This is an HTML version of an attachment to the Freedom of Information request 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.

 
Traduction  
C-40/17 - 15 
Observations du royaume de Belgique 
Affaire C-40/17 * 
Pièce déposée par : 
le gouvernement belge 
Nom usuel de l’affaire : 
FASHION ID 
Date de dépôt : 
5 mai 2017 
 
[omissis] 
À LA COUR DE JUSTICE DE L’UNION EUROPÉENNE 
Observations écrites 
du gouvernement belge 
déposées, conformément à l’article 23, deuxième alinéa, du protocole sur le statut 
de  la  Cour  de  justice  de  l’Union  européenne,  par  le  gouvernement  belge, 
représenté par M. le ministre des Affaires étrangères, ayant pour agents M. Pierre 
COTTIN  et  Mme Liesbet  VAN  DEN  BROECK,  attachés  à  la  direction  générale 
des  Affaires  juridiques  du  service  public  fédéral  Affaires  étrangères,  Commerce 
extérieur et  Coopération au développement, dont les bureaux sont établis à 1000 
Bruxelles, rue des Petits Carmes 15, qui consentent à ce que les significations leur 
soient  adressées  par  l’application  e-Curia  ou,  à  défaut,  par  télécopie  au  numéro 
0032 2 501 41 97, dans l’affaire : 
C-40/17 
Fashion ID GmbH & Co.KG 
contre 
Verbrancherzentrale NRW eV 
 
*  Langue de procédure : l’allemand. 
FR   

AFFAIRE C-40/17–15 
dans  le  cadre  d’une  question  préjudicielle  posée,  au  titre  de  l’article 267 TFUE, 
par  l’Oberlandesgericht  Düsseldorf  (tribunal  régional  supérieur  de  Düsseldorf, 
Allemagne) dans une décision de renvoi du 19 janvier 2017, enregistrée au greffe 
de la Cour le 26 février 2017 sous le no 1 040 733, concernant l’interprétation de 
la  directive  95/46/CE  du  Parlement  européen  et  du  Conseil,  du  24 octobre  1995, 
relative  à  la  protection  des  personnes  physiques  à  l’égard  du  traitement  des 
données à caractère personnel et à la libre circulation de ces données (ci-après la 
« directive 95/46 »). [Or. 2] 
À Monsieur le Président, à Monsieur le Vice-président et aux membres de la 
Cour de justice de l’Union européenne 
Le gouvernement belge souhaite formuler les observations qui suivent : 
I. 
LES FAITS ET LA PROCÉDURE 

Pour ce qui concerne les faits et la procédure, le gouvernement belge se réfère à la 
décision de renvoi (p. 3 et 4 de la traduction néerlandaise). 

La  juridiction  de  renvoi  pose  à  la  Cour  de  justice  (ci-après  la  « Cour »)  les 
questions préjudicielles suivantes : 
1. 
Le  régime  des  articles 22,  23  et  24  de  la  directive  95/46/CE  du  Parlement 
européen  et  du  Conseil,  du  24 octobre  1995,  relative  à  la  protection  des 
personnes  physiques  à  l’égard  du  traitement  des  données  à  caractère 
personnel  et  à  la  libre  circulation  de  ces  données  (JO  1995,  L 281,  p. 31) 
s’oppose-t-il  à  une  réglementation  nationale  qui,  en  marge  des  pouvoirs 
d’intervention  des  autorités  de  protection  des  données  et  des  actions  en 
justice  de  la  personne  concernée,  habilite,  en  cas  d’atteintes,  des 
associations d’utilité publique de défense des intérêts des consommateurs à 
agir contre l’auteur d’une atteinte ? 

Si la première question appelle une réponse négative : 
2. 
Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un 
code programme permettant au navigateur de l’utilisateur de solliciter des 
contenus  d’un  tiers  et  de  transmettre  à  cet  effet  au  tiers  des  données  à 
caractère  personnel,  celui  qui  fait  l’insertion  est-il  « responsable  du 
traitement »  au  sens  de  l’article 2,  sous  d),  de  la  directive  95/46/CE  du 
Parlement  européen  et  du  Conseil,  du  24 octobre  1995,  relative  à  la 
protection  des  personnes  physiques  à  l’égard  du  traitement  des  données  à 
caractère  personnel  et  à  la  libre  
[Or. 3]  circulation  de  ces  données  (JO 
1995, L 281, p. 31) lorsqu’il ne peut avoir lui-même aucune influence sur ce 
processus de traitement des données ? 

3. 
Si  la  deuxième  question  appelle  une  réponse  négative :  l’article 2,  sous  d), 
de la directive 95/46/CE relative à la protection des personnes physiques à 


 

FASHION ID 
l’égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données  doit-il  être  interprété  en  ce  sens  qu’il  régit 
exhaustivement  la  responsabilité  en  ce  sens  qu’il  s’oppose  à  la  mise  en 
cause  sur  le  plan  civil  d’un  tiers  qui  n’est  certes  pas  « responsable  du 
traitement »  mais  est  à  l’origine  du  processus  de  traitement  des  données 
sans avoir d’influence sur celui-ci ? 

4. 
Dans un contexte comme celui de l’espèce, quel est l’« intérêt légitime » à 
prendre  en  compte  dans  la  mise  en  balance  à  faire  au  titre  de  l’article 7, 
sous f), de la directive 95/46/CE ? Est-ce l’intérêt d’insérer des contenus de 
tiers ou est-ce l’intérêt du tiers ? 

5. 
Dans  un  contexte  comme  celui  de  l’espèce,  à  qui  doit  être  donné  le 
consentement  visé  à  l’article 7,  sous  a),  et  à  l’article 2,  sous  h),  de  la 
directive 95/46/CE ? 

6. 
L’obligation d’informer la personne concernée en vertu de l’article 10 de la 
directive  95/46/CE  dans  une  situation  telle  que  celle  qui  se  présente  en 
l’espèce  pèse-t-elle  également  sur  le  gestionnaire  du  site  qui  a  inséré  le 
contenu  d’un  tiers  et  est  ainsi  à  l’origine  du  traitement  des  données  à 
caractère personnel fait par un tiers ?
 
II. 
LE CADRE JURIDIQUE EUROPÉEN 

Le gouvernement belge se réfère à l’article 2, sous d) et sous h), à l’article 7, sous 
a) et sous f), à l’article 10, à l’article 22, à l’article 23, à l’article 24 et à l’article 
28  de  la  directive  95/46,  ainsi  qu’aux  articles  7  et  8  de  la  charte  des  droits 
fondamentaux  de  l’Union  européenne  (ci-après  la  « charte »).  Le  gouvernement 
belge  se  réfère,  en  outre,  à  l’article  5,  [Or. 4]  paragraphe  3,  de  la  directive 
2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant 
le  traitement  des  données  à  caractère  personnel  et  la  protection  de  la  vie  privée 
dans  le  secteur  des  communications  électroniques  (directive  vie  privée  et 
communications  électroniques),  telle  que  modifiée  par  la  directive  2009/136/CE 
du Parlement européen et du Conseil, du 25 novembre 2009, modifiant la directive 
2002/22/CE concernant le service universel et les droits des utilisateurs au regard 
des réseaux et services de communications électroniques, la directive 2002/58/CE 
concernant  le  traitement  des  données  à  caractère  personnel  et  la  protection  de  la 
vie privée dans le secteur des communications électroniques et le règlement (CE) 
n° 2006/2004  relatif  à  la  coopération  entre  les  autorités  nationales  chargées  de 
veiller  à  l’application  de  la  législation  en  matière  de  protection  des 
consommateurs (ci-après la « directive 2009/136 »). 
III. 
LE CADRE JURIDIQUE NATIONAL 

Le  gouvernement belge se réfère au cadre juridique national  tel qu’il est  exposé 
dans la décision de renvoi, plus particulièrement à l’article 2, paragraphes 1 et 2, à 


AFFAIRE C-40/17–15 
l’article 3, paragraphe 1, à l’article 3bis, à l’article 8, paragraphes 1 et 3, point 3, 
du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale, 
ci-après  l’« UWG »)  et  à  l’article  2,  paragraphe  1,  à  l’article12,  paragraphe  1,  à 
l’article 13, paragraphe  1, à l’article 15, paragraphe 1, du  Telemediengesetz  (loi 
sur les médias électroniques, ci-après le « TMG »). 
IV. 
ANALYSE 
1.  
La première question préjudicielle 

Par la première question préjudicielle, la juridiction de renvoi souhaite savoir si la 
directive 95/46 s’oppose à une réglementation nationale habilitant des associations 
d’utilité  publique  de  défense  des  intérêts  des  consommateurs  à  agir  contre  une 
entité qui enfreint les dispositions nationales transposant cette directive. 

Selon le gouvernement belge, cette question appelle une réponse négative. [Or. 5] 
a.  
La  qualité  pour  agir  en  cas  de  violation  de  dispositions  nationales 
transposant la directive 95/46 

L’article 22 de la directive 95/46 impose aux États membres de prévoir que toute 
personne  dispose  d’un  recours  juridictionnel  « en  cas  de  violation  des  droits  qui 
lui  sont  garantis  par  les  dispositions  nationales  applicables  au  traitement  en 
question
 ».  En  outre,  l’article  28,  paragraphe  1,  de  la  directive  95/46  oblige  les 
États  membres  de  charger  une  ou  plusieurs  autorités  publiques  de  surveiller 
l’application, sur leur territoire, des dispositions qu’ils ont adoptées en application 
de la directive. Conformément à l’article 28, paragraphe 3, troisième tiret, chaque 
autorité de contrôle dispose du pouvoir d’ester en justice. 

Il  résulte  des  dispositions  précitées  de  la  directive  95/46  que  les  États  membres 
doivent veiller à ce que tant les personnes concernées que les autorités de contrôle 
aient,  dans  certains  cas,  la  qualité  pour  agir  contre  la  violation  de  dispositions 
nationales transposant la directive 95/46. La question qui se pose dans le cadre de 
la  présente  procédure  est  de  savoir  si  le  législateur  européen  a  entendu,  par  là, 
établir  un  régime  exhaustif  en  ce  qui  concerne  la  capacité  pour  agir.  Le 
gouvernement belge estime que ni les termes de la directive 95/46 ni son objectif 
ne permettent de conclure que telle était l’intention du législateur européen. 
b.  
Les termes de la directive 95/46 

Rien  dans  les  termes  de  la  directive  95/46  n’est  susceptible  d’indiquer  qu’elle 
entend mettre en place  des règles exhaustives en  ce qui  concerne la  qualité pour 
agir.  Les  articles  22  et  suivants  définissent  des  obligations  minimales  dont  les 
États  membres  doivent  tenir  compte  dans  la  transposition  de  cette  directive. 
Aucun des termes utilisés ne laisse entendre  que ces articles règleraient de façon 

 

FASHION ID 
exhaustive la qualité pour agir à l’encontre d’atteintes aux dispositions nationales 
de transposition de la directive 95/46. [Or. 6] 
c.  
L’objectif de la directive 95/46 
10  L’objectif  de  la  directive  95/46  consiste  à  maintenir  un  équilibre  entre  la  libre 
circulation  des  données  à  caractère  personnel  et  la  protection  de  la  vie  privée 1. 
Dans  l’arrêt  Lindqvist,  la  Cour  indique  que  la  directive  95/46  vise,  en  principe, 
une harmonisation complète : 
« 95.  La  directive  95/46  vise,  ainsi  qu’il  ressort  notamment  de  son  huitième 
considérant,  à  rendre  équivalent  dans  tous  les  États  membres  le  niveau  de 
protection des droits et libertés des personnes à l’égard du traitement de données 
à caractère personnel. Son dixième considérant ajoute que le rapprochement des 
législations nationales applicables en la  matière ne doit pas conduire à affaiblir 
la  protection  qu’elles  assurent,  mais  doit,  au  contraire,  avoir  pour  objectif  de 
garantir un niveau élevé de protection dans la Communauté. 

96.   L’harmonisation desdites législations nationales ne se limite donc pas à une 
harmonisation  minimale,  mais  aboutit  à  une  harmonisation  qui  est,  en  principe, 
complète. C’est  dans cette optique que la  directive 95/46  entend assurer la  libre 
circulation  des  données  à  caractère  personnel,  tout  en  garantissant  un  haut 
niveau  de  protection  des  droits  et  des  intérêts  des  personnes  visées  par  ces 
données.
 » 2 
11  Dans  le  même  arrêt,  la  Cour  admet  cependant  également  que  la  directive  95/46 
reconnaît aux États membres une certaine marge de manœuvre : 
« 97.  Il est vrai que la directive 95/46 reconnaît aux États membres une marge de 
manœuvre  dans  certains  domaines  et  qu’elle  les  autorise  à  maintenir  ou  à 
introduire  des  régimes  particuliers  pour  des  situations  spécifiques  ainsi  qu’en 
témoignent  un  grand  nombre  de  ses  dispositions.  Toutefois,  de  telles  possibilités 
doivent être utilisées de la manière prévue par la directive 95/46 et conformément 
à  son  objectif  consistant  à  maintenir  un  équilibre  entre  la  libre  circulation  des 
données à caractère personnel et la protection de la vie privée.
 [Or. 7] 
98.   En revanche, rien ne s’oppose à ce qu’un État membre étende la portée de 
la  législation  nationale  transposant  les  dispositions  de  la  directive  95/46  à  des 

 
1  
Article  1er  de  la  directive  95/46 ;  arrêt  du  6  novembre  2003,  Lindqvist  (C-101/01, 
EU:C:2003:596, point 97). 
2  
Arrêt  du  6  novembre  2003,  Lindqvist  (C-101/01,  EU:C:2003:596,  points  95  et  96).  C’est  le 
gouvernement belge qui souligne. 


AFFAIRE C-40/17–15 
domaines  non  inclus  dans  le  champ  d’application  de  cette  dernière,  pour  autant 
qu’aucune autre disposition du droit communautaire n’y fasse obstacle.
 » 3 
12  Dans  l’arrêt  Asociación  Nacional  de  Establecimientos  Financieros  de  Crédito,  la 
Cour précise encore que l’objectif de la directive 95/46 consiste à organiser, dans 
tous les États membres, un niveau de protection équivalent quant au traitement des 
données à caractère personnel 4. Cet objectif a, entre autres,  comme conséquence 
que  « les États membres ne sauraient ni ajouter de nouveaux principes relatifs à 
la légitimation des traitements de données à caractère personnel à l’article
 7 de 
la  directive  95/46  ni  prévoir  des  exigences  supplémentaires  qui  viendraient 
modifier la portée de l’un des six principes prévus à cet article
 » 5. 
13  Aussi,  une  réglementation  nationale  qui  prévoit  que  des  associations  d’utilité 
publique de défense des intérêts des consommateurs ont la qualité pour agir contre 
une entité qui enfreint les dispositions nationales transposant la directive 95/46 ne 
va  en  aucune  façon  à  l’encontre  de  l’objectif  de  cette  directive  qui  consiste  à 
garantir un équilibre entre la libre circulation des données à caractère personnel et 
la  protection  de  la  vie  privée.  En  effet,  pareille  qualité  pour  agir  ne  porte  pas 
atteinte au niveau de protection visé et n’impose aucune restriction supplémentaire 
à la légitimation des traitements de données à caractère personnel. Elle tend tout 
au plus à garantir de manière adéquate la protection que la directive 95/46 vise. 
d.  
Conclusion 
14  Il  s’ensuit,  selon  le gouvernement belge, que  la  directive 95/46 ne  contient pas 
une  réglementation  exhaustive  en  matière  de  qualité  pour  agir  en  cas 
d’atteintes  aux  [Or. 8]  dispositions  nationales  qui  la  transpose.  Selon  le 
gouvernement belge, un législateur national peut donc conférer à des associations 
d’utilité publique de défense des intérêts des consommateurs la qualité pour agir 
contre  une  entité  qui  enfreint  les  dispositions  nationales  transposant  la  directive 
95/46. 
2. 
La deuxième question préjudicielle 
15  Par la  deuxième question préjudicielle, la juridiction de renvoi  souhaite savoir si 
une  personne  qui  intègre  dans  son  site  un  code  programme  permettant  au 
navigateur de l’utilisateur de solliciter des contenus d’un tiers et de transmettre à 
cet  effet  au  tiers  des  données  à  caractère  personnel  peut  être  considérée  comme 
 
3  
Arrêt  du  6  novembre  2003,  Lindqvist  (C-101/01,  EU:C:2003:596,  points  97  et  98).  C’est  le 
gouvernement belge qui souligne. 
4  
Arrêt  du  24  novembre  2011,  Asociación  Nacional  de  Establecimientos  Financieros  de  Crédito 
(C-468/10 et C-469/10, EU:C:2011:777, point 30). 
5  
Arrêt  du  24  novembre  2011,  Asociación  Nacional  de  Establecimientos  Financieros  de  Crédito 
(C-468/10  et  C‑469/10,  EU:C:2011:777,  point  32).  Voir  également  arrêt  du  19 octobre  2016, 
Breyer (C-582/14, EU:C:2016:779, points 57 et suivants). 

 

FASHION ID 
étant  un  « responsable  du  traitement »  au  sens  de  l’article  2,  sous  d),  de  la 
directive 95/46. 
16  Selon le gouvernement belge, cette question appelle une réponse affirmative. 
a.  
L’arrêt Google Spain et Google : une interprétation large de la notion 
de « responsable du traitement » 
17  L’interprétation  de  la  notion  de  « responsable  du  traitement »  doit  tenir  compte 
des orientations que la Cour a établies dans l’arrêt Google Spain et Google. Dans 
cet  arrêt,  la  Cour  a  souligné  que  le  législateur  de  l’Union  a  délibérément  donné 
une  définition  large  de  la  notion  de  responsable  du  traitement  afin  d’assurer  une 
« protection efficace et complète » 6 des personnes concernées. 
18  Dans  ce  même  arrêt,  la  Cour  de  justice  souligne  que  le  rôle  d’autres  parties,  qui 
agissent  éventuellement  aussi  comme  responsables  du  traitement,  ne  fait  pas 
obstacle  aux  responsabilités  qui  reposent  sur  une  partie  en  sa  qualité  de 
responsable du traitement 7. Au contraire, la Cour indique que tout responsable du 
traitement doit assurer, « dans le cadre de ses responsabilités, de ses compétences 
et  de  ses  
[Or. 9]  possibilités »,  que  ses  activités  satisfont  aux  exigences  de  la 
directive 95/46  « pour que les garanties prévues par celle-ci puissent développer 
leur  plein  effet  et  qu’une  protection  efficace  et  complète  des  personnes 
concernées,  notamment  de  leur  droit  au  respect  de  leur  vie  privée,  puisse 
effectivement être réalisée
 » 8. 
b. 
Fashion ID agit comme un « responsable du traitement » 
19  L’article  2,  sous  d),  de  la  directive  95/46  définit  la  notion  de  « responsable  du 
traitement » comme étant celui qui détermine « les finalités » et « les moyens » du 
traitement de données à caractère personnel concerné : 
« la  personne  physique  ou  morale,  l’autorité  publique,  le  service  ou  tout  autre 
organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les 
moyens du traitement de données à caractère personnel.
 » 
20  Ainsi  que  l’indique  le  groupe  de  travail  « Article  29 »  sur  la  protection  des 
données  (ci-après  le  « groupe  de  travail  “Article  29” ») 9  dans  son  « avis  sur  les 
 
6 – 
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 34). 
7 – 
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 39). 
8 – 
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 38). 
9  
Le Groupe de travail « Article 29 » a été institué par l’article 29 de la directive 95/46. Il s’agit 
d’un organe consultatif européen indépendant sur la protection des données et de la vie privée. 
Ses  missions  sont  définies  à  l’article  30  de  la  directive  95/46  (JO  1995,  L 281,  p. 31)  et  à 
l’article 15 de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, 
concernant le traitement des données à caractère personnel et la protection de la vie privée dans 
le secteur des communications électroniques (JO 2002, L 201, p. 37). 


AFFAIRE C-40/17–15 
notions de “responsable du traitementˮ et de “sous-traitantˮ», être responsable du 
traitement  résulte  essentiellement  du  fait  qu’une  entité  déterminée  a  pris  la 
décision  de  traiter  ou  de  faire  traiter  des  données  à  caractère  personnel  pour  des 
finalités déterminées 10. 
21  La notion d’« objectif » du traitement porte sur la finalité qui est poursuivie par le 
traitement  des  données  à  caractère  personnel.  Pour  déterminer  quelle  est  l’entité 
qui décide réellement de l’« objectif » du traitement, le groupe de travail « Article 
29 »  considère  qu’il  faut  d’abord  [Or. 10]  répondre  aux  questions  « qui  a 
entrepris ce traitement ? 
» et « pourquoi a-t-il lieu ? » 11. 
22  La  notion  de  « moyens »  porte,  en  revanche,  sur  les  mesures  pratiques  qui  sont 
prises  pour  réaliser  les  finalités  du  traitement.  À  cet  égard,  il  ne  s’agit  pas 
seulement  de  mesures  techniques  et  organisationnelles  (telles  que  la  question  du 
matériel  informatique  ou  du  logiciel  à  utiliser),  mais  également  d’aspects  plus 
essentiels, tels que « quelles sont les données à traiter ? », « pendant combien de 
temps doivent-elles être traitées ?
 », « qui doit y avoir accès », etc 12. 
23  En l’espèce, Fashion ID détermine tant les finalités que les moyens du traitement 
lorsqu’elle prend la décision, dans un cas tel que celui de la présente affaire, de 
recourir  aux  services  de  Facebook  en  insérant  dans  son  site  un  code  programme 
permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et de 
transmettre à cet effet au tiers des données à caractère personnel. En effet, Fashion 
ID  détermine  son  propre  « objectif »  du  traitement,  qui  consiste  à  accroître  la 
visibilité  du  contenu  de  son  propre  site  et  à  permettre  aux  visiteurs  de  le 
communiquer  de  façon  très  simple  par  le  réseau  social  de  Facebook.  En  outre, 
Fashion  ID  profite  du  traitement,  car  son  site  attirera  normalement  plus  de 
visiteurs  lorsque  ceux-ci  font  savoir  à  leurs  « amis »,  en  cliquant  sur  le  bouton 
« j’aime », qu’ils aiment ce site. 
24  Fashion  ID  détermine  également  les  « moyens »  du  traitement  en  décidant 
d’intégrer le  code programme concerné  dans son site. Bien que, en l’espèce, les 
modalités  spécifiques  du  traitement  soient  déterminées  unilatéralement  par 
Facebook,  cela  ne  fait  pas  obstacle  à  la  qualité  de  Fashion  ID  en  tant  que 
responsable  du  traitement.  Le  constat  que  Fashion  ID  ne  peut  pas  influencer  ce 
que Facebook fait ensuite avec les  données  à caractère personnel communiquées 
ne  fait  pas  davantage  obstacle  à  ce  qu’elle  puisse  être  considérée  comme 
responsable  du  traitement.  Même  lorsque  le  seul  choix  dont  Fashion  ID  dispose 
consiste « à prendre ou à laisser » le service (en l’occurrence : le module social de 
 
10 – 
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable  du  traitement »  et  de  « sous-traitant »
,  WP  169,  16 février  2010,  p. 9 
(http://ec.europa.eu/justice/data- 
protection/article-29/documentation/opinion-
recommendation/files/2010/wp169_fr.pdf). 
11 – 
Groupe de travail « Article 29 » sur la protection des données, op. cit., p. 9. 
12 – 
Groupe de travail « Article 29 » sur la protection des données, op. cit., p. 15. 

 

FASHION ID 
Facebook),  il  n’en  demeure  pas  moins  que  le  [Or. 11]  choix  de  « prendre »  le 
service  suffit  pour  qu’il  soit  question  d’une  décision  sur  les  « moyens »  du 
traitement 13. 
25  Le gouvernement belge estime que, au vu des considérations qui précèdent, il faut 
donc  considérer  Fashion  ID  comme  un  « responsable  du  traitement ».  Cette 
constatation n’enlève bien sûr rien aux obligations qui reposent sur Facebook en 
sa  qualité  de  responsable  du  traitement  (à  titre  individuel  ou  conjointement).  En 
effet, c’est l’évidence même que Facebook exerce une influence déterminante par 
rapport  à  l’« objectif  et  aux  moyens »  du  traitement  des  données  à  caractère 
personnel qui a lieu dans le cadre de l’offre de modules sociaux de Facebook que 
Facebook utilise aussi pour ses propres finalités et intérêts 14. 
c. 
Responsabilité  analogue  des  exploitants  de  sites  web  dans le  cadre  de 
la publicité comportementale en ligne 
26  Le  point  de  vue  selon  lequel  Fashion  ID  intervient  en  tant  que  « responsable  du 
traitement »  lorsqu’elle  intègre  un  bouton  « j’aime »  sur  son  site  est  également 
conforté par l’avis que le groupe de travail « Article 29 » a rendu sur la publicité 
comportementale en ligne (« behavioural advertising ») 15. 
27  Dans cet avis, le Groupe de travail « Article 29 » différencie trois acteurs dans les 
modes de diffusion de la publicité comportementale : [Or. 12] 
 
13  
L’un des exemples que le groupe de travail « Article 29 » expose dans son « avis 1/2010 sur les 
notions  de  “responsable  du  traitementˮ  et  de  “sous-traitantˮ »  confirme  expressément  cette 
conception. Voir Groupe de travail « Article 29 » sur la protection des données, Avis 1/2010 sur 
les  notions  de  « responsable  du  traitement »  et  de  « sous-traitant »
,  WP  169,  16 février  2010, 
p. 28  (« Exemple  n° 18 :  Plateformes  de  courriel »).  Une  interprétation  similaire  figure 
également dans l’avis du groupe de travail « Article 29 » sur l’informatique en nuage : « Dans le 
scénario actuel d’informatique en nuage, les clients de services d’informatique en nuage n’ont 
pas  toujours  la  marge  de  manœuvre  nécessaire  pour  négocier  les  conditions  contractuelles 
d’utilisation  des  services  en  nuage,  bon  nombre  d’entre  eux  faisant  l’objet  d’offres 
standardisées. Néanmoins, c’est en définitive le client qui prend  la décision d’affecter tout ou 
partie des opérations de transformation aux services en nuage, à des fins particulières (…).
 ». 
Voir  Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  05/2012  sur 
l’informatique  en  nuage
,  WP  196,  1er juillet  2012,  p. 10,  (http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files/2012/wp196_fr.pdf). 
14  
Pour  plus  d’informations  sur  la  manière  dont  Facebook  recueille  les  données  à  caractère 
personnel et les cookies par des modules d’extension sociaux, voir sur Facebook, « Cookies et 
autres  technologies  de  stockage »,  page  modifiée  en  dernier  lieu  le  20  mars  2017, 
https://www.facebook.com/policy/cookies/printable  [Ndt:  voir  version  fr  sur  https://fr-
fr.facebook.com/policy/cookies/printable]. 
15  
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  2/2010  sur  la  publicité 
comportementale  en  ligne
,  WP  171,  22 juin  2010,  p. 13  (http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files/2010/wp171_fr.pdf). 


AFFAIRE C-40/17–15 
(a) les fournisseurs de réseaux publicitaires, qui sont les principaux diffuseurs de 
publicité  comportementale  puisqu’ils  mettent  en  relation  les  diffuseurs  et  les 
annonceurs; 
(b) les annonceurs, qui veulent promouvoir un produit ou un service auprès d’un 
public spécifique, et 
(c) les diffuseurs, qui  sont les propriétaires des sites web  et  cherchent  à tirer des 
revenus de la vente d’espaces publicitaires sur leur(s) site(s) 16. 
28  Dans son analyse des rôles et  responsabilités des différents  acteurs, le  groupe de 
travail  « Article  29 »  expose  la  relation  entre  les  fournisseurs  de  réseaux 
publicitaires et les diffuseurs comme suit : 
« À  cet  égard,  le  groupe  de  travail  observe  que,  généralement,  lorsque  les 
fournisseurs  de  réseaux  publicitaires  envoient  des  publicités  personnalisées,  les 
diffuseurs  y  contribuent  en  configurant  leurs  sites  web  de  manière  à  ce  que 
lorsqu’un  utilisateur  visite  un  site  web  du  diffuseur,  son  navigateur  soit 
automatiquement redirigé vers la page web du fournisseur de réseau publicitaire. 
Ce  faisant,  le  navigateur  de  l’utilisateur  transmettra  son  adresse  IP  au 
fournisseur  de  réseau  publicitaire,  qui  enverra  le  cookie  et  la  publicité  ciblée. 
Dans ce cas de figure, il importe de relever que les diffuseurs ne transmettent pas 
l’adresse  IP  du  visiteur  au  fournisseur  de  réseau  publicitaire.  En  effet,  c’est  le 
navigateur  du  visiteur  qui  communique  automatiquement  cette  information  au 
fournisseur de réseau publicitaire. Cependant, cette communication n’est possible 
que parce que le diffuseur a configuré son site web de manière à ce que le visiteur 
de  son  site  soit  automatiquement  redirigé  vers  le  site  web  du  fournisseur  de 
réseau  publicitaire.  En  d’autres  termes,  le  diffuseur  déclenche  le  transfert  de 
l’adresse  IP,  qui  constitue  la  première  étape  nécessaire  pour  permettre  le 
traitement  ultérieur  effectué  par  le  fournisseur  de  réseau  publicitaire  afin 
d’envoyer des publicités ciblées. Par conséquent, même si, sur le plan technique, 
le  transfert  des  données  de  l’adresse  IP  est  effectué  par  le  navigateur  de  la 
personne  qui  consulte  le  site  web  du  diffuseur,  ce  n’est  pas  cette  personne  qui 
déclenche  le  transfert.  La  personne  voulait  uniquement  visiter  le  site  web  du 
diffuseur.  Elle  n’avait  pas  l’intention  de  visiter  le  site  web  du  fournisseur  de 
réseau  publicitaire.  À  l’heure  actuellement,  ce  cas  de  figure  est  courant.  Par 
conséquent,  le  groupe  de  travail  considère  que  les  diffuseurs  assument  une 
certaine  responsabilité  dans  le  traitement  des  données,  qui  découle  de  la 
transposition  en  droit  national  de  la  directive  95/46/CE  et/ou  d’autres  actes 
législatifs nationaux
. » 17 
 
16  
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  2/2010  sur  la  publicité 
comportementale en ligne
, WP 171, 22 juin 2010, p. 6. 
17  
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  2/2010  sur  la  publicité 
comportementale  en  ligne
,  WP  171,  22 juin  2010,  p. 13.  C’est  le  gouvernement  belge  qui 
souligne. Voir aussi Groupe de travail « Article 29 » sur la protection des données, Avis 1/2010 
sur  les  notions  de  « responsable  du  traitement »  et  de  « sous-traitant »,
  WP  169,  16  février 
10 
 

FASHION ID 
29  La  répartition  des  rôles  entre  les  fournisseurs  de  réseaux  publicitaires  et  les 
diffuseurs  correspond  à  celle  qui  existe  entre  Facebook  et  Fashion  ID.  En  effet, 
Fashion ID agit comme « diffuseur » du module social de Facebook : en intégrant 
le  code  programme  concerné  dans  son  site,  elle  permet  au  navigateur  de 
l’utilisateur de solliciter des contenus d’un fournisseur externe (en l’occurrence : 
Facebook). Sans cette décision, aucune donnée à caractère personnel ne serait en 
principe  transmise  à  Facebook  lorsque  l’utilisateur  visite  le  site  de  Fashion  ID. 
Facebook  utilise  par  ailleurs  les  données  à  caractère  personnel  qu’elle  a 
recueillies, entre autres, pour présenter la publicité « basée sur les centres d’intérêt 
en ligne » 18. Par analogie avec ce que le groupe de travail « Article 29 » a déclaré 
sur la publicité comportementale en ligne, on peut considérer que Fashion ID agit 
comme  un  « responsable  du  traitement »  qui  assume  une  responsabilité  pour  sa 
décision de configurer son site de manière à ce que les navigateurs de ses visiteurs 
fassent automatiquement une connexion avec un serveur de Facebook. [Or. 14] 
d. 
Conclusion 
30  Selon  le  gouvernement  belge,  une  personne  qui  insère  dans  son  site  un  code 
programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des  contenus 
d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel 
peut être considérée comme un  « responsable du traitement » au sens de l’article 
2,  sous  d),  de  la  directive  95/46.  En  effet,  la  décision  d’intégrer  dans  son  site  le 
code  programme  concerné  constitue  un  acte  qui  peut  donner  lieu  à  une 
qualification de « responsable du traitement » au sens de l’article 2, sous d), même 
lorsque la possibilité d’influencer ce traitement de données après que les données 
à caractère personnel ont été transmises est limitée. Cette constatation ne diminue 
en  rien  les  obligations  qui  pèsent  sur  Facebook  en  sa  qualité  de  responsable  du 
traitement (à titre individuel ou conjointement). 
 
2010,  p.  25:  « Du  point  de  vue  de  la  protection  des  données,  le  diffuseur  doit  être  considéré 
comme  un  responsable  du  traitement  autonome  puisqu’il  collecte  des  données  à  caractère 
personnel  auprès  de  l’utilisateur  (profil  utilisateur,  adresse  IP,  emplacement  de  mémoire, 
langue  du  système  d’exploitation,  etc.)  pour  son  propre  compte.  Le  fournisseur  de  réseau 
publicitaire  sera  également  responsable  du  traitement  dès  lors  qu’il  détermine  les  finalités 
(suivre  les  utilisateurs  sur  les  différents  sites  web)  ou  les  moyens  essentiels  du  traitement  de 
données. En fonction des conditions de collaboration qui ont été fixées entre le diffuseur et le 
fournisseur de réseau publicitaire, par exemple si le premier permet le transfert de données à 
caractère personnel vers le second, notamment en redirigeant l’utilisateur vers la page web du 
fournisseur  de  réseau  publicitaire,  ils  peuvent  être  coresponsables  du  traitement  pour 
l’ensemble des opérations de traitement conduisant à la publicité comportementale 
». C’est le 
gouvernement belge qui souligne. 
18  
Facebook,  « Cookies  et  autres technologies  de  stockage »,  page  modifiée en  dernier  lieu  le 20 
mars  2017,  https://www.facebook.com/policy/cookies/printable  [Ndt:  version  fr  sur  https://fr-
fr.facebook.com/policy/cookies/printable]. 
11 

AFFAIRE C-40/17–15 
3.  
La troisième question préjudicielle 
31  Par  la  troisième  question  préjudicielle,  la  juridiction  de  renvoi  souhaite  savoir  si 
l’article  2,  sous  d),  de  la  directive  95/46  règle  la  responsabilité  de  manière 
exhaustive en ce sens qu’il s’oppose à la mise en cause sur le plan civil d’un tiers 
qui n’est pas le « responsable du traitement ». 
32  Selon le gouvernement belge, cette question appelle une réponse négative. 
a. 
Observation  préalable :  Fashion  ID  agit  comme  un  « responsable  du 
traitement » 
33  Selon  le  gouvernement  belge,  une  personne  qui  insère  dans  son  site  un  code 
programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des  contenus 
d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel 
peut être considérée comme un  « responsable du traitement » au sens de l’article 
2, sous d), de la directive 95/46 (voir, plus haut, les points 15 et 30). 
34  Si  la  Cour  devait  toutefois  parvenir  à  la  conclusion  inverse,  il  y  lieu  alors  de 
signaler que la directive 95/46 permet  aux États membres à prendre des mesures 
supplémentaires  en  vue  d’assurer  la  protection  effective  des  données  à  caractère 
personnel,  pour  autant  qu’ils  tiennent  compte,  dans  ce  cadre,  de  l’objectif  de  la 
directive  95/46  qui  est  de  maintenir  un  équilibre  entre  la  libre  circulation  des 
données  à  caractère  personnel  et  la  protection  de  la  vie  privée  (voir,  plus  haut, 
points  10  à  14).  De  telles  mesures  pourraient  viser  un  tiers  qui  n’intervient  pas 
comme un responsable du traitement. 
b. 
Portée de l’article 2, sous d), et de l’article 23 de la directive 95/46 
35  L’article  2,  sous  d),  et  l’article  23  de  la  directive  95/46  règlent  l’étendue  de  la 
responsabilité  du  responsable  du  traitement.  Ces  dispositions  n’empêchent 
toutefois nullement un État membre de prendre des mesures supplémentaires afin 
de garantir la protection effective des personnes concernées. Ainsi, différents États 
membres prévoient dans leur législation nationale que, dans certaines conditions, 
la  personne  concernée  peut  tenir  le  sous-traitant  pour  directement  responsable, 
même si la directive 95/46 ne le prévoit pas explicitement 19. 
c. 
Le droit à un recours effectif 
36  Les dispositions de la directive 95/46 doivent être interprétées au regard des droits 
fondamentaux  qui,  selon  une  jurisprudence  constante  de  la  Cour,  font  partie 
intégrante  des  principes  généraux  du  droit  dont  elle  assure  le  respect  et  qui  sont 
 
19  
Tel  est  le  cas,  par  exemple,  des  Pays-Bas,  voir  article  49,  paragraphe  3,  de  la  wet  houdende 
regels  inzake  de  bescherming  van  persoonsgegevens  (loi  portant  les  règles  en  matière  de 
protection 
des 
données 
personnelles) 
du 

juillet 
2000 
(http://wetten.overheid.nl/BWBR0011468/2017-03-10). 
12 
 

FASHION ID 
désormais  inscrits  dans  la  charte  des  droits  fondamentaux  de  l’Union 
européenne 20  (ci-après  le  « charte ») 21.  Ainsi,  l’article  7  de  la  charte  garantit  le 
droit  au  respect  de  la  vie  privée,  tandis  que  l’article  8  de  la  Charte  prévoit 
explicitement  que  toute  personne  a  droit  à  la  protection  des  données  à  caractère 
personnel  la  concernant.  L’article  47,  premier  alinéa,  de  la  charte  dispose  que 
toute  personne  dont  les droits  et  libertés  garantis  par  le  droit  de  l’Union ont  été 
violés  a  droit  à  un  recours  effectif  devant  un  tribunal  dans  le  respect  des 
conditions prévues à cet article. 
37  Les  dispositions  précitées  laissent  apparaître,  selon  le  gouvernement  belge,  que 
l’article 2, sous d), de la directive 95/46 ne peut pas être interprété d’une manière 
qui compromettrait la protection effective des droits fondamentaux que les articles 
7 et 8 de la charte contiennent. Encore la Cour estimerait-elle que Fashion ID ne 
peut  pas  être  considérée  comme  un  « responsable  du  traitement »  au  sens  de 
l’article  2,  sous  d),  de  la  directive  95/46,  cette  disposition  ne  peut  pas  être 
interprétée  en  ce  sens  qu’elle  s’opposerait  à  la  possibilité  d’un  recours  effectif 
assurée  par  des  dispositions  nationales  (visant  le  cas  échéant  un  organisme  qui 
n’intervient pas en tant que « responsable du traitement »). 
d. 
Conclusion 
38  Même  si  la  Cour  devait  estimer  que  Fashion  ID  ne  peut  pas  être  considérée 
comme un responsable du traitement, il n’en demeure pas moins que la directive 
95/46  ne  s’oppose  pas  à  la  mise  en  cause  sur  le  plan  civil  d’un  tiers  qui  n’est 
certes  pas  le  « responsable  du  traitement »  mais  est  à  l’origine  du  processus  de 
traitement des données. 
4.  
La quatrième question préjudicielle 
39  Par la quatrième question préjudicielle, la juridiction de renvoi souhaite savoir de 
qui  faut-il  prendre  en  compte  l’« intérêt  légitime »  dans  la  mise  en  balance  à 
opérer au titre de l’article 7, sous f), de la directive 95/46. 
40  Selon le gouvernement belge, dans le cadre de la mise en balance précitée, il y a 
lieu  de  prendre  en  considération  tant  l’intérêt  légitime  du  responsable  du 
traitement que l’intérêt légitime du tiers auquel (ou des tiers auxquels) les données 
sont fournies. [Or. 16] 
a. 
Observation  préalable :  l’article  5,  paragraphe  3,  de  la  directive 
2002/58 
41  Dans  un  souci  d’exhaustivité,  le  gouvernement  belge  tient  à  observer  que,  en 
l’espèce,  il  y  a  lieu  d’appliquer  non  seulement  l’article  7  de  la  directive  95/46, 
 
20  
JO 2016, C 202, p. 389. 
21  
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 68). 
13 

AFFAIRE C-40/17–15 
mais aussi l’article 5, paragraphe 3, de la directive 2002/58 (directive vie privée et 
communications  électroniques),  telle  que  modifiée  par  la  directive  2009/136. 
Cette dernière disposition énonce ce qui suit : 
« Les  États  membres  garantissent  que  le  stockage  d’informations,  ou  l’obtention 
de  l’accès  à  des  informations  déjà  stockées,  dans  l’équipement  terminal  d’un 
abonné  ou  d’un  utilisateur  n’est  permis  qu’à  condition  que  l’abonné  ou 
l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 
95/46/CE,  une  information  claire  et  complète,  entre  autres  sur  les  finalités  du 
traitement.  Cette  disposition  ne  fait  pas  obstacle  à  un  stockage  ou  à  un  accès 
techniques visant exclusivement à effectuer la transmission d’une communication 
par  la  voie  d’un  réseau  de  communications  électroniques,  ou  strictement 
nécessaires  au  fournisseur  pour  la  fourniture  d’un  service  de  la  société
  de 
l’information expressément demandé par l’abonné ou l’utilisateur.
 » 22 
42  Dans un cas  tel que  celui de la présente affaire, outre le traitement de  données à 
caractère  personnel,  il  est  aussi  question  d’un  « accès  à  des  informations  déjà 
stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur
 ». En effet, 
lorsqu’un  utilisateur  visite  une  page  web  pourvue  d’un  bouton  « j’aime »,  le 
navigateur  de  l’utilisateur  communiquera  généralement  non  seulement  l’adresse 
IP  et  la  chaîne  dite  de  caractères  du  navigateur  mais  aussi  plusieurs  cookies  de 
Facebook  (si  installés) 23.  Dans  une  transmission  de  ce  type,  il  est  question  d’un 
« accès à des informations déjà stockées, dans l’équipement terminal d’un abonné 
ou d’un utilisateur
 » 24. Par conséquent,  en l’espèce, le traitement des données à 
caractère personnel ne peut pas être considéré comme admissible sur la seule base 
d’un  « intérêt  légitime »  au  sens  de  l’article  7,  sous  f),  de  la  directive  95/46. 
[Or. 18] 
b. 
Les termes de l’article 7, sous f), de la directive 95/46 
43  L’article 7, sous f), de la directive 95/46 prévoit quels intérêts peuvent être pris en 
considération  en  application  de  cette  disposition  et  précise  qu’un  traitement  de 
données à  caractère personnel  ne peut  être effectué que s’« il est  nécessaire à la 
réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par 
le  ou  les  tiers  auxquels  les  données  sont  communiquées,  à  condition  que  ne 
prévalent  pas  l’intérêt  ou  les  droits  et  libertés  fondamentaux  de  la  personne 
concernée, qui appellent une protection au titre de l’article 1er paragraphe 1
 » 25. 
 
22  
C’est le gouvernement belge qui souligne. 
23  
Voir point 5 de la décision de renvoi. 
24  
Voir  aussi  Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  2/2010  sur  la 
publicité comportementale en ligne
, WP 171, p. 9 à 10. 
25  
C’est le gouvernement belge qui souligne. 
14 
 

FASHION ID 
44  Le  libellé  de  l’article  7,  sous  f),  de  la  directive  95/46  indique  textuellement  que 
tant  l’intérêt  légitime  du  responsable  du  traitement  que  celui  du  ou  des  tiers 
auxquels les données sont communiquées doivent être pris en considération dans 
la mise en balance qui doit être faite en application de cette disposition. 
45  L’utilisation  du  mot  « ou »  ne  signifie  pas  qu’il  y  aurait  lieu,  dans  le  cadre  de 
l’interprétation,  de  faire  un  choix  entre,  d’une  part,  l’intérêt  légitime  du 
responsable  du  traitement  et,  d’autre  part,  l’intérêt  légitime  du  ou  des  tiers 
auxquels les données sont communiquées. Le législateur aurait utilisés à cet effet 
des termes plus explicites, par exemple, « ou plutôt » ou « soit … soit … ». 
c. 
L’interprétation de l’arrêt Google Spain et Google 
46  Dans l’application de l’article 7, sous f), de la directive 95/46, il y a lieu de tenir 
compte  de  l’interprétation  que  la  Cour  a  donnée  dans  l’arrêt  Google  Spain  et 
Google.  Sur  la  légitimation  du  traitement  au  regard  de  cet  article,  la  Cour  a 
considéré ce qui suit : [Or. 19] 
73   Quant  à  la  légitimation,  au  titre  de  l’article  7  de  la  directive  95/46,  d’un 
traitement  comme  celui  en  cause  au  principal  effectué  par  l’exploitant  d’un 
moteur de recherche, celui-ci est susceptible de relever du motif visé à cet article 
7, sous f). 

74   Cette  disposition  permet  le  traitement  de  données  à  caractère  personnel 
lorsqu’il  est  nécessaire  à  la  réalisation  de  l’intérêt  légitime  poursuivi  par  le 
responsable  du  traitement  ou  par  le  ou  les  tiers  auxquels  les  données  sont 
communiquées,  à  condition  que  ne  prévalent  pas  l’intérêt  ou  les  libertés  et  les 
droits fondamentaux de la personne concernée, notamment son droit au respect de 
sa  vie  privée  à  l’égard  du  traitement  des  données  à  caractère  personnel,  qui 
appellent une protection au titre de l’article 1er, paragraphe 1, de cette directive. 
L’application dudit article 7, sous f), nécessite ainsi une pondération des droits et 
des intérêts opposés en cause dans le cadre de laquelle il doit être tenu compte de 
l’importance des droits de la personne concernée résultant des articles 7 et 8 de 
la Charte (voir arrêt ASNEF et FECEMD, EU:C:2011:777, points 38 et 40). 

[…] 
80   À  cet  égard,  il  importe  d’emblée  de  relever  que,  ainsi  qu’il  a  été  constaté 
aux  points  36  à  38  du  présent  arrêt,  un  traitement  de  données  à  caractère 
personnel, tel que celui en cause au principal, réalisé par l’exploitant d’un moteur 
de recherche, est susceptible d’affecter significativement les droits fondamentaux 
au  respect  de  la  vie  privée  et  à  la  protection  des  données  à  caractère  personnel 
lorsque  la  recherche  à  l’aide  de  ce  moteur  est  effectuée  à  partir  du  nom  d’une 
personne physique, dès lors que ledit traitement permet à tout internaute d’obtenir 
par  la  liste  de  résultats  un  aperçu  structuré  des  informations  relatives  à  cette 
personne  trouvables  sur  Internet,  qui  touchent  potentiellement  à  une  multitude 
d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas 

15 

AFFAIRE C-40/17–15 
ou seulement  que très difficilement  pu être interconnectées, et  ainsi d’établir  un 
profil  plus  ou  moins  détaillé  de  celle-ci.  En  outre,  l’effet  de  l’ingérence  dans 
lesdits  droits  de  la  personne  concernée  se  trouve  démultiplié  en  raison  du  rôle 
important  que  jouent  Internet  et  les  moteurs  de  recherche  dans  la  société 
moderne,  lesquels  confèrent  aux  informations  contenues  dans  une  telle  liste  de 
résultats  un  caractère  ubiquitaire  
[Or. 20]  (voir,  en  ce  sens,  arrêt  eDate 
Advertising e.a., C
509/09 et C161/10, EU:C:2011:685, point 45). 
81   Au vu de la gravité potentielle de cette ingérence, force est de constater que 
celle-ci ne saurait être justifiée par le seul intérêt économique de l’exploitant d’un 
tel  moteur  dans  ce  traitement.  Cependant,  dans  la  mesure  où  la  suppression  de 
liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir 
des répercussions sur l’intérêt légitime des internautes potentiellement intéressés 
à  avoir  accès  à  celle-ci,  il  y  a  lieu  de  rechercher,  dans  des  situations  telles  que 
celles en cause au principal, un juste équilibre notamment entre cet intérêt et les 
droits fondamentaux de cette personne au titre des articles 7 et 8 de la Charte. Si, 
certes,  les  droits  de  la  personne  concernée  protégés  par  ces  articles  prévalent 
également,  en règle générale, sur  ledit  intérêt  des internautes, cet  équilibre peut 
toutefois  dépendre,  dans  des  cas  particuliers,  de  la  nature  de  l’information  en 
question et de sa sensibilité pour la vie privée de la personne concernée ainsi que 
de  l’intérêt  du  public  à  disposer  de  cette  information,  lequel  peut  varier, 
notamment, en fonction du rôle joué par cette personne dans la vie publique.
 » 26 
47  Il  ressort  des  points  précités  de  l’arrêt  Google  Spain  et  Google  que,  dans 
l’appréciation de la légitimation d’un traitement au regard de l’article 7, sous f), 
de  la  directive  95/46,  il  faut  tenir  compte  aussi  bien  de  l’intérêt  légitime  du 
responsable  du  traitement  que  de  l’intérêt  légitime  du  ou  des  tiers  auxquels  les 
données sont communiquées. 
d. 
Conclusion 
48  Selon  le  gouvernement  belge,  il  résulte  textuellement  des  termes  de  l’article  7, 
sous f), de la directive 95/46, ainsi que de l’interprétation de cette disposition dans 
l’arrêt Google Spain et Google, que dans la mise en balance qui doit être opérée 
en  application  de  cette  même  disposition,  il  faut  prendre  en  considération  tant 
l’intérêt  légitime  du  responsable  du  traitement  que  l’intérêt  légitime  du  ou  des 
tiers auxquels les données sont [Or. 21] communiquées. 
5. 
La cinquième question préjudicielle 
49  Par la cinquième question préjudicielle, la juridiction de renvoi souhaite savoir à 
qui  le  consentement  visé  à  l’article  7,  sous  a),  et  à  l’article  2,  sous  h),  de  la 
directive 95/46/CE doit être donné dans un cas tel que celui de la présente affaire. 
 
26  
Arrêt  du  13  mai  2014,  Google  Spain  et  Google  (C-131/12,  EU:C:2014:317).  C’est  le 
gouvernement belge qui souligne. 
16 
 

FASHION ID 
50  Selon  le  gouvernement  belge,  le  ou  les  responsables  du  traitement  peuvent  le 
déterminer de manière autonome, à condition de respecter les exigences légales en 
matière  de  consentement  telles  que  prévues  à  l’article  7,  sous  a),  et  à  l’article  2, 
sous h), de la directive 95/46/CE  
a. 
Tout  responsable  du  traitement  est  tenu  de  se  conformer  aux 
obligations qui lui incombent 
51  Il  se  peut,  en  pratique,  qu’une  autre  personne  que  celle  du  responsable  du 
traitement (ou un autre responsable du traitement) puisse remplir plus facilement 
certaines  des  obligations  qui  incombent  au  responsable  du  traitement.  Le  groupe 
de travail « Article 29 » a admis cette réalité pratique dans son avis sur les notions 
de  « responsable du traitement » et de  « sous-traitant ». Il a cependant souligné  à 
cet  égard  que  c’était  le  responsable  du  traitement  qui  répondait,  en  principe, 
encore toujours du respect de ses obligations : 
« […]  l’incapacité  à  s’acquitter  directement  de  toutes  les  obligations  qui 
incombent au responsable du traitement (garantir l’information, le droit d’accès, 
etc.)  n’exclut  pas  la  possibilité  d’être  responsable  du  traitement.  Il  se  peut  que, 
dans la pratique, ces obligations puissent facilement être assumées par d’autres 
parties,  parfois  plus  proches  de  la  personne  concernée,  pour  le  compte  du 
responsable  du  traitement.  Mais  ce  dernier  
[Or. 22]  demeurera  toujours  lié,  en 
dernier  ressort,  par  ses  obligations
  et  sa  responsabilité  pourra  être  engagée  en 
cas de non-respect de ces dernières.
 » 27 
52  La constatation que tout responsable du traitement reste « lié, en dernier ressort » 
par ses obligations, s’applique tant dans le cas de responsables du traitement à titre 
individuel que dans celui de coresponsables du traitement. 
b. 
Les  responsabilités  des  exploitants  de  sites  (« diffuseurs »)  dans  le 
cadre de la publicité comportementale en ligne 
53  Dans  son  avis  sur  les  notions  de  « responsable  du  traitement »  et  de  « sous-
traitant »,  le  groupe  de  travail  « Article  29 »  expose  les  responsabilités  des 
exploitants de sites (« diffuseurs ») et des réseaux publicitaires comme suit : 
« Du  point  de  vue  de  la  protection  des  données,  le  diffuseur  doit  être  considéré 
comme  un  responsable  du  traitement  autonome  puisqu’il  collecte  des  données  à 
caractère  personnel  auprès  de  l’utilisateur  (profil  utilisateur,  adresse  IP, 
emplacement de mémoire, langue du système d’exploitation, etc.) pour son propre 
compte.  Le  fournisseur  de  réseau  publicitaire  sera  également  responsable  du 
traitement  dès  lors  qu’il  détermine  les  finalités  (suivre  les  utilisateurs  sur  les 
différents  sites  web)  ou  les  moyens  essentiels  du  traitement  de  données.  En 
 
27  
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable  du  traitement »  et  de  « sous-traitant »
,  WP  169,  16 février  2010,  p. 23.  C’est  le 
gouvernement belge qui souligne. 
17 

AFFAIRE C-40/17–15 
fonction des conditions de collaboration qui ont été fixées entre le diffuseur et le 
fournisseur  de  réseau  publicitaire,  par  exemple  si  le  premier  permet  le  transfert 
de  données  à  caractère  personnel  vers  le  second,  notamment  en  redirigeant 
l’utilisateur  vers  la  page  web  du  fournisseur  de  réseau  publicitaire,  ils  peuvent 
être  coresponsables  du  traitement  pour  l’ensemble  des  opérations  de  traitement 
conduisant à la publicité comportementale. 

Dans tous  les  cas, les  (co)responsables du traitement  doivent veiller à ce que la 
complexité  et  les  technicités  du  mécanisme  de  publicité  comportementale  ne  les 
empêchent  pas  de  trouver  les  moyens  appropriées  de
  [Or. 23]  se  conformer  aux 
obligations  qui  incombent  aux  responsables  du  traitement,  et  garantir  le  respect 
des droits des personnes concernées.
 » 28 
54  Le  passage  cité  ci-dessus  indique  clairement  que  les  (co)responsables  du 
traitement  sont  tenus  (l’un  et  l’autre)  de  chercher  les  moyens  appropriés  pour  se 
conformer  aux  obligations  qui  leur  incombent  à  chacun  d’eux.  La  façon  dont  ils 
doivent procéder exactement dans ce cadre est une décision qui, en règle générale, 
leur est laissée, dans le respect des exigences légales en matière de consentement 
telles  que  prévues  à  l’article  7,  sous  a),  et  à  l’article  2,  sous  h),  de  la  directive 
95/46/CE. 
c. 
La manifestation de la volonté doit être suffisamment « spécifique » 
55  L’article  2,  sous  h),  de  la  directive  95/46/CE  définit  le  « consentement  de  la 
personne  concernée »  comme  étant  « toute  manifestation  de  volonté,  libre, 
spécifique  et  informée  par  laquelle  la  personne  concernée  accepte  que  des 
données à caractère personnel la concernant fassent l’objet d’un traitement 
». 
56  La condition que la manifestation de la volonté soit « spécifique » peut impliquer 
que, dans certains cas, le consentement doive être obtenu de façon distincte. Dans 
son  avis  sur  la  définition  du  consentement,  le  groupe  de  travail  « Article  29 » 
considère ce qui suit : 
« Pour  être  spécifique,  le  consentement  doit  être  intelligible.  Il  doit  mentionner, 
de  façon  claire  et  précise,  l’étendue  et  les  conséquences  du  traitement  des 
données.  Il  ne  peut  pas  s’appliquer  à  un  ensemble  illimité  d’activités  de 
traitement. En d’autres termes, le contexte dans lequel le consentement s’applique 
est limité.
 
Le consentement doit être donné sur les différents aspects,  clairement définis, du 
traitement. Il couvre notamment les données qui sont traitées et les finalités pour 
lesquelles elles le sont. Cette compréhension 
[Or. 24] doit reposer sur les attentes 
raisonnables  des  parties.  Un  «consentement  spécifique»  est  dès  lors 

 
28  
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable  du  traitement »  et  de  « sous-traitant »
,  WP  169,  16 février  2010,  p. 25.  C’est  le 
gouvernement belge qui souligne. 
18 
 

FASHION ID 
intrinsèquement  lié  au  fait  que  le  consentement  doit  être  informé.  Il  existe  une 
obligation  de  «détail»  du
  consentement  par  rapport  aux  différents  éléments  qui 
constituent le traitement de données. En effet, il ne saurait être considéré comme 
couvrant  «toutes  les  finalités  légitimes»  poursuivies  par  le  responsable  du 
traitement. Le consentement devrait renvoyer au traitement qui est raisonnable et 
nécessaire  compte  tenu  de  sa  finalité.  En  principe,  il  devrait  suffire  que  les 
responsables  du  traitement  obtiennent  un  consentement  unique  pour  les 
différentes  opérations,  si  celles-ci  relèvent  des  attentes  raisonnables  de  la 
personne concernée.
 
[…] 
Un  consentement  distinct  peut  néanmoins  être  nécessaire  lorsque  le  responsable 
du traitement a l’intention de traiter les données à d’autres fins. Par exemple, un 
consentement  pourrait  être donné pour  couvrir à la  fois des informations sur  de 
nouveaux  produits  et  des  actions  promotionnelles  spécifiques,  étant  donné  que 
cela  pourrait  être  considéré  comme  relevant  des  attentes  raisonnables  de  la 
personne  concernée.  En  revanche,  un  consentement  distinct  et  supplémentaire 
devrait être demandé pour autoriser la transmission des données de la personne 
concernée  à  des  tiers.  Il  convient  d’évaluer  au  cas  par  cas  la  nécessité  de 
«détailler»  le  consentement,  en  fonction  de  la  ou  des  finalités  envisagées  ou  des 
destinataires des données.
 » 29 
d. 
Conclusion 
57  La directive 95/46 ne précise pas à qui le consentement visé à l’article 7, sous a), 
et  à  l’article  2,  sous  h),  de  la  directive  95/46/CE  doit  être  donné.  Le  ou  les 
responsables du traitement peuvent donc eux-mêmes le déterminer, à condition de 
se  conformer  aux  exigences  légales  en  matière  de  consentement  telles  que 
[Or. 25]  prévues  à  l’article  7,  sous  a),  et  à  l’article  2,  sous  h),  de  la  directive 
95/46/CE. Un consentement « détaillé » peut se révéler nécessaire si les données à 
caractère  personnel  en  cause  seront  traitées  à  différentes  fins  ou  seront 
communiquées  à  plusieurs  destinataires.  Dans  l’appréciation  de  la  nécessité 
d’obtenir  un  consentement  « détaillé »,  il  faut  tenir  compte  des  finalités  du 
traitement,  de  la  nature  des  informations  qui  sont  données  aux  personnes 
concernées,  du  contexte  dans  lequel  ces  informations  ont  été  fournies  et  des 
attentes raisonnables de la personne concernée. 
58  Dans un cas comme celui de la présente affaire, eu égard aux finalités diverses du 
traitement  ainsi  que  des  attentes  raisonnables  des  personnes  concernées,  Fashion 
 
29  
Groupe de travail « Article 29 » sur la protection des données, Avis 15/2010 sur la définition du 
consentement
, WP 187, 13 juillet 2011, p. 19. C’est le gouvernement belge qui souligne. 
19 

AFFAIRE C-40/17–15 
ID  (outre  Facebook)  doit  obtenir  le  consentement  spécifique  de  la  personne 
concernée 30. 
6. 
La sixième question préjudicielle 
59  Par  la  sixième  question  préjudicielle,  la  juridiction  de  renvoi  souhaite  savoir  si 
l’obligation  d’information  de  l’article  10  de  la  directive  95/46  s’applique 
également au gestionnaire d’un site qui a inséré le contenu d’un tiers et est ainsi à 
l’origine du traitement par le tiers des données à caractère personnel. 
60  Selon le gouvernement belge, cette question appelle une réponse affirmative. 
61  Ainsi  qu’il  a  été  vu  plus  haut,  l’exploitant  d’un  site  qui  insère  dans  son  site  un 
code  programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des 
contenus d’un tiers et  de transmettre  à cet  effet  au tiers des données à caractère 
personnel  doit  être  considéré  comme  étant  un    « responsable  du  traitement »  au 
sens  de  l’article  2,  sous  d),  de  la  directive  95/46  (voir  plus  haut,  point ?  et 
suivants). [Or. 26] 
62  Tout  responsable  du  traitement  est  tenu  de  se  conformer  aux  obligations  qui  lui 
incombent (voir, plus haut, point 51). L’obligation d’information de l’article 10 de 
la directive 95/46 en fait partie. 
63  Cette conception n’aboutit pas à une interdiction de fait d’insérer des contenus mis 
à  disposition  par  des  tiers 31.  Elle  peut  cependant  conduire  dans  la  pratique  à  ce 
que  le  responsable  du  traitement  doive  vérifier  à  quelles  fins  le  tiers  traitera  les 
données  à  caractère  personnel  et  s’il  doit  prendre  des  mesures  appropriées  pour 
garantir effectivement la protection des personnes physiques en ce qui concerne le 
traitement des données à caractère personnel (voir, plus haut, point 53 : obligation 
de prendre des mesures appropriées). 
V. 
CONCLUSION 
64  Compte  tenu  de  ce  qui  précède,  le  gouvernement  belge  suggère  à  la  Cour  de 
répondre aux questions préjudicielles comme suit : 
1.  Le  régime  des  articles  22,  23  et  24  de  la  directive  95/46/CE  du  Parlement 
européen  et  du  Conseil,  du  24  octobre  1995,  relative  à  la  protection  des 

 
30  
Le  gouvernement  belge  observe,  pour  information,  que,  dans  le  cadre  de  modules  sociaux,  il 
existe  aussi  des  solutions  techniques  conviviales  permettant  d’obtenir  le  consentement 
spécifique de la personne concernée pour le traitement de  données à caractère personnel. Pour 
plus d’informations, voir notamment Schneier on security, « Changes to the blog », le 22 mars 
2013, sur https://www.schneier.com/blog/archives/2013/03/changes to the.html. 
31  
Voir point 20 de la décision de renvoi où il est précisé que « l’idée que l’obligation de l’article 
10 d’informer la personne concernée pèse sur celui qui fait l’insertion conduit en fait à interdire 
d’insérer des contenus élaborés par des tiers
 ». C’est le gouvernement belge qui souligne. 
20 
 

FASHION ID 
personnes physiques à l’égard du traitement des données à caractère personnel et 
à  la  libre  circulation  de  ces  données  ne  s’oppose  pas  à  une  réglementation 
nationale  qui,  en  marge  des  pouvoirs  d’intervention  des  autorités  de  protection 
des  données  et  des  actions  en  justice  des  personnes  concernées,  habilite,  en  cas 
d’atteintes,  des  associations  d’utilité  publique  de  défense  des  intérêts  des 
consommateurs à agir contre l’auteur d’une atteinte. 

2. Une personne qui, dans un cas comme celui de l’espèce, insère dans son site un 
code  programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des 
contenus d’un tiers et de transmettre à cet effet au tiers des données à caractère 
personnel  agit  comme  un  « responsable  du  
[Or. 17]  traitement »  au  sens  de 
l’article 2, sous d), de la directive 95/46. 

3. L’article 2, sous d), de la directive 95/46 doit être interprété en ce sens qu’il ne 
s’oppose  pas  à  la  mise  en  cause  sur  le  plan  civil  d’un  tiers  qui  n’est  pas 
« responsable du traitement ». 

4. Dans la mise en balance qui doit être opérée en application de l’article 7, sous 
f), de la directive 95/46, il faut prendre en considération tant l’intérêt légitime du 
ou des responsables du traitement que l’intérêt légitime du ou des tiers auxquels 
les données sont communiquées. 

5.  Le  ou  les  responsables  du  traitement  peuvent  déterminer  eux-mêmes  à  qui  le 
consentement  visé  à  l’article  7,  sous  a),  et  à  l’article  2,  sous  h),  de  la  directive 
95/46/CE  doit  être  donné,  à  condition  de  se  conformer  aux  exigences  légales  en 
matière de consentement telles que prévues par ces mêmes dispositions. 

6.  L’obligation  d’information  de  l’article  10  de  la  directive  95/46  s’applique 
également, dans une situation telle que celle de l’espèce, au gestionnaire du site 
qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des données 
à caractère personnel fait par un tiers. 

Bruxelles, le 5 mai 2017 
Pierre Cottin   
 
Liesbet Van den Broeck 
agents du gouvernement belge 
21