pour la Commission, il n'y a pas lieu de répondre à la troisième question, car elle n’a
été posée que dans le cas où il serait répondu par la négative à la deuxième question,
qui appelle cependant une réponse affirmative.
35. Quant au fond, la Commission estime que les États membres sont en principe
habilités à imposer des obligations, au moyen d'une réglementation autonome, à des
personnes non responsables du traitement au sens de l'article 2), sous d), de la
directive 95/46/CE, dans le cas d'activités qui ne constituent pas en soi un traitement
de données, mais qui ont un lien avec des activités de traitement. Ces obligations
peuvent par exemple relever du domaine de la protection des consommateurs. Si les
États membres définissent de telles obligations, ils doivent toutefois le faire dans le
respect du droit de l'Union. L'article 1er de la directive 95/46/CE, en particulier, ne
leur permet pas de restreindre ni d'interdire la libre circulation des données à
caractère personnel entre États membres pour des raisons relatives à la protection
des libertés et droits fondamentaux des personnes physiques, notamment de leur vie
privée, à l’égard du traitement des données à caractère personnel.
36. À la troisième question, il convient par conséquent de répondre, selon la
Commission, que l'article 2, sous d), de la directive 95/46/CE doit être interprété en
ce sens qu'il régit exhaustivement la responsabilité, dans le sens qu'il s'oppose à la
mise en cause sur le plan civil d'un tiers qui, sans être un «responsable du
traitement» est à l'origine du processus du traitement des données sans avoir
d'influence sur celui-ci.
4.
Sur la quatrième question
37. Par sa quatrième question, la juridiction de renvoi demande, en substance, si, dans
une situation telle que celle en l'espèce, il convient de prendre en compte, lors de
l’application de l'article 7, sous f), de la directive 95/46/CE, les intérêts légitimes du
gestionnaire du site internet ou l’intérêt du tiers.
38. La Commission fait observer que la quatrième question, à son sens, n'est pas
pertinente pour la résolution du litige pendant devant la juridiction de renvoi.
16
39. En vertu de l'article 5, paragraphe 3, de la directive 2002/58/CE notamment l'accès à
des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur
n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après
avoir reçu, dans le respect de la directive 95/46/CE, une information claire et
complète, entre autres sur les finalités du traitement. Cela signifie implicitement,
mais nécessairement, que cet accès n'est autorisé qu’avec le consentement de la
personne concernée. Un tel accès ne peut en particulier être justifié pour l'une des
autres raisons visées à l’article 7 de la directive 95/46/CE qui confèrent un caractère
de licéité au traitement de données à caractère personnel. En effet, selon le
considérant 10 de la directive 2002/58/CE, dans le secteur des communications
électroniques, la directive 95/46/CE est applicable seulement aux aspects de la
protection des droits et libertés fondamentaux, y compris les obligations auxquelles
est soumis le responsable du traitement des données à caractère personnel et les
droits individuels, qui n'entrent pas expressément dans le cadre de la
directive 2002/58/CE.
40. Selon les explications de la juridiction de renvoi (points 4 à 6 de l'ordonnance de
renvoi), dans la situation en cause en l'espèce, le gestionnaire du site internet (en
l'occurrence, la partie requérante à l'appel) insère dans ce site un code programme
qui permet au navigateur de l'utilisateur de solliciter des contenus d'un tiers (en
l'occurrence, Facebook) et de lui transmettre à cet effet des données à caractère
personnel. Ce tiers accède ainsi à des informations stockées dans l'équipement
terminal d'un utilisateur, au sens de l'article 5, paragraphe 3, de la
directive 2002/58/CE.
41. Il est vrai que, dans une situation telle que celle en cause au principal, ni la gestion
d’un site internet, ni celle d’un réseau social tel que Facebook ne constitue une
fourniture de services de communications électroniques accessibles au public.
Cet
aspect n'est cependant pas nécessaire pour ouvrir le champ d'application de la
directive 2002/58/CE. En vertu de l'article 3 de cette directive, ce champ
d'application englobe tout traitement de données à caractère personnel effectué dans
le cadre de la fourniture de tels services de communications. Dans une situation telle
que celle en cause au principal, le tiers, c'est-à-dire le gestionnaire d’un réseau social
tel que Facebook, traite effectivement les données qui lui ont été transmises dans le
17
cadre de la fourniture de services de communications électroniques accessibles au
public, au sens de l’article 3 de la directive 2002/58/CE. En effet, la transmission
des données s’effectue dans le cadre de l’utilisation d'internet.
42. Les seules exceptions à l'obligation de consentement prévues à l'article 5,
paragraphe 3, de la directive 2002/58/CE concernent uniquement les cas où l'accès
vise exclusivement à effectuer ou à faciliter la transmission d'une communication
par la voie d'un réseau de communications électroniques, ou est strictement
nécessaire à la fourniture d'un service de la société de l'information expressément
demandé par l'abonné ou l'utilisateur. Ces exceptions ne sont toutefois pas
pertinentes dans une situation telle que celle en cause au principal.
43. Par conséquent, dans une situation telle que celle en l'espèce, le traitement de
données à caractère personnel effectué après la transmission de ces données – pour
lequel, comme l’a exposé la Commission au point 30 des présentes observations
écrites, le gestionnaire du site internet et le tiers sont conjointement responsables –,
n'est autorisé qu’avec le consentement de la personne concernée. Ainsi, il importe
peu de savoir si ce traitement de données à caractère personnel est nécessaire à la
réalisation de l'intérêt légitime poursuivi par le ou les responsables du traitement ou
par un tiers.
5.
Sur les cinquième et sixième questions
44. Par ses cinquième et sixième questions, auxquelles, selon la Commission, il
convient de répondre conjointement, la juridiction de renvoi demande en substance
si, dans une situation telle que celle en cause au principal, premièrement, le
consentement de la personne concernée visé à l’article 7, sous a), lu en combinaison
avec l’article 2, sous h), de la directive 95/46/CE, doit être donné au gestionnaire du
site internet ou au tiers et, deuxièmement, si l’obligation d’information prévue à
l’article 10 de la directive 95/46/CE concerne le gestionnaire de site internet.
45. Comme la Commission l’a indiqué au point 30 des présentes observations écrites,
dans une situation telle que celle en cause au principal, le gestionnaire du
site internet et le tiers sont conjointement responsables du traitement des données à
caractère personnel effectué après la transmission de ces données.
18
46. La directive 95/46/CE ne prévoit pas de règles spécifiques pour le cas où plusieurs
personnes sont conjointement responsables du traitement de données à caractère
personnel. Selon la Commission, le fait qu'il y ait plusieurs responsables ne doit pas
affecter l'équilibre des droits et obligations existants entre le ou les responsables du
traitement, d’une part, et la personne concernée par ce traitement, d’autre part.
47. S'agissant du consentement de la personne concernée par un traitement de données à
caractère personnel, celle-ci est libre de choisir à qui donner son consentement
parmi les responsables du traitement. Le consentement ne doit cependant être
accordé qu’une seule fois. Une fois qu'il est accordé, il vaut pour l'ensemble des
responsables du traitement.
48. S'agissant de l’obligation d’information prévue à l’article 10 de la directive
95/46/CE, la Commission estime que celle-ci incombe, en principe, à chacun des
différents responsables du traitement. La personne concernée ne doit cependant
recevoir les informations qu’une seule fois. Une fois qu'elle les a reçues, cela
exonère de leurs obligations l'ensemble des responsables du traitement.
49. Il convient à cet égard de rappeler que la personne concernée doit recevoir les
informations avant la collecte des données à traiter. Dans une situation telle que
celle en cause au principal, la personne concernée doit recevoir les informations
visées à l’article 10 de la directive 95/46/CE avant de consulter le site internet en
question. En effet, le traitement, par le tiers, des données à caractère personnel
s'effectue automatiquement à la suite de cette consultation.
50. Aux cinquième et sixième questions il convient par conséquent de répondre, selon la
Commission, que, dans une situation telle que celle en cause au principal:
– la personne concernée est libre de donner son consentement, en vertu de
l’article 7, sous a), lu en combinaison avec l’article 2, sous h), de la directive
95/46/CE, soit au gestionnaire du site internet, soit au tiers; le consentement ne doit
être accordé qu’une seule fois; une fois qu'il a été accordé à l'un, il vaut pour
l’autre1;
1 Ndt: le texte allemand doit se lire comme suit: «ist sie gegenüber einem der beiden erteilt worden, so
wirkt dies zugunsten des jeweils anderen».
19
– l’obligation d’information prévue à l'article 10 de la directive 95/46/CE incombe,
en principe, tant au gestionnaire du site internet qu'au tiers, et la personne concernée
doit recevoir les informations visées dans cette disposition avant de consulter le
site en question; la personne concernée ne doit recevoir les informations qu’une
seule fois. Une fois qu'elle les a reçues, cela exonère de leurs obligations l'ensemble
des responsables du traitement.
D.
Conclusion
51. Eu égard aux considérations qui précèdent, la Commission propose à la Cour de
répondre comme suit aux questions préjudicielles:
«1. Les articles 22 à 24 et 28 de la directive 95/46/CE doivent être interprétés en ce
sens qu'ils régissent de manière exhaustive les voies de recours de la personne
concernée par un traitement de données ainsi que les pouvoirs d'intervention des
autorités nationales de contrôle, de telle façon à ce qu'ils s’opposent à une
réglementation nationale qui habilite les associations d'utilité publique de défense
des intérêts des consommateurs à former un recours contre le responsable du
traitement en cas d'éventuel traitement de données illicite.
2. Le gestionnaire d’un site internet qui insère dans son site un code programme
permettant au navigateur de l'utilisateur de solliciter des contenus d'un tiers et de
transmettre à cet effet au tiers des données à caractère personnel est un responsable
du traitement au sens de l’article, paragraphe 2, sous d), de la directive 95/46/CE,
même s'il n'a pas d'influence sur les données transmises par le navigateur de
l'utilisateur ni sur le fait de savoir si et, le cas échéant, comment le tiers va utiliser
ces données.
3. L'article 2, sous d), de la directive 95/46/CE doit être interprété en ce sens qu'il
régit exhaustivement la responsabilité, dans le sens qu'il s'oppose à la mise en cause
sur le plan civil d'un tiers qui, sans être un «responsable du traitement» est à
l'origine du processus du traitement des données sans avoir d'influence sur celui-ci.
20
4. Dans une situation telle que celle en cause au principal, il importe peu de savoir si
le traitement de données à caractère personnel est nécessaire à la réalisation de
l'intérêt légitime poursuivi par le ou les responsables du traitement ou par un tiers.
5. Dans une situation telle que celle en cause au principal:
– la personne concernée est libre, en vertu de l’article 7, sous a), lu en combinaison
avec l’article 2, sous h), de la directive 95/46, d'accorder son consentement soit au
gestionnaire du site internet, soit au tiers; le consentement ne doit être accordé
qu’une seule fois; une fois qu'il a été accordé à l'un, il vaut pour l’autre2;
– l’obligation d’information prévue à l'article 10 de la directive 95/46/CE incombe,
en principe, tant au gestionnaire du site internet qu'au tiers, et la personne concernée
doit recevoir les informations visées dans cette disposition avant de consulter le
site en question; la personne concernée ne doit recevoir les informations qu’une
seule fois. Une fois qu'elle les a reçues, cela exonère de leurs obligations l'ensemble
des responsables du traitement.»
Hannes KRÄMER
Herke KRANENBORG
Agents de la Commission
2 Ndt: même remarque que dans la note 1 ci-dessus.
Document Outline
- 1. L'article 2 («Définitions») de la directive 95/46/CE est libellé comme suit:
- «Aux fins de la présente directive, on entend par:
- [...]
- d) "responsable du traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lo...
- e) "sous-traitement": la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
- [...]
- h): "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement.»
- 2. L'article 7 de la directive 95/46/CE est libellé comme suit:
- «Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:
- a) la personne concernée a indubitablement donné son consentement;
- [...]
- f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de...
- 3. L’article 10 («Informations en cas de collecte de données auprès de la personne concernée») de la directive 95/46/CE est libellé comme suit:
- «Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà info...
- a) l’identité du responsable du traitement et, le cas échéant, de son représentant;
- b) les finalités du traitement auquel les données sont destinées;
- c) toute information supplémentaire telle que:
- – les destinataires ou les catégories de destinataires des données,
- – le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,
- – l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,
- dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.»
- 4. L'article 22 («Recours») de la directive 95/46/CE est libellé comme suit:
- «Sans préjudice du recours administratif qui peut être organisé, notamment devant l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité judiciaire, les États membres prévoient que toute personne dispose d’un recours j...
- 5. L'article 23 («Responsabilité») de la directive 95/46/CE est libellé comme suit:
- «1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d'obtenir du responsa...
- 2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.»
- 6. L'article 24 («Sanctions») de la directive 95/46/CE est libellé comme suit:
- «Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la prése...
- 7. L’article 28 («Autorité de contrôle») de la directive 95/46/CE est libellé comme suit:
- «1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
- Ces autorités exercent en toute indépendance les missions dont elles sont investies.
- [...]
- 3. Chaque autorité de contrôle dispose notamment:
- – de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,
- – de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouil...
- – du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.
- Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.
- 4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concern...
- Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’applicati...
- [...]
- 6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaqu...
- Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.
- [...]».
- 8. Le considérant 10 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (JO L ...
- «Dans le secteur des communications électroniques, la directive 95/46/CE est applicable notamment à tous les aspects de la protection des droits et libertés fondamentaux qui n'entrent pas expressément dans le cadre de la présente directive, y compris...
- 9. L'article 3 («Services concernés») de la directive 2002/58/CE est libellé comme suit:
- «La présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics dans la Communauté, y compris...
- 10. L'article 5 («Confidentialité des communications») de la directive 2002/58/CE est libellé comme suit:
- «[...]
- 3. Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait don...
- 11. La partie défenderesse à l'appel est une association d’utilité publique de défense des intérêts des consommateurs et la partie requérante à l'appel une entreprise de vente en ligne de vêtements.
- 12. La partie défenderesse à l'appel demande à la partie requérante à l'appel de ne pas insérer sur son site internet «www.fashionid.de» le module social «J’aime» du réseau social Facebook (Facebook Inc., plus précisément Facebook Ireland Ltd.):
- 1) sans avoir informé les utilisateurs du site, de manière explicite et visible, et avant que le fournisseur du module n’accède à l’adresse IP et ne prenne la chaîne de caractères de l'utilisateur, sur la finalité de la collecte et de l’utilisation d...
- 2) sans avoir au préalable recueilli le consentement des utilisateurs du site concernant l’accès à l’adresse IP et à la chaîne de caractères du navigateur par le fournisseur du module social, ainsi que concernant l’utilisation des données, et/ou
- 3) sans avoir informé les utilisateurs ayant donné leur consentement, conformément au chef de conclusions sous 2 ci-dessus, qu'ils peuvent se rétracter à tout moment et avec effet pour l'avenir,
- 4) tout en publiant la déclaration suivante: «Si vous êtes utilisateur d'un réseau social et ne souhaitez pas que celui-ci collecte des données vous concernant par l'intermédiaire de notre site internet et les relient à vos données d’utilisateur stoc...
- 13. Lorsqu'un gestionnaire de site internet a inséré dans son site le module social «J’aime» de Facebook, le navigateur de l’utilisateur transmet, selon les constatations de la juridiction de renvoi, outre l’adresse IP et la chaîne de caractères (si c...
- 14. Par un jugement du 9 mars 2016, le Landgericht (tribunal régional) compétent a condamné la partie requérante à l'appel pour les chefs de conclusions 1 à 3 reproduits au point 12 des présentes observations écrites et rejeté la demande concernant le...
- 15. Par son appel devant l’Oberlandesgericht Düsseldorf (ci-après la «juridiction de renvoi»), la partie requérante à l'appel souhaite obtenir l'annulation du jugement du Landgericht du 9 mars 2016, dans la mesure où celui-ci a fait droit à la demande...
- 16. La partie défenderesse à l'appel demande le rejet de l’appel et affirme en substance que Facebook Inc. ou, plus précisément, Facebook Ireland Ltd, stocke l'adresse IP transmise, ainsi que la chaîne de caractères, et les relie à un utilisateur spéc...
- 17. La juridiction de renvoi a sursis à statuer au principal et posé à la Cour les questions préjudicielles suivantes:
- «1. Le régime des articles 22, 23 et 24 de la directive 95/46/CE [...] s’oppose-t-il à une réglementation nationale qui, en marge des pouvoirs d’intervention des autorités de protection des données et des actions en justice de la personne concernée, ...
- Si la première question appelle une réponse négative:
- 2. Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un code programme permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel, celu...
- 3. Si la deuxième question appelle une réponse négative: l’article 2, sous d), de la directive 95/46/CE [...] doit-il être interprété en ce sens qu’il régit exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en cause sur le plan civ...
- 4. Dans un contexte comme celui de l’espèce, quel est l’«intérêt légitime» à prendre en compte dans la mise en balance à faire au titre de l’article 7, sous f), de la directive 95/46/CE? Est-ce l’intérêt d’insérer des contenus de tiers ou est-ce l’in...
- 5. Dans un contexte comme celui de l’espèce, à qui doit être donné le consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la directive 95/46/CE?
- 6. L’obligation d’informer la personne concernée en vertu de l’article 10 de la directive 95/46/CE dans une situation telle que celle qui se présente en l’espèce pèse-t-elle également sur le gestionnaire du site qui a inséré le contenu d’un tiers et ...
- 18. Par sa première question, la juridiction de renvoi demande, en substance, si les articles 22 à 24 et 28 de la directive 95/46/CE doivent être interprétés en ce sens qu'ils régissent de manière exhaustive les voies de recours de la personne concern...
- 19. La Commission fait observer à titre liminaire que l'article 28, paragraphe 4, de la directive 95/46/CE prévoit expressément qu'une association représentant une personne concernée par un traitement de données peut saisir une autorité de contrôle na...
- 20. Il n'en résulte pas pour autant que la directive 95/46/CE s’opposerait à une réglementation nationale qui habilite les associations d'utilité publique de défense des intérêts des consommateurs à former un recours contre le responsable du traitemen...
- 21. Il est vrai que, la Cour a jugé que la directive 95/46/CE ne se limite pas à une harmonisation minimale des dispositions nationales, mais aboutit à une harmonisation qui est, en principe, complète. C’est dans cette optique que la directive 95/46/C...
- 22. Il ressort cependant de ces développements de la Cour au sujet du degré de l'harmonisation des législations nationales qu'opère la directive 95/46/CE ainsi que des marges de manœuvre laissées aux États membres, que ceux-ci concernent uniquement de...
- 23. La réglementation nationale en cause en l'espèce donne simplement des possibilités de mettre en œuvre les droits et les libertés conférés par la directive 95/46/CE aux personnes concernées par un traitement de données, qui vont au-delà de celles p...
- 24. À la première question, il convient par conséquent de répondre selon la Commission, que les articles 22 à 24 et 28 de la directive 95/46/CE doivent être interprétés en ce sens qu'ils régissent de manière exhaustive les voies de recours de la perso...
- 25. Par sa deuxième question, la juridiction de renvoi demande, en substance, si le gestionnaire d’un site internet qui insère dans son site un code programme permettant au navigateur de l’utilisateur de ce site de solliciter des contenus d'un tiers e...
- 26. La Commission rappelle que l’article 2, sous d), de la directive 94/56/CE définit le «responsable du traitement» comme étant «la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d...
- 27. Dans une situation telle que celle en cause au principal, lorsque les données à caractère personnel des utilisateurs du site internet sont transmises à un tiers, c'est-à-dire au gestionnaire d'un réseau social tel que Facebook, à la suite de la co...
- 28. Cependant, ainsi qu'il découle du libellé même de l’article 2, sous d), de la directive 95/46/CE, plusieurs personnes peuvent être conjointement responsables d'une procédure de traitement de données à caractère personnel. Tel est le cas lorsque ch...
- 29. Une personne effectue une action fondée sur une décision concernant les finalités et les moyens du traitement de données à caractère personnel lorsqu'elle prend des dispositions de fait ou de droit en matière de traitement de données à caractère p...
- 30. Tel est le cas dans une situation telle que celle en cause au principal. Le gestionnaire du site internet, par le seul fait d'insérer le code programme concerné dans son site, oriente vers le tiers la transmission de données à caractère personnel ...
- 31. La situation d'un gestionnaire de site internet qui insère dans ce dernier un code programme permettant au navigateur de l'utilisateur du site de solliciter des contenus d'un tiers et de lui transmettre à cet effet des données à caractère personne...
- 32. À la deuxième question, il convient par conséquent de répondre, selon la Commission, que le gestionnaire d’un site internet qui insère dans ce dernier un code programme permettant au navigateur de l'utilisateur de solliciter des contenus d'un tier...
- 33. Par sa troisième question – pour le cas où la deuxième question appellerait une réponse négative –, la juridiction de renvoi demande si l'article 2, sous d), de la directive 95/46/CE doit être interprété en ce sens qu'il régit exhaustivement la re...
- 34. Pour la Commission, il n'y a pas lieu de répondre à la troisième question, car elle n’a été posée que dans le cas où il serait répondu par la négative à la deuxième question, qui appelle cependant une réponse affirmative.
- 35. Quant au fond, la Commission estime que les États membres sont en principe habilités à imposer des obligations, au moyen d'une réglementation autonome, à des personnes non responsables du traitement au sens de l'article 2), sous d), de la directiv...
- 36. À la troisième question, il convient par conséquent de répondre, selon la Commission, que l'article 2, sous d), de la directive 95/46/CE doit être interprété en ce sens qu'il régit exhaustivement la responsabilité, dans le sens qu'il s'oppose à la...
- 37. Par sa quatrième question, la juridiction de renvoi demande, en substance, si, dans une situation telle que celle en l'espèce, il convient de prendre en compte, lors de l’application de l'article 7, sous f), de la directive 95/46/CE, les intérêts ...
- 38. La Commission fait observer que la quatrième question, à son sens, n'est pas pertinente pour la résolution du litige pendant devant la juridiction de renvoi.
- 39. En vertu de l'article 5, paragraphe 3, de la directive 2002/58/CE notamment l'accès à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son acco...
- 40. Selon les explications de la juridiction de renvoi (points 4 à 6 de l'ordonnance de renvoi), dans la situation en cause en l'espèce, le gestionnaire du site internet (en l'occurrence, la partie requérante à l'appel) insère dans ce site un code pro...
- 41. Il est vrai que, dans une situation telle que celle en cause au principal, ni la gestion d’un site internet, ni celle d’un réseau social tel que Facebook ne constitue une fourniture de services de communications électroniques accessibles au public...
- 42. Les seules exceptions à l'obligation de consentement prévues à l'article 5, paragraphe 3, de la directive 2002/58/CE concernent uniquement les cas où l'accès vise exclusivement à effectuer ou à faciliter la transmission d'une communication par la ...
- 43. Par conséquent, dans une situation telle que celle en l'espèce, le traitement de données à caractère personnel effectué après la transmission de ces données – pour lequel, comme l’a exposé la Commission au point 30 des présentes observations écrit...
- 44. Par ses cinquième et sixième questions, auxquelles, selon la Commission, il convient de répondre conjointement, la juridiction de renvoi demande en substance si, dans une situation telle que celle en cause au principal, premièrement, le consenteme...
- 45. Comme la Commission l’a indiqué au point 30 des présentes observations écrites, dans une situation telle que celle en cause au principal, le gestionnaire du site internet et le tiers sont conjointement responsables du traitement des données à cara...
- 46. La directive 95/46/CE ne prévoit pas de règles spécifiques pour le cas où plusieurs personnes sont conjointement responsables du traitement de données à caractère personnel. Selon la Commission, le fait qu'il y ait plusieurs responsables ne doit p...
- 47. S'agissant du consentement de la personne concernée par un traitement de données à caractère personnel, celle-ci est libre de choisir à qui donner son consentement parmi les responsables du traitement. Le consentement ne doit cependant être accord...
- 48. S'agissant de l’obligation d’information prévue à l’article 10 de la directive 95/46/CE, la Commission estime que celle-ci incombe, en principe, à chacun des différents responsables du traitement. La personne concernée ne doit cependant recevoir l...
- 49. Il convient à cet égard de rappeler que la personne concernée doit recevoir les informations avant la collecte des données à traiter. Dans une situation telle que celle en cause au principal, la personne concernée doit recevoir les informations vi...
- 50. Aux cinquième et sixième questions il convient par conséquent de répondre, selon la Commission, que, dans une situation telle que celle en cause au principal:
- – la personne concernée est libre de donner son consentement, en vertu de l’article 7, sous a), lu en combinaison avec l’article 2, sous h), de la directive 95/46/CE, soit au gestionnaire du site internet, soit au tiers; le consentement ne doit être ...
- – l’obligation d’information prévue à l'article 10 de la directive 95/46/CE incombe, en principe, tant au gestionnaire du site internet qu'au tiers, et la personne concernée doit recevoir les informations visées dans cette disposition avant de consul...
- 51. Eu égard aux considérations qui précèdent, la Commission propose à la Cour de répondre comme suit aux questions préjudicielles:
- «1. Les articles 22 à 24 et 28 de la directive 95/46/CE doivent être interprétés en ce sens qu'ils régissent de manière exhaustive les voies de recours de la personne concernée par un traitement de données ainsi que les pouvoirs d'intervention des au...
- 2. Le gestionnaire d’un site internet qui insère dans son site un code programme permettant au navigateur de l'utilisateur de solliciter des contenus d'un tiers et de transmettre à cet effet au tiers des données à caractère personnel est un responsab...
- 3. L'article 2, sous d), de la directive 95/46/CE doit être interprété en ce sens qu'il régit exhaustivement la responsabilité, dans le sens qu'il s'oppose à la mise en cause sur le plan civil d'un tiers qui, sans être un «responsable du traitement» ...
- 4. Dans une situation telle que celle en cause au principal, il importe peu de savoir si le traitement de données à caractère personnel est nécessaire à la réalisation de l'intérêt légitime poursuivi par le ou les responsables du traitement ou par un...
- 5. Dans une situation telle que celle en cause au principal:
- – la personne concernée est libre, en vertu de l’article 7, sous a), lu en combinaison avec l’article 2, sous h), de la directive 95/46, d'accorder son consentement soit au gestionnaire du site internet, soit au tiers; le consentement ne doit être ac...
- – l’obligation d’information prévue à l'article 10 de la directive 95/46/CE incombe, en principe, tant au gestionnaire du site internet qu'au tiers, et la personne concernée doit recevoir les informations visées dans cette disposition avant de consul...