Traduction
C-40/17 - 15
Observations du royaume de Belgique
Affaire C-40/17 *
Pièce déposée par :
le gouvernement belge
Nom usuel de l’affaire :
FASHION ID
Date de dépôt :
5 mai 2017
[omissis]
À LA COUR DE JUSTICE DE L’UNION EUROPÉENNE
Observations écrites
du gouvernement belge
déposées, conformément à l’article 23, deuxième alinéa, du protocole sur le statut
de la Cour de justice de l’Union européenne, par le gouvernement belge,
représenté par M. le ministre des Affaires étrangères, ayant pour agents M. Pierre
COTTIN et Mme Liesbet VAN DEN BROECK, attachés à la direction générale
des Affaires juridiques du service public fédéral Affaires étrangères, Commerce
extérieur et Coopération au développement, dont les bureaux sont établis à 1000
Bruxelles, rue des Petits Carmes 15, qui consentent à ce que les significations leur
soient adressées par l’application e-Curia ou, à défaut, par télécopie au numéro
0032 2 501 41 97, dans l’affaire :
C-40/17
Fashion ID GmbH & Co.KG
contre
Verbrancherzentrale NRW eV
* Langue de procédure : l’allemand.
FR
AFFAIRE C-40/17–15
dans le cadre d’une question préjudicielle posée, au titre de l’article 267 TFUE,
par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf,
Allemagne) dans une décision de renvoi du 19 janvier 2017, enregistrée au greffe
de la Cour le 26 février 2017 sous le no 1 040 733, concernant l’interprétation de
la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995,
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données (ci-après la
« directive 95/46 »).
[Or. 2]
À Monsieur le Président, à Monsieur le Vice-président et aux membres de la
Cour de justice de l’Union européenne
Le gouvernement belge souhaite formuler les observations qui suivent :
I.
LES FAITS ET LA PROCÉDURE
1
Pour ce qui concerne les faits et la procédure, le gouvernement belge se réfère à la
décision de renvoi (p. 3 et 4 de la traduction néerlandaise).
2
La juridiction de renvoi pose à la Cour de justice (ci-après la « Cour ») les
questions préjudicielles suivantes :
1.
Le régime des articles 22, 23 et 24 de la directive 95/46/CE du Parlement
européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)
s’oppose-t-il à une réglementation nationale qui, en marge des pouvoirs
d’intervention des autorités de protection des données et des actions en
justice de la personne concernée, habilite, en cas d’atteintes, des
associations d’utilité publique de défense des intérêts des consommateurs à
agir contre l’auteur d’une atteinte ?
Si la première question appelle une réponse négative :
2.
Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un
code programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données à
caractère personnel, celui qui fait l’insertion est-il « responsable du
traitement » au sens de l’article 2, sous d), de la directive 95/46/CE du
Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre [Or. 3] circulation de ces données (JO
1995, L 281, p. 31) lorsqu’il ne peut avoir lui-même aucune influence sur ce
processus de traitement des données ?
3.
Si la deuxième question appelle une réponse négative : l’article 2, sous d),
de la directive 95/46/CE relative à la protection des personnes physiques à
2
FASHION ID
l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données doit-il être interprété en ce sens qu’il régit
exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en
cause sur le plan civil d’un tiers qui n’est certes pas « responsable du
traitement » mais est à l’origine du processus de traitement des données
sans avoir d’influence sur celui-ci ?
4.
Dans un contexte comme celui de l’espèce, quel est l’« intérêt légitime » à
prendre en compte dans la mise en balance à faire au titre de l’article 7,
sous f), de la directive 95/46/CE ? Est-ce l’intérêt d’insérer des contenus de
tiers ou est-ce l’intérêt du tiers ?
5.
Dans un contexte comme celui de l’espèce, à qui doit être donné le
consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la
directive 95/46/CE ?
6.
L’obligation d’informer la personne concernée en vertu de l’article 10 de la
directive 95/46/CE dans une situation telle que celle qui se présente en
l’espèce pèse-t-elle également sur le gestionnaire du site qui a inséré le
contenu d’un tiers et est ainsi à l’origine du traitement des données à
caractère personnel fait par un tiers ?
II.
LE CADRE JURIDIQUE EUROPÉEN
3
Le gouvernement belge se réfère à l’article 2, sous d) et sous h), à l’article 7, sous
a) et sous f), à l’article 10, à l’article 22, à l’article 23, à l’article 24 et à l’article
28 de la directive 95/46, ainsi qu’aux articles 7 et 8 de la charte des droits
fondamentaux de l’Union européenne (ci-après la « charte »). Le gouvernement
belge se réfère, en outre, à l’article 5,
[Or. 4] paragraphe 3, de la directive
2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant
le traitement des données à caractère personnel et la protection de la vie privée
dans le secteur des communications électroniques (directive vie privée et
communications électroniques), telle que modifiée par la directive 2009/136/CE
du Parlement européen et du Conseil, du 25 novembre 2009, modifiant la directive
2002/22/CE concernant le service universel et les droits des utilisateurs au regard
des réseaux et services de communications électroniques, la directive 2002/58/CE
concernant le traitement des données à caractère personnel et la protection de la
vie privée dans le secteur des communications électroniques et le règlement (CE)
n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de
veiller à l’application de la législation en matière de protection des
consommateurs (ci-après la « directive 2009/136 »).
III.
LE CADRE JURIDIQUE NATIONAL
4
Le gouvernement belge se réfère au cadre juridique national tel qu’il est exposé
dans la décision de renvoi, plus particulièrement à l’article 2, paragraphes 1 et 2, à
3
AFFAIRE C-40/17–15
l’article 3, paragraphe 1, à l’article 3bis, à l’article 8, paragraphes 1 et 3, point 3,
du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale,
ci-après l’« UWG ») et à l’article 2, paragraphe 1, à l’article12, paragraphe 1, à
l’article 13, paragraphe 1, à l’article 15, paragraphe 1, du Telemediengesetz (loi
sur les médias électroniques, ci-après le « TMG »).
IV.
ANALYSE
1.
La première question préjudicielle
5
Par la première question préjudicielle, la juridiction de renvoi souhaite savoir si la
directive 95/46 s’oppose à une réglementation nationale habilitant des associations
d’utilité publique de défense des intérêts des consommateurs à agir contre une
entité qui enfreint les dispositions nationales transposant cette directive.
6
Selon le gouvernement belge, cette question appelle une réponse négative.
[Or. 5]
a.
La qualité pour agir en cas de violation de dispositions nationales
transposant la directive 95/46
7
L’article 22 de la directive 95/46 impose aux États membres de prévoir que toute
personne dispose d’un recours juridictionnel «
en cas de violation des droits qui
lui sont garantis par les dispositions nationales applicables au traitement en
question ». En outre, l’article 28, paragraphe 1, de la directive 95/46 oblige les
États membres de charger une ou plusieurs autorités publiques de surveiller
l’application, sur leur territoire, des dispositions qu’ils ont adoptées en application
de la directive. Conformément à l’article 28, paragraphe 3, troisième tiret, chaque
autorité de contrôle dispose du pouvoir d’ester en justice.
8
Il résulte des dispositions précitées de la directive 95/46 que les États membres
doivent veiller à ce que tant les personnes concernées que les autorités de contrôle
aient, dans certains cas, la qualité pour agir contre la violation de dispositions
nationales transposant la directive 95/46. La question qui se pose dans le cadre de
la présente procédure est de savoir si le législateur européen a entendu, par là,
établir un régime exhaustif en ce qui concerne la capacité pour agir. Le
gouvernement belge estime que ni les termes de la directive 95/46 ni son objectif
ne permettent de conclure que telle était l’intention du législateur européen.
b.
Les termes de la directive 95/46
9
Rien dans les termes de la directive 95/46 n’est susceptible d’indiquer qu’elle
entend mettre en place des règles exhaustives en ce qui concerne la qualité pour
agir. Les articles 22 et suivants définissent des obligations
minimales dont les
États membres doivent tenir compte dans la transposition de cette directive.
Aucun des termes utilisés ne laisse entendre que ces articles règleraient de façon
4
FASHION ID
exhaustive la qualité pour agir à l’encontre d’atteintes aux dispositions nationales
de transposition de la directive 95/46.
[Or. 6]
c.
L’objectif de la directive 95/46
10 L’objectif de la directive 95/46 consiste à maintenir un équilibre entre la libre
circulation des données à caractère personnel et la protection de la vie privée 1.
Dans l’arrêt Lindqvist, la Cour indique que la directive 95/46 vise, en principe,
une harmonisation complète :
«
95. La directive 95/46 vise, ainsi qu’il ressort notamment de son huitième
considérant, à rendre équivalent dans tous les États membres le niveau de
protection des droits et libertés des personnes à l’égard du traitement de données
à caractère personnel. Son dixième considérant ajoute que le rapprochement des
législations nationales applicables en la matière ne doit pas conduire à affaiblir
la protection qu’elles assurent, mais doit, au contraire, avoir pour objectif de
garantir un niveau élevé de protection dans la Communauté.
96. L’harmonisation desdites législations nationales ne se limite donc pas à une
harmonisation minimale, mais aboutit à une harmonisation qui est, en principe,
complète. C’est dans cette optique que la directive 95/46 entend assurer la libre
circulation des données à caractère personnel, tout en garantissant un haut
niveau de protection des droits et des intérêts des personnes visées par ces
données. » 2
11 Dans le même arrêt, la Cour admet cependant également que la directive 95/46
reconnaît aux États membres une certaine marge de manœuvre :
«
97. Il est vrai que la directive 95/46 reconnaît aux États membres une marge de
manœuvre dans certains domaines et qu’elle les autorise à maintenir ou à
introduire des régimes particuliers pour des situations spécifiques ainsi qu’en
témoignent un grand nombre de ses dispositions. Toutefois, de telles possibilités
doivent être utilisées de la manière prévue par la directive 95/46 et conformément
à son objectif consistant à maintenir un équilibre entre la libre circulation des
données à caractère personnel et la protection de la vie privée. [Or. 7]
98. En revanche, rien ne s’oppose à ce qu’un État membre étende la portée de
la législation nationale transposant les dispositions de la directive 95/46 à des
1
Article 1er de la directive 95/46 ; arrêt du 6 novembre 2003, Lindqvist (C-101/01,
EU:C:2003:596, point 97).
2
Arrêt du 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, points 95 et 96). C’est le
gouvernement belge qui souligne.
5
AFFAIRE C-40/17–15
domaines non inclus dans le champ d’application de cette dernière, pour autant
qu’aucune autre disposition du droit communautaire n’y fasse obstacle. » 3
12 Dans l’arrêt Asociación Nacional de Establecimientos Financieros de Crédito, la
Cour précise encore que l’objectif de la directive 95/46 consiste à organiser, dans
tous les États membres, un niveau de protection
équivalent quant au traitement des
données à caractère personnel 4. Cet objectif a, entre autres, comme conséquence
que «
les États membres ne sauraient ni ajouter de nouveaux principes relatifs à
la légitimation des traitements de données à caractère personnel à l’article 7 de
la directive 95/46 ni prévoir des exigences supplémentaires qui viendraient
modifier la portée de l’un des six principes prévus à cet article » 5.
13 Aussi, une réglementation nationale qui prévoit que des associations d’utilité
publique de défense des intérêts des consommateurs ont la qualité pour agir contre
une entité qui enfreint les dispositions nationales transposant la directive 95/46 ne
va en aucune façon à l’encontre de l’objectif de cette directive qui consiste à
garantir un équilibre entre la libre circulation des données à caractère personnel et
la protection de la vie privée. En effet, pareille qualité pour agir ne porte pas
atteinte au niveau de protection visé et n’impose aucune restriction supplémentaire
à la légitimation des traitements de données à caractère personnel. Elle tend tout
au plus à garantir de manière adéquate la protection que la directive 95/46 vise.
d.
Conclusion
14 Il s’ensuit, selon le gouvernement belge, que
la directive 95/46 ne contient pas
une réglementation exhaustive en matière de qualité pour agir en cas
d’atteintes aux
[Or. 8] dispositions nationales qui la transpose. Selon le
gouvernement belge, un législateur national peut donc conférer à des associations
d’utilité publique de défense des intérêts des consommateurs la qualité pour agir
contre une entité qui enfreint les dispositions nationales transposant la directive
95/46.
2.
La deuxième question préjudicielle
15 Par la deuxième question préjudicielle, la juridiction de renvoi souhaite savoir si
une personne qui intègre dans son site un code programme permettant au
navigateur de l’utilisateur de solliciter des contenus d’un tiers et de transmettre à
cet effet au tiers des données à caractère personnel peut être considérée comme
3
Arrêt du 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, points 97 et 98). C’est le
gouvernement belge qui souligne.
4
Arrêt du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito
(C-468/10 et C-469/10, EU:C:2011:777, point 30).
5
Arrêt du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito
(C-468/10 et C‑469/10, EU:C:2011:777, point 32). Voir également arrêt du 19 octobre 2016,
Breyer (C-582/14, EU:C:2016:779, points 57 et suivants).
6
FASHION ID
étant un « responsable du traitement » au sens de l’article 2, sous d), de la
directive 95/46.
16 Selon le gouvernement belge, cette question appelle une réponse affirmative.
a.
L’arrêt Google Spain et Google : une interprétation large de la notion
de « responsable du traitement »
17 L’interprétation de la notion de « responsable du traitement » doit tenir compte
des orientations que la Cour a établies dans l’arrêt Google Spain et Google. Dans
cet arrêt, la Cour a souligné que le législateur de l’Union a délibérément donné
une définition large de la notion de responsable du traitement afin d’assurer une
«
protection efficace et complète » 6 des personnes concernées.
18 Dans ce même arrêt, la Cour de justice souligne que le rôle d’autres parties, qui
agissent éventuellement aussi comme responsables du traitement, ne fait pas
obstacle aux responsabilités qui reposent sur une partie en sa qualité de
responsable du traitement 7. Au contraire, la Cour indique que tout responsable du
traitement doit assurer, «
dans le cadre de ses responsabilités, de ses compétences
et de ses [Or. 9] possibilités », que ses activités satisfont aux exigences de la
directive 95/46 «
pour que les garanties prévues par celle-ci puissent développer
leur plein effet et qu’une protection efficace et complète des personnes
concernées, notamment de leur droit au respect de leur vie privée, puisse
effectivement être réalisée » 8.
b.
Fashion ID agit comme un « responsable du traitement »
19 L’article 2, sous d), de la directive 95/46 définit la notion de « responsable du
traitement » comme étant celui qui détermine « les finalités » et « les moyens » du
traitement de données à caractère personnel concerné :
«
la personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les
moyens du traitement de données à caractère personnel. »
20 Ainsi que l’indique le groupe de travail « Article 29 »
sur la protection des
données (ci-après le « groupe de travail “Article 29” ») 9 dans son « avis sur les
6 –
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 34).
7 –
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 39).
8 –
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 38).
9
Le Groupe de travail « Article 29 » a été institué par l’article 29 de la directive 95/46. Il s’agit
d’un organe consultatif européen indépendant sur la protection des données et de la vie privée.
Ses missions sont définies à l’article 30 de la directive 95/46 (JO 1995, L 281, p. 31) et à
l’article 15 de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002,
concernant le traitement des données à caractère personnel et la protection de la vie privée dans
le secteur des communications électroniques (JO 2002, L 201, p. 37).
7
AFFAIRE C-40/17–15
notions de “responsable du traitementˮ et de “sous-traitantˮ», être responsable du
traitement résulte essentiellement du fait qu’une entité déterminée a pris la
décision de traiter ou de faire traiter des données à caractère personnel pour des
finalités déterminées 10.
21 La notion d’« objectif » du traitement porte sur la finalité qui est poursuivie par le
traitement des données à caractère personnel. Pour déterminer quelle est l’entité
qui décide réellement de l’« objectif » du traitement, le groupe de travail « Article
29 » considère qu’il faut d’abord
[Or. 10] répondre aux questions «
qui a
entrepris ce traitement ? » et «
pourquoi a-t-il lieu ? » 11.
22 La notion de « moyens » porte, en revanche, sur les mesures pratiques qui sont
prises pour réaliser les finalités du traitement. À cet égard, il ne s’agit pas
seulement de mesures techniques et organisationnelles (telles que la question du
matériel informatique ou du logiciel à utiliser), mais également d’aspects plus
essentiels, tels que «
quelles sont les données à traiter ? », «
pendant combien de
temps doivent-elles être traitées ? », «
qui doit y avoir accès », etc 12.
23 En l’espèce, Fashion ID détermine tant les finalités que les moyens du traitement
lorsqu’elle prend la décision, dans un cas tel que celui de la présente affaire, de
recourir aux services de Facebook en insérant dans son site un code programme
permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et de
transmettre à cet effet au tiers des données à caractère personnel. En effet, Fashion
ID détermine son propre « objectif » du traitement, qui consiste à accroître la
visibilité du contenu de son propre site et à permettre aux visiteurs de le
communiquer de façon très simple par le réseau social de Facebook. En outre,
Fashion ID profite du traitement, car son site attirera normalement plus de
visiteurs lorsque ceux-ci font savoir à leurs « amis », en cliquant sur le bouton
« j’aime », qu’ils aiment ce site.
24 Fashion ID détermine également les « moyens » du traitement en décidant
d’intégrer le code programme concerné dans son site. Bien que, en l’espèce, les
modalités spécifiques du traitement soient déterminées unilatéralement par
Facebook, cela ne fait pas obstacle à la qualité de Fashion ID en tant que
responsable du traitement. Le constat que Fashion ID ne peut pas influencer ce
que Facebook fait ensuite avec les données à caractère personnel communiquées
ne fait pas davantage obstacle à ce qu’elle puisse être considérée comme
responsable du traitement. Même lorsque le seul choix dont Fashion ID dispose
consiste « à prendre ou à laisser » le service (en l’occurrence : le module social de
10 –
Groupe de travail « Article 29 » sur la protection des données,
Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », WP 169, 16 février 2010, p. 9
(http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-
recommendation/files/2010/wp169_fr.pdf).
11 –
Groupe de travail « Article 29 » sur la protection des données, op. cit., p. 9.
12 –
Groupe de travail « Article 29 » sur la protection des données, op. cit., p. 15.
8
FASHION ID
Facebook), il n’en demeure pas moins que le
[Or. 11] choix de « prendre » le
service suffit pour qu’il soit question d’une décision sur les « moyens » du
traitement 13.
25 Le gouvernement belge estime que, au vu des considérations qui précèdent, il faut
donc considérer Fashion ID comme un « responsable du traitement ». Cette
constatation n’enlève bien sûr rien aux obligations qui reposent sur Facebook en
sa qualité de responsable du traitement (à titre individuel ou conjointement). En
effet, c’est l’évidence même que Facebook exerce une influence déterminante par
rapport à l’« objectif et aux moyens » du traitement des données à caractère
personnel qui a lieu dans le cadre de l’offre de modules sociaux de Facebook que
Facebook utilise aussi pour ses propres finalités et intérêts 14.
c.
Responsabilité analogue des exploitants de sites web dans le cadre de
la publicité comportementale en ligne
26 Le point de vue selon lequel Fashion ID intervient en tant que « responsable du
traitement » lorsqu’elle intègre un bouton « j’aime » sur son site est également
conforté par l’avis que le groupe de travail « Article 29 » a rendu sur la publicité
comportementale en ligne (« behavioural advertising ») 15.
27 Dans cet avis, le Groupe de travail « Article 29 » différencie trois acteurs dans les
modes de diffusion de la publicité comportementale :
[Or. 12]
13
L’un des exemples que le groupe de travail « Article 29 » expose dans son « avis
1/2010 sur les
notions de “responsable du traitementˮ et de “sous-traitantˮ » confirme expressément cette
conception. Voir Groupe de travail « Article 29 » sur la protection des données,
Avis 1/2010 sur
les notions de « responsable du traitement » et de « sous-traitant », WP 169, 16 février 2010,
p. 28 (« Exemple n° 18 : Plateformes de courriel »). Une interprétation similaire figure
également dans l’avis du groupe de travail « Article 29 » sur l’informatique en nuage : «
Dans le
scénario actuel d’informatique en nuage, les clients de services d’informatique en nuage n’ont
pas toujours la marge de manœuvre nécessaire pour négocier les conditions contractuelles
d’utilisation des services en nuage, bon nombre d’entre eux faisant l’objet d’offres
standardisées. Néanmoins, c’est en définitive le client qui prend la décision d’affecter tout ou
partie des opérations de transformation aux services en nuage, à des fins particulières (…). ».
Voir Groupe de travail « Article 29 » sur la protection des données,
Avis 05/2012 sur
l’informatique en nuage, WP 196, 1er juillet 2012, p. 10, (http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files/2012/wp196_fr.pdf).
14
Pour plus d’informations sur la manière dont Facebook recueille les données à caractère
personnel et les cookies par des modules d’extension sociaux, voir sur Facebook, « Cookies et
autres technologies de stockage », page modifiée en dernier lieu le 20 mars 2017,
https://www.facebook.com/policy/cookies/printable [Ndt: voir version fr sur https://fr-
fr.facebook.com/policy/cookies/printable].
15
Groupe de travail « Article 29 » sur la protection des données,
Avis 2/2010 sur la publicité
comportementale en ligne, WP 171, 22 juin 2010, p. 13 (http://ec.europa.eu/justice/data-
protection/article-29/documentation/opinion-recommendation/files/2010/wp171_fr.pdf).
9
AFFAIRE C-40/17–15
(a)
les fournisseurs de réseaux publicitaires, qui sont les principaux diffuseurs de
publicité comportementale puisqu’ils mettent en relation les diffuseurs et les
annonceurs;
(b)
les annonceurs, qui veulent promouvoir un produit ou un service auprès d’un
public spécifique, et
(c)
les diffuseurs, qui sont les propriétaires des sites web et cherchent à tirer des
revenus de la vente d’espaces publicitaires sur leur(s) site(s) 16.
28 Dans son analyse des rôles et responsabilités des différents acteurs, le groupe de
travail « Article 29 » expose la relation entre les fournisseurs de réseaux
publicitaires et les diffuseurs comme suit :
«
À cet égard, le groupe de travail observe que, généralement, lorsque les
fournisseurs de réseaux publicitaires envoient des publicités personnalisées, les
diffuseurs y contribuent en configurant leurs sites web de manière à ce que
lorsqu’un utilisateur visite un site web du diffuseur, son navigateur soit
automatiquement redirigé vers la page web du fournisseur de réseau publicitaire.
Ce faisant, le navigateur de l’utilisateur transmettra son adresse IP au
fournisseur de réseau publicitaire, qui enverra le cookie et la publicité ciblée.
Dans ce cas de figure, il importe de relever que les diffuseurs ne transmettent pas
l’adresse IP du visiteur au fournisseur de réseau publicitaire. En effet, c’est le
navigateur du visiteur qui communique automatiquement cette information au
fournisseur de réseau publicitaire. Cependant, cette communication n’est possible
que parce que le diffuseur a configuré son site web de manière à ce que le visiteur
de son site soit automatiquement redirigé vers le site web du fournisseur de
réseau publicitaire. En d’autres termes, le diffuseur déclenche le transfert de
l’adresse IP, qui constitue la première étape nécessaire pour permettre le
traitement ultérieur effectué par le fournisseur de réseau publicitaire afin
d’envoyer des publicités ciblées. Par conséquent, même si, sur le plan technique,
le transfert des données de l’adresse IP est effectué par le navigateur de la
personne qui consulte le site web du diffuseur, ce n’est pas cette personne qui
déclenche le transfert. La personne voulait uniquement visiter le site web du
diffuseur. Elle n’avait pas l’intention de visiter le site web du fournisseur de
réseau publicitaire. À l’heure actuellement, ce cas de figure est courant. Par
conséquent, le groupe de travail considère que les diffuseurs assument une
certaine responsabilité dans le traitement des données, qui découle de la
transposition en droit national de la directive 95/46/CE et/ou d’autres actes
législatifs nationaux. » 17
16
Groupe de travail « Article 29 » sur la protection des données,
Avis 2/2010 sur la publicité
comportementale en ligne, WP 171, 22 juin 2010, p. 6.
17
Groupe de travail « Article 29 » sur la protection des données,
Avis 2/2010 sur la publicité
comportementale en ligne, WP 171, 22 juin 2010, p. 13. C’est le gouvernement belge qui
souligne. Voir aussi Groupe de travail « Article 29 » sur la protection des données,
Avis 1/2010
sur les notions de « responsable du traitement » et de « sous-traitant », WP 169, 16 février
10
FASHION ID
29 La répartition des rôles entre les fournisseurs de réseaux publicitaires et les
diffuseurs correspond à celle qui existe entre Facebook et Fashion ID. En effet,
Fashion ID agit comme « diffuseur » du module social de Facebook : en intégrant
le code programme concerné dans son site, elle permet au navigateur de
l’utilisateur de solliciter des contenus d’un fournisseur externe (en l’occurrence :
Facebook). Sans cette décision, aucune donnée à caractère personnel ne serait en
principe transmise à Facebook lorsque l’utilisateur visite le site de Fashion ID.
Facebook utilise par ailleurs les données à caractère personnel qu’elle a
recueillies, entre autres, pour présenter la publicité « basée sur les centres d’intérêt
en ligne » 18. Par analogie avec ce que le groupe de travail « Article 29 » a déclaré
sur la publicité comportementale en ligne, on peut considérer que Fashion ID agit
comme un « responsable du traitement » qui assume une responsabilité pour sa
décision de configurer son site de manière à ce que les navigateurs de ses visiteurs
fassent automatiquement une connexion avec un serveur de Facebook.
[Or. 14]
d.
Conclusion
30 Selon le gouvernement belge, une personne qui insère dans son site un code
programme permettant au navigateur de l’utilisateur de solliciter des
contenus
d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel
peut être considérée comme un « responsable du traitement » au sens de l’article
2, sous d), de la directive 95/46. En effet, la décision d’intégrer dans son site le
code programme concerné constitue un acte qui peut donner lieu à une
qualification de « responsable du traitement » au sens de l’article 2, sous d), même
lorsque la possibilité d’influencer ce traitement de données après que les données
à caractère personnel ont été transmises est limitée. Cette constatation ne diminue
en rien les obligations qui pèsent sur Facebook en sa qualité de responsable du
traitement (à titre individuel ou conjointement).
2010, p. 25: «
Du point de vue de la protection des données, le diffuseur doit être considéré
comme un responsable du traitement autonome puisqu’il collecte des données à caractère
personnel auprès de l’utilisateur (profil utilisateur, adresse IP, emplacement de mémoire,
langue du système d’exploitation, etc.) pour son propre compte. Le fournisseur de réseau
publicitaire sera également responsable du traitement dès lors qu’il détermine les finalités
(suivre les utilisateurs sur les différents sites web) ou les moyens essentiels du traitement de
données. En fonction des conditions de collaboration qui ont été fixées entre le diffuseur et le
fournisseur de réseau publicitaire, par exemple si le premier permet le transfert de données à
caractère personnel vers le second, notamment en redirigeant l’utilisateur vers la page web du
fournisseur de réseau publicitaire, ils peuvent être coresponsables du traitement pour
l’ensemble des opérations de traitement conduisant à la publicité comportementale ». C’est le
gouvernement belge qui souligne.
18
Facebook, « Cookies et autres technologies de stockage », page modifiée en dernier lieu le 20
mars 2017, https://www.facebook.com/policy/cookies/printable [Ndt: version fr sur https://fr-
fr.facebook.com/policy/cookies/printable].
11
AFFAIRE C-40/17–15
3.
La troisième question préjudicielle
31 Par la troisième question préjudicielle, la juridiction de renvoi souhaite savoir si
l’article 2, sous d), de la directive 95/46 règle la responsabilité de manière
exhaustive en ce sens qu’il s’oppose à la mise en cause sur le plan civil d’un tiers
qui
n’est pas le « responsable du traitement »
.
32 Selon le gouvernement belge, cette question appelle une réponse négative.
a.
Observation préalable : Fashion ID agit comme un « responsable du
traitement »
33 Selon le gouvernement belge, une personne qui insère dans son site un code
programme permettant au navigateur de l’utilisateur de solliciter des contenus
d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel
peut être considérée comme un « responsable du traitement » au sens de l’article
2, sous d), de la directive 95/46 (voir, plus haut, les points 15 et 30).
34 Si la Cour devait toutefois parvenir à la conclusion inverse, il y lieu alors de
signaler que la directive 95/46 permet aux États membres à prendre des mesures
supplémentaires en vue d’assurer la protection effective des données à caractère
personnel, pour autant qu’ils tiennent compte, dans ce cadre, de l’objectif de la
directive 95/46 qui est de maintenir un équilibre entre la libre circulation des
données à caractère personnel et la protection de la vie privée (voir, plus haut,
points 10 à 14). De telles mesures pourraient viser un tiers qui n’intervient pas
comme un responsable du traitement.
b.
Portée de l’article 2, sous d), et de l’article 23 de la directive 95/46
35 L’article 2, sous d), et l’article 23 de la directive 95/46 règlent l’étendue de la
responsabilité du responsable du traitement. Ces dispositions n’empêchent
toutefois nullement un État membre de prendre des mesures supplémentaires afin
de garantir la protection effective des personnes concernées. Ainsi, différents États
membres prévoient dans leur législation nationale que, dans certaines conditions,
la personne concernée peut tenir le sous-traitant pour directement responsable,
même si la directive 95/46 ne le prévoit pas explicitement 19.
c.
Le droit à un recours effectif
36 Les dispositions de la directive 95/46 doivent être interprétées au regard des droits
fondamentaux qui, selon une jurisprudence constante de la Cour, font partie
intégrante des principes généraux du droit dont elle assure le respect et qui sont
19
Tel est le cas, par exemple, des Pays-Bas, voir article 49, paragraphe 3, de la wet houdende
regels inzake de bescherming van persoonsgegevens (loi portant les règles en matière de
protection
des
données
personnelles)
du
6
juillet
2000
(http://wetten.overheid.nl/BWBR0011468/2017-03-10).
12
FASHION ID
désormais inscrits dans la charte des droits fondamentaux de l’Union
européenne 20 (ci-après le « charte ») 21. Ainsi, l’article 7 de la charte garantit le
droit au respect de la vie privée, tandis que l’article 8 de la Charte prévoit
explicitement que toute personne a droit à la protection des données à caractère
personnel la concernant. L’article 47, premier alinéa, de la charte dispose que
toute personne dont les droits et libertés garantis par le droit de l’Union ont été
violés a droit à un recours effectif devant un tribunal dans le respect des
conditions prévues à cet article.
37 Les dispositions précitées laissent apparaître, selon le gouvernement belge, que
l’article 2, sous d), de la directive 95/46 ne peut pas être interprété d’une manière
qui compromettrait la protection effective des droits fondamentaux que les articles
7 et 8 de la charte contiennent. Encore la Cour estimerait-elle que Fashion ID ne
peut pas être considérée comme un « responsable du traitement » au sens de
l’article 2, sous d), de la directive 95/46, cette disposition ne peut pas être
interprétée en ce sens qu’elle s’opposerait à la possibilité d’un recours effectif
assurée par des dispositions nationales (visant le cas échéant un organisme qui
n’intervient pas en tant que « responsable du traitement »).
d.
Conclusion
38 Même si la Cour devait estimer que Fashion ID ne peut pas être considérée
comme un responsable du traitement, il n’en demeure pas moins que la directive
95/46 ne s’oppose pas à la mise en cause sur le plan civil d’un tiers qui n’est
certes pas le « responsable du traitement » mais est à l’origine du processus de
traitement des données.
4.
La quatrième question préjudicielle
39 Par la quatrième question préjudicielle, la juridiction de renvoi souhaite savoir de
qui faut-il prendre en compte l’« intérêt légitime » dans la mise en balance à
opérer au titre de l’article 7, sous f), de la directive 95/46.
40 Selon le gouvernement belge, dans le cadre de la mise en balance précitée, il y a
lieu de prendre en considération tant l’intérêt légitime du responsable du
traitement que l’intérêt légitime du tiers auquel (ou des tiers auxquels) les données
sont fournies.
[Or. 16]
a.
Observation préalable : l’article 5, paragraphe 3, de la directive
2002/58
41 Dans un souci d’exhaustivité, le gouvernement belge tient à observer que, en
l’espèce, il y a lieu d’appliquer non seulement l’article 7 de la directive 95/46,
20
JO 2016, C 202, p. 389.
21
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 68).
13
AFFAIRE C-40/17–15
mais aussi l’article 5, paragraphe 3, de la directive 2002/58 (directive vie privée et
communications électroniques), telle que modifiée par la directive 2009/136.
Cette dernière disposition énonce ce qui suit :
«
Les États membres garantissent que le stockage d’informations, ou l’obtention
de l’accès à des informations déjà stockées, dans l’équipement terminal d’un
abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou
l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive
95/46/CE, une information claire et complète, entre autres sur les finalités du
traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès
techniques visant exclusivement à effectuer la transmission d’une communication
par la voie d’un réseau de communications électroniques, ou strictement
nécessaires au fournisseur pour la fourniture d’un service de la société de
l’information expressément demandé par l’abonné ou l’utilisateur. » 22
42 Dans un cas tel que celui de la présente affaire, outre le traitement de données à
caractère personnel, il est aussi question d’un «
accès à des informations déjà
stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur ». En effet,
lorsqu’un utilisateur visite une page web pourvue d’un bouton « j’aime », le
navigateur de l’utilisateur communiquera généralement non seulement l’adresse
IP et la chaîne dite de caractères du navigateur mais aussi plusieurs cookies de
Facebook (si installés) 23. Dans une transmission de ce type, il est question d’un
«
accès à des informations déjà stockées, dans l’équipement terminal d’un abonné
ou d’un utilisateur » 24. Par conséquent, en l’espèce, le traitement des données à
caractère personnel ne peut pas être considéré comme admissible sur la seule base
d’un « intérêt légitime » au sens de l’article 7, sous f), de la directive 95/46.
[Or. 18]
b.
Les termes de l’article 7, sous f), de la directive 95/46
43 L’article 7, sous f), de la directive 95/46 prévoit quels intérêts peuvent être pris en
considération en application de cette disposition et précise qu’un traitement de
données à caractère personnel ne peut être effectué que s’«
il est nécessaire à la
réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par
le ou les tiers auxquels les données sont communiquées, à condition que ne
prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne
concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 » 25.
22
C’est le gouvernement belge qui souligne.
23
Voir point 5 de la décision de renvoi.
24
Voir aussi Groupe de travail « Article 29 » sur la protection des données,
Avis 2/2010 sur la
publicité comportementale en ligne, WP 171, p. 9 à 10.
25
C’est le gouvernement belge qui souligne.
14
FASHION ID
44 Le libellé de l’article 7, sous f), de la directive 95/46 indique textuellement que
tant l’intérêt légitime du responsable du traitement que celui du ou des tiers
auxquels les données sont communiquées doivent être pris en considération dans
la mise en balance qui doit être faite en application de cette disposition.
45 L’utilisation du mot « ou » ne signifie pas qu’il y aurait lieu, dans le cadre de
l’interprétation, de faire un choix entre, d’une part, l’intérêt légitime du
responsable du traitement et, d’autre part, l’intérêt légitime du ou des tiers
auxquels les données sont communiquées. Le législateur aurait utilisés à cet effet
des termes plus explicites, par exemple, « ou plutôt » ou « soit … soit … ».
c.
L’interprétation de l’arrêt Google Spain et Google
46 Dans l’application de l’article 7, sous f), de la directive 95/46, il y a lieu de tenir
compte de l’interprétation que la Cour a donnée dans l’arrêt Google Spain et
Google. Sur la légitimation du traitement au regard de cet article, la Cour a
considéré ce qui suit :
[Or. 19]
73 Quant à la légitimation, au titre de l’article 7 de la directive 95/46, d’un
traitement comme celui en cause au principal effectué par l’exploitant d’un
moteur de recherche, celui-ci est susceptible de relever du motif visé à cet article
7, sous f).
74 Cette disposition permet le traitement de données à caractère personnel
lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le
responsable du traitement ou par le ou les tiers auxquels les données sont
communiquées, à condition que ne prévalent pas l’intérêt ou les libertés et les
droits fondamentaux de la personne concernée, notamment son droit au respect de
sa vie privée à l’égard du traitement des données à caractère personnel, qui
appellent une protection au titre de l’article 1er, paragraphe 1, de cette directive.
L’application dudit article 7, sous f), nécessite ainsi une pondération des droits et
des intérêts opposés en cause dans le cadre de laquelle il doit être tenu compte de
l’importance des droits de la personne concernée résultant des articles 7 et 8 de
la Charte (voir arrêt ASNEF et FECEMD, EU:C:2011:777, points 38 et 40).
[…]
80 À cet égard, il importe d’emblée de relever que, ainsi qu’il a été constaté
aux points 36 à 38 du présent arrêt, un traitement de données à caractère
personnel, tel que celui en cause au principal, réalisé par l’exploitant d’un moteur
de recherche, est susceptible d’affecter significativement les droits fondamentaux
au respect de la vie privée et à la protection des données à caractère personnel
lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une
personne physique, dès lors que ledit traitement permet à tout internaute d’obtenir
par la liste de résultats un aperçu structuré des informations relatives à cette
personne trouvables sur Internet, qui touchent potentiellement à une multitude
d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas
15
AFFAIRE C-40/17–15
ou seulement que très difficilement pu être interconnectées, et ainsi d’établir un
profil plus ou moins détaillé de celle-ci. En outre, l’effet de l’ingérence dans
lesdits droits de la personne concernée se trouve démultiplié en raison du rôle
important que jouent Internet et les moteurs de recherche dans la société
moderne, lesquels confèrent aux informations contenues dans une telle liste de
résultats un caractère ubiquitaire [Or. 20] (voir, en ce sens, arrêt eDate
Advertising e.a., C‑
509/09 et C‑
161/10, EU:C:2011:685, point 45).
81 Au vu de la gravité potentielle de cette ingérence, force est de constater que
celle-ci ne saurait être justifiée par le seul intérêt économique de l’exploitant d’un
tel moteur dans ce traitement. Cependant, dans la mesure où la suppression de
liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir
des répercussions sur l’intérêt légitime des internautes potentiellement intéressés
à avoir accès à celle-ci, il y a lieu de rechercher, dans des situations telles que
celles en cause au principal, un juste équilibre notamment entre cet intérêt et les
droits fondamentaux de cette personne au titre des articles 7 et 8 de la Charte. Si,
certes, les droits de la personne concernée protégés par ces articles prévalent
également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut
toutefois dépendre, dans des cas particuliers, de la nature de l’information en
question et de sa sensibilité pour la vie privée de la personne concernée ainsi que
de l’intérêt du public à disposer de cette information, lequel peut varier,
notamment, en fonction du rôle joué par cette personne dans la vie publique. » 26
47 Il ressort des points précités de l’arrêt Google Spain et Google que, dans
l’appréciation de la légitimation d’un traitement au regard de l’article 7, sous f),
de la directive 95/46, il faut tenir compte aussi bien de l’intérêt légitime du
responsable du traitement que de l’intérêt légitime du ou des tiers auxquels les
données sont communiquées.
d.
Conclusion
48 Selon le gouvernement belge, il résulte textuellement des termes de l’article 7,
sous f), de la directive 95/46, ainsi que de l’interprétation de cette disposition dans
l’arrêt Google Spain et Google, que dans la mise en balance qui doit être opérée
en application de cette même disposition, il faut prendre en considération tant
l’intérêt légitime du responsable du traitement que l’intérêt légitime du ou des
tiers auxquels les données sont
[Or. 21] communiquées.
5.
La cinquième question préjudicielle
49 Par la cinquième question préjudicielle, la juridiction de renvoi souhaite savoir à
qui le consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la
directive 95/46/CE doit être donné dans un cas tel que celui de la présente affaire.
26
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317). C’est le
gouvernement belge qui souligne.
16
FASHION ID
50 Selon le gouvernement belge, le ou les responsables du traitement peuvent le
déterminer de manière autonome, à condition de respecter les exigences légales en
matière de consentement telles que prévues à l’article 7, sous a), et à l’article 2,
sous h), de la directive 95/46/CE
a.
Tout responsable du traitement est tenu de se conformer aux
obligations qui lui incombent
51 Il se peut, en pratique, qu’une autre personne que celle du responsable du
traitement (ou un autre responsable du traitement) puisse remplir plus facilement
certaines des obligations qui incombent au responsable du traitement. Le groupe
de travail « Article 29 » a admis cette réalité pratique dans son avis sur les notions
de « responsable du traitement » et de « sous-traitant ». Il a cependant souligné à
cet égard que c’était le responsable du traitement qui répondait, en principe,
encore toujours du respect de ses obligations :
« […]
l’incapacité à s’acquitter directement de toutes les obligations qui
incombent au responsable du traitement (garantir l’information, le droit d’accès,
etc.) n’exclut pas la possibilité d’être responsable du traitement. Il se peut que,
dans la pratique, ces obligations puissent facilement être assumées par d’autres
parties, parfois plus proches de la personne concernée, pour le compte du
responsable du traitement. Mais ce dernier [Or. 22] demeurera toujours lié, en
dernier ressort, par ses obligations et sa responsabilité pourra être engagée en
cas de non-respect de ces dernières. » 27
52 La constatation que tout responsable du traitement reste « lié, en dernier ressort »
par ses obligations, s’applique tant dans le cas de responsables du traitement à titre
individuel que dans celui de coresponsables du traitement.
b.
Les responsabilités des exploitants de sites (« diffuseurs ») dans le
cadre de la publicité comportementale en ligne
53 Dans son avis sur les notions de « responsable du traitement » et de « sous-
traitant », le groupe de travail « Article 29 » expose les responsabilités des
exploitants de sites (« diffuseurs ») et des réseaux publicitaires comme suit :
«
Du point de vue de la protection des données, le diffuseur doit être considéré
comme un responsable du traitement autonome puisqu’il collecte des données à
caractère personnel auprès de l’utilisateur (profil utilisateur, adresse IP,
emplacement de mémoire, langue du système d’exploitation, etc.) pour son propre
compte. Le fournisseur de réseau publicitaire sera également responsable du
traitement dès lors qu’il détermine les finalités (suivre les utilisateurs sur les
différents sites web) ou les moyens essentiels du traitement de données. En
27
Groupe de travail « Article 29 » sur la protection des données,
Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », WP 169, 16 février 2010, p. 23. C’est le
gouvernement belge qui souligne.
17
AFFAIRE C-40/17–15
fonction des conditions de collaboration qui ont été fixées entre le diffuseur et le
fournisseur de réseau publicitaire, par exemple si le premier permet le transfert
de données à caractère personnel vers le second, notamment en redirigeant
l’utilisateur vers la page web du fournisseur de réseau publicitaire, ils peuvent
être coresponsables du traitement pour l’ensemble des opérations de traitement
conduisant à la publicité comportementale.
Dans tous les cas, les (co)responsables du traitement doivent veiller à ce que la
complexité et les technicités du mécanisme de publicité comportementale ne les
empêchent pas de trouver les moyens appropriées de [Or. 23] se conformer aux
obligations qui incombent aux responsables du traitement, et garantir le respect
des droits des personnes concernées. » 28
54 Le passage cité ci-dessus indique clairement que les (co)responsables du
traitement sont tenus (l’un et l’autre) de chercher les moyens appropriés pour se
conformer aux obligations qui leur incombent à chacun d’eux. La façon dont ils
doivent procéder exactement dans ce cadre est une décision qui, en règle générale,
leur est laissée, dans le respect des exigences légales en matière de consentement
telles que prévues à l’article 7, sous a), et à l’article 2, sous h), de la directive
95/46/CE.
c.
La manifestation de la volonté doit être suffisamment « spécifique »
55 L’article 2, sous h), de la directive 95/46/CE définit le « consentement de la
personne concernée » comme étant «
toute manifestation de volonté, libre,
spécifique et informée par laquelle la personne concernée accepte que des
données à caractère personnel la concernant fassent l’objet d’un traitement ».
56 La condition que la manifestation de la volonté soit « spécifique » peut impliquer
que, dans certains cas, le consentement doive être obtenu de façon distincte. Dans
son avis sur la définition du consentement, le groupe de travail « Article 29 »
considère ce qui suit :
«
Pour être spécifique, le consentement doit être intelligible. Il doit mentionner,
de façon claire et précise, l’étendue et les conséquences du traitement des
données. Il ne peut pas s’appliquer à un ensemble illimité d’activités de
traitement. En d’autres termes, le contexte dans lequel le consentement s’applique
est limité.
Le consentement doit être donné sur les différents aspects, clairement définis, du
traitement. Il couvre notamment les données qui sont traitées et les finalités pour
lesquelles elles le sont. Cette compréhension [Or. 24] doit reposer sur les attentes
raisonnables des parties. Un «consentement spécifique» est dès lors
28
Groupe de travail « Article 29 » sur la protection des données,
Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », WP 169, 16 février 2010, p. 25. C’est le
gouvernement belge qui souligne.
18
FASHION ID
intrinsèquement lié au fait que le consentement doit être informé. Il existe une
obligation de «détail» du consentement par rapport aux différents éléments qui
constituent le traitement de données. En effet, il ne saurait être considéré comme
couvrant «toutes les finalités légitimes» poursuivies par le responsable du
traitement. Le consentement devrait renvoyer au traitement qui est raisonnable et
nécessaire compte tenu de sa finalité. En principe, il devrait suffire que les
responsables du traitement obtiennent un consentement unique pour les
différentes opérations, si celles-ci relèvent des attentes raisonnables de la
personne concernée.
[…]
Un consentement distinct peut néanmoins être nécessaire lorsque le responsable
du traitement a l’intention de traiter les données à d’autres fins. Par exemple, un
consentement pourrait être donné pour couvrir à la fois des informations sur de
nouveaux produits et des actions promotionnelles spécifiques, étant donné que
cela pourrait être considéré comme relevant des attentes raisonnables de la
personne concernée. En revanche, un consentement distinct et supplémentaire
devrait être demandé pour autoriser la transmission des données de la personne
concernée à des tiers. Il convient d’évaluer au cas par cas la nécessité de
«détailler» le consentement, en fonction de la ou des finalités envisagées ou des
destinataires des données. » 29
d.
Conclusion
57 La directive 95/46 ne précise pas à qui le consentement visé à l’article 7, sous a),
et à l’article 2, sous h), de la directive 95/46/CE doit être donné. Le ou les
responsables du traitement peuvent donc eux-mêmes le déterminer, à condition de
se conformer aux exigences légales en matière de consentement telles que
[Or. 25] prévues à l’article 7, sous a), et à l’article 2, sous h), de la directive
95/46/CE. Un consentement « détaillé » peut se révéler nécessaire si les données à
caractère personnel en cause seront traitées à différentes fins ou seront
communiquées à plusieurs destinataires. Dans l’appréciation de la nécessité
d’obtenir un consentement « détaillé », il faut tenir compte des finalités du
traitement, de la nature des informations qui sont données aux personnes
concernées, du contexte dans lequel ces informations ont été fournies et des
attentes raisonnables de la personne concernée.
58 Dans un cas comme celui de la présente affaire, eu égard aux finalités diverses du
traitement ainsi que des attentes raisonnables des personnes concernées, Fashion
29
Groupe de travail « Article 29 » sur la protection des données,
Avis 15/2010 sur la définition du
consentement, WP 187, 13 juillet 2011, p. 19. C’est le gouvernement belge qui souligne.
19
AFFAIRE C-40/17–15
ID (outre Facebook) doit obtenir le consentement spécifique de la personne
concernée 30.
6.
La sixième question préjudicielle
59 Par la sixième question préjudicielle, la juridiction de renvoi souhaite savoir si
l’obligation d’information de l’article 10 de la directive 95/46 s’applique
également au gestionnaire d’un site qui a inséré le contenu d’un tiers et est ainsi à
l’origine du traitement par le tiers des données à caractère personnel.
60 Selon le gouvernement belge, cette question appelle une réponse affirmative.
61 Ainsi qu’il a été vu plus haut, l’exploitant d’un site qui insère dans son site un
code programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données à caractère
personnel doit être considéré comme étant un « responsable du traitement » au
sens de l’article 2, sous d), de la directive 95/46 (voir plus haut, point ? et
suivants).
[Or. 26]
62 Tout responsable du traitement est tenu de se conformer aux obligations qui lui
incombent (voir, plus haut, point 51). L’obligation d’information de l’article 10 de
la directive 95/46 en fait partie.
63 Cette conception n’aboutit pas à une interdiction de fait d’insérer des contenus mis
à disposition par des tiers 31. Elle peut cependant conduire dans la pratique à ce
que le responsable du traitement doive vérifier à quelles fins le tiers traitera les
données à caractère personnel et s’il doit prendre des mesures appropriées pour
garantir effectivement la protection des personnes physiques en ce qui concerne le
traitement des données à caractère personnel (voir, plus haut, point 53 : obligation
de prendre des mesures appropriées).
V.
CONCLUSION
64 Compte tenu de ce qui précède, le gouvernement belge suggère à la Cour de
répondre aux questions préjudicielles comme suit :
1. Le régime des articles 22, 23 et 24 de la directive 95/46/CE du Parlement
européen et du Conseil, du 24 octobre 1995, relative à la protection des
30
Le gouvernement belge observe, pour information, que, dans le cadre de modules sociaux, il
existe aussi des solutions techniques conviviales permettant d’obtenir le consentement
spécifique de la personne concernée pour le traitement de données à caractère personnel. Pour
plus d’informations, voir notamment Schneier on security, « Changes to the blog », le 22 mars
2013, sur https://www.schneier.com/blog/archives/2013/03/changes to the.html.
31
Voir point 20 de la décision de renvoi où il est précisé que «
l’idée que l’obligation de l’article
10 d’informer la personne concernée pèse sur celui qui fait l’insertion conduit en fait à interdire
d’insérer des contenus élaborés par des tiers ». C’est le gouvernement belge qui souligne.
20
FASHION ID
personnes physiques à l’égard du traitement des données à caractère personnel et
à la libre circulation de ces données ne s’oppose pas à une réglementation
nationale qui, en marge des pouvoirs d’intervention des autorités de protection
des données et des actions en justice des personnes concernées, habilite, en cas
d’atteintes, des associations d’utilité publique de défense des intérêts des
consommateurs à agir contre l’auteur d’une atteinte.
2. Une personne qui, dans un cas comme celui de l’espèce, insère dans son site un
code programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données à caractère
personnel agit comme un « responsable du [Or. 17] traitement » au sens de
l’article 2, sous d), de la directive 95/46.
3. L’article 2, sous d), de la directive 95/46 doit être interprété en ce sens qu’il ne
s’oppose pas à la mise en cause sur le plan civil d’un tiers qui n’est pas
« responsable du traitement ».
4. Dans la mise en balance qui doit être opérée en application de l’article 7, sous
f), de la directive 95/46, il faut prendre en considération tant l’intérêt légitime du
ou des responsables du traitement que l’intérêt légitime du ou des tiers auxquels
les données sont communiquées.
5. Le ou les responsables du traitement peuvent déterminer eux-mêmes à qui le
consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la directive
95/46/CE doit être donné, à condition de se conformer aux exigences légales en
matière de consentement telles que prévues par ces mêmes dispositions.
6. L’obligation d’information de l’article 10 de la directive 95/46 s’applique
également, dans une situation telle que celle de l’espèce, au gestionnaire du site
qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des données
à caractère personnel fait par un tiers.
Bruxelles, le 5 mai 2017
Pierre Cottin
Liesbet Van den Broeck
agents du gouvernement belge
21