This is an HTML version of an attachment to the Freedom of Information request 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.

link to page 3 link to page 6 link to page 10 link to page 12 link to page 13 link to page 14  
Traduction  
C-40/17 - 18 
Observations de la demanderesse 
Affaire C-40/17 * 
Pièce déposée par:  
Fashion ID GmbH & Co. KG 
Nom usuel de l’affaire:   
FASHION ID 
Date de dépôt:  
11 mai 2017 (original) 
 
Dans l’affaire  
C-40/17 
Fashion ID 
(juridiction 
de 
renvoi : 
Oberlandesgericht Düsseldorf, 
Allemagne) 
après la signification le 2 mars 2017 de la demande de décision préjudicielle, nous 
déposons, au nom et pour le compte de la défenderesse, appelante et défenderesse 
sur 
incident 
Fashion ID GmbH & Co. KG, 
Düsseldorf, 
Allemagne 
(ci-après « Fashion ID ») les observations suivantes : [Or. 2] 
Plan des observations 
La première question préjudicielle ........................................................................... 3 
La deuxième question préjudicielle : ....................................................................... 6 
La troisième question préjudicielle ........................................................................ 10 
La quatrième question préjudicielle ....................................................................... 12 
La cinquième question préjudicielle ...................................................................... 13 
La sixième question préjudicielle .......................................................................... 14 
 
*  Langue de procédure : l’allemand. 
FR   

AFFAIRE C-40/17-18 
 
La procédure au principal et les questions préjudicielles 

La  procédure  au  principal  concerne  les  conditions  auxquelles  le  régime    de 
protection  des  données  permet  à    Fashion ID  d’insérer  sur  son  site  internet  des 
contenus  externes    et  plus  concrètement  un  module  de  la  partie  intervenante 
Facebook 
Ireland Ltd., 
Dublin, 
Irlande 
(ci-après : 
« Facebook »). 
La 
demanderesse,  intimée  et  appelante  sur  incident,  Verbraucherzentrale NRW eV 
(association  centrale  des  consommateurs  de  Rhénanie  du  Nord  Westphalie, 
ci-après  « association  centrale  des  consommateurs »)  estime  qu’en  vertu  des 
dispositions  relatives  à  la  protection  des  données  de  la  loi  allemande  sur  les 
télémédias,  l’insertion  d’un  tel  module  requiert  le  consentement  préalable  de 
chaque utilisateur du site internet de Fashion ID. Elle estime qu’il n’est pas donné 
(valablement).  Au  demeurant,  elle  soutient  que  Fashion ID  informe 
insuffisamment et trop tardivement les utilisateurs du site internet de la nature des 
opérations de traitement de données liées à l’insertion du module. Fashion ID est 
selon elle responsable au titre de la protection des données et peut de toute façon 
être mise en cause sur le plan civil.  

Les  sites  internet  sont  généralement  conçus  dans  le  langage  de  programmation 
HTML.  Une  des  fonctions  principales  de  ce  langage  de  programmation  est  de 
permettre de constituer les éléments d’un site internet à partir de l’assemblage de 
sources les plus variées. La Cour a déjà abordé la question de la technique dite de 
la « transclusion » (« framing ») au regard des droits d’auteur [Or. 3] (ordonnance 
de 
la 
Cour 
du 
21 octobre 2014, 
BestWater International, 
C-348/13, 
ECLI:EU:C:2014:2315). De nombreux sites internet utilisent la transclusion afin, 
par  exemple,  d’insérer  dans  leur  offre  des  plans  de  villes,  des  informations 
météorologiques  ou  des  vidéos  provenant  d’autres  sources.  Par  rapport  à  un  lien 
statique  renvoyant  à  une  source  locale,  la  transclusion  permet  tout  d’abord 
l’interconnexion  qui  est  une  des  caractéristiques  d’internet :  si  sur  la  page  de 
destination  une  modification  est  ainsi  effectuée  par  le  fournisseur  du  contenu 
externe  (par  exemple  l’actualisation  des  cours  de  bourse  d’un  module  de 
téléscripteur,  la  mise  à  jour  des  informations  météorologiques  etc.),  le  contenu 
inséré  sera  automatiquement  actualisé  sans  que  des  modifications  manuelles 
soient nécessaires.  

Techniquement,  l’insertion  d’un  élément  externe  par  la  voie  de  la  transclusion 
permet  au  navigateur  de  l’utilisateur  d’un  site  internet  de  recevoir 
automatiquement  l’instruction  de  charger  l’élément  externe  inséré  à  partir  de 
l’adresse source indiquée. Le fournisseur de la source obtient ainsi l’adresse IP de 
l’utilisateur  et  certaines  informations  techniques  relatives  au  type  de  navigateur 
utilisé  (appelé  browser  string).  Cela  est  techniquement  inévitable  dans  la 
transclusion  étant  donné  que  l’élément  externe  en  question  ne  pourrait  pas  être 
renvoyé  au  navigateur  de  l’utilisateur  sans  l’adresse IP.  Sans  la  transmission  de 
l’adresse IP, accéder à un site internet équivaudrait à une demande de rappel sans 
laisser le numéro de l’appelant.  

 

FASHION ID 
Les questions préjudicielles 
La première question préjudicielle 

Le  droit  pour  les  associations  d’utilité  publique  de  défense  des  intérêts  des 
consommateurs d’agir contre l’auteur d’une atteinte à la protection des données ne 
peut pas s’appuyer sur la directive 95/46/CE du Parlement européen et du Conseil, 
du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du 
traitement des données à caractère personnel et à la libre circulation des données  
(JO L 281 du 23 novembre 1995, ci-après la « directive 95/46/CE »). 

Cela 
relève 
déjà 
de 
la 
cohérence 
juridique. 
En 
effet, 
seul 
le 
règlement (UE) 2016/679  du  Parlement  européen  et  du  Conseil  du  27 avril 2016 
relatif à la protection des personnes physiques à l’égard du traitement des données 
à caractère personnel et à la libre circulation de ces données, abrogeant la directive 
95/46/CE  (JO L 119,  du  4 mai 2016),  applicable  à  compter  du  25 mai 2018, 
prévoit à l’article 80, paragraphe 2, contrairement ce que prévoit le régime actuel , 
la  possibilité  pour  les  États  membres  d’habiliter  des    associations  à  agir 
collectivement  (indépendamment  de  tout  mandat  confié  par  une  personne 
concernée).  Une  [Or. 4]  telle  réglementation  aurait  été  inutile  si  le  droit  actuel 
conférait déjà un droit d’action aux associations en question. 

Cela dit, le droit d’agir collectivement menacerait la pleine indépendance en vertu 
de laquelle les autorités de contrôle doivent agir conformément aux exigences  de 
la directive 95/46/CE. Le principe est la disposition de l’article 28, paragraphe 1, 
deuxième  alinéa,  de  cette  directive.  Selon  cette  disposition,  les  autorités  de 
contrôle  mises  en  place  dans  les  États  membres  exercent  « en  toute 
indépendance » les missions dont elles sont investies. Selon la jurisprudence de la 
Cour,  la  notion  de  « toute  indépendance »  doit  être  interprétée  de  façon  large 
(arrêt  de  la  Cour  du  9 mars 2010,  Commission  européenne  contre  République 
fédérale  d’Allemagne,  C-518/07,  ECLI:EU:C:2010:125,  point 51).  Les  autorités 
de  contrôle  à  mettre  en  place  doivent  avoir  la  possibilité  d’agir  en  toute  liberté, 
à l’abri de toute instruction et de toute pression. Les autorités de contrôle doivent 
assurer un juste équilibre entre le respect  du droit fondamental  à la vie privée et 
les  intérêts  qui  commandent  une  libre  circulation  des  données  à caractère 
personnel  (arrêt  du  9 mars 2010,  précité,  point 24).  Il  y  a  lieu  d’interpréter 
l’article 28,  paragraphe 1,  deuxième  alinéa,  de  la  directive 95/46/CE  en  ce  sens 
que  toute  injonction  ou  toute  autre  influence  extérieure  sur  les  autorités  de 
contrôle, même si elle n’était qu’indirecte, doit être exclue (arrêt du 9 mars 2010, 
précité,  point 30).  Le  seul  risque  d’une  influence  politique  suffit  pour  entraver 
l’indépendance des autorités de contrôle. Le rôle desdites autorités exige que leurs 
décisions  soient  au-dessus  de  tout  soupçon  de  partialité.  Cela  implique  que  les 
autorités de contrôle ne puissent faire l’objet d’aucune pression afin d’adopter des 
décisions soumises à une « obéissance anticipée » (arrêt du 9 mars 2010,  précité, 
point 36).  


AFFAIRE C-40/17-18 

De  surcroît,  l’harmonisation  par  la  directive 95/46/CE  des  législations  nationales 
ne se limite pas à une harmonisation minimale, mais aboutit à une harmonisation 
qui est, en principe, complète (arrêt de la Cour du 24 novembre 2011, ASNEF et 
FECEMD  contre  Administración  del  Estado,  C-468/10  et  C-469/10, 
ECLI:EU:C:2011:777, point 29). 

Les  possibilités  prévues  aux  chapitres III  et  IV  de  la  directive 95/46/CE  de 
déclencher une procédure nationale en cas de violations présumées, résultent d’un 
système établi [Or. 5] et cohérent : selon l’article 22, d’une part, la personne lésée 
dispose  elle-même  d’un  recours  juridictionnel  ou,  conformément  à  l’article 28, 
paragraphe 4,  elle  peut,  d’autre  part,  saisir  une  autorité  de  contrôle. 
Indépendamment  du  pouvoir  pour  la  personne  concernée  d’ester  en  justice, 
l’autorité  de  contrôle  peut  exercer  de  son  côté  son  pouvoir  d’intervention 
(article 28, paragraphe 3). 

La  possibilité  pour  des  associations  de  prendre  part  à  une  procédure  n’existe  en 
revanche qu’en vertu de l’article 28, paragraphe 4, de la directive 95/46/CE : elle 
est  soumise  à  la  condition  que  l’association  soit  mandatée  par  une  personne 
concernée  concrètement  pour  la  représenter  (analogie  avec  l’article 80, 
paragraphe 1,  du  règlement  (UE)  2016/679  qui  s’appliquera  à  compter  du 
25 mai 2018). 
10  Par  conséquent,  conformément  à  l’approche  de  la  directive 95/46/CE,  le 
responsable peut  être mis en cause par la personne concernée elle-même ou bien 
par  l’autorité  de  contrôle  totalement  indépendante.  En-dehors  de  ces  deux 
hypothèses,  la  directive  95/46/CE  n’habilite  pas une  association  à  agir  contre  un 
responsable pour atteinte à des dispositions relatives à la protection des données.  
11  Une  telle  habilitation  remettrait  en  effet  durablement  en  question  le  pouvoir  de 
décision  de  la  personne  concernée  ainsi  que  de  l’autorité  de  contrôle  totalement 
indépendante.  Si  cette  autorité,  à  la  suite  d’une  mise  en  balance  entre  le  droit 
fondamental  au  respect  de  la  vie  privée  et  l’intérêt  de  la  libre  circulation  des 
données  à  caractère  personnel,  choisissait  de  ne  pas  prendre  de  mesure 
à l’encontre d’une atteinte présumée à la protection de données à caractère privé, 
cette décision pourrait être contrecarrée par l’habilitation d’une association. 
12  En effet,  les associations, à l’instar de l’association  centrale des  consommateurs, 
sont notamment financées par des dons. C’est pour cette raison qu’elles sont déjà 
dans  l’obligation  de  sensibiliser  le  public  par  leurs  actions.  En  fait,  l’association 
centrale des consommateurs informe très largement le public des activités qu’elle 
mène.  
13  Ainsi que la question préjudicielle le met par ailleurs explicitement en exergue, et 
ce  qu’implique  déjà  le  nom  de  l’association  centrale  des  consommateurs,  les 
associations  concernées  en  l’espèce  ne  recherchent  précisément  pas    [Or. 6]  un 
compromis raisonnable entre les intérêts en question, ce qui est le cas des autorités 

 

FASHION ID 
de  contrôle.  Les  associations  concernées  défendent  plutôt    unilatéralement  les 
intérêts réels ou supposés des consommateurs.  
14  La  faculté  pour  ces  associations  de  poursuivre  des  atteintes  à  la  protection  des 
données  au  titre  d’une  habilitation  à  agir  en  justice  que  leur  conférerait  la 
législation  interne  serait  susceptible    d’exercer  une  pression  sur  les  autorités  de 
contrôle. En effet,  le public pourrait se demander pourquoi  l’autorité de  contrôle 
ne s’est pas déjà saisie d’une situation donnée. Les autorités de contrôle pourraient 
ainsi  être  contraintes  d’agir  sous  la  pression  du  public  et  sans  être  totalement 
indépendante. 
15  Par ailleurs, les associations centrales de consommateurs et  d’autres associations 
visées  par  la  question  préjudicielle  sont  financées  sur  des  fonds  publics,  pour  le 
moins  en  Allemagne  (voir  l’article 4,  paragraphe 2  du  Unterlassungsgesetz,  loi 
allemande sur les actions en cessation en cas de violation notamment du droit de 
la consommation, dans sa version officielle du 27 août 2002, Bundesgesetzblatt I, 
pages 3422 et 4346, modifiée en dernier lieu par l’article 3 de la loi allemande du 
11 avril 2016,  Bundesgesetzblatt I,  page 720).  Le  financement  public  de  telles 
associations est également susceptible de compromettre la totale indépendance des 
autorités de contrôle.  
16  La  dotation  suffisante  en  moyens  et  en  personnel  des  autorités  de  contrôle 
constitue une condition indispensable pour qu’elles puissent assurer leurs missions 
en toute indépendance. Une dotation trop faible conduirait inévitablement à ce que 
les autorités de contrôle ne puissent pas assurer correctement leurs missions. 
17  Une  dotation  en  personnel  et  en  moyens  insuffisante  peut  également  résulter  du 
fait  que  les  États  membres  accordent  à  d’autres  organismes  qui  assument 
également  des  missions  de  contrôle  de  la  protection  des  données  des  ressources 
plus  importantes  que  celles  accordées  aux  autorités  de  contrôle.  Le  financement 
public  accordé  à l’association  centrale  des  consommateurs  et  à  d’autres 
associations  de  protection  des  intérêts  des  consommateurs,  combiné  [Or. 7]  au 
droit d’agir en justice dont il est question en l’espèce, pourraient ainsi encourager 
la création de structures parallèles destinées à contrôler la protection des données.  
18  De telles structures parallèles entreraient en concurrence, ce qui ne fait pas partie 
des  objectifs  de  la  directive 95/46/CE,  afin  d’obtenir  des  ressources  publiques 
destinées  à  contrôler  le  respect  de  la  protection  des  données.  Les  autorités  de 
contrôle  pourraient  de  ce  fait  être  incitées  à  ne  plus  adopter  leurs  décisions  en 
toute indépendance, mais en veillant à tout le moins à statuer dans le sens   de la 
volonté  politique  présumée.  Ainsi,  elles  n’auraient  pas  à  subir  un  désavantage 
financier  par  rapport  à l’association  centrale  des  consommateurs  ou  d’autres 
associations bénéficiant de financements publics. 
19  Partant  il  convient  de  répondre  à  la  première  question  préjudicielle  que  les 
articles 22, 23, 24 et 28 de la directive 95/46/CE du Parlement européen et du 
Conseil, du 24 octobre 1995, relative à la protection des personnes physiques 



AFFAIRE C-40/17-18 
à  l’égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données  (JO 1995,  L 281,  p. 31)  s’opposent  à  une 
réglementation  nationale  qui,  en  marge  des  pouvoirs  d’intervention  des 
autorités  de  protection  des  données  et  des  actions  en  justice  de  la  personne 
concernée,  habilite,  en  cas  d’atteintes,  des  associations  d’utilité  publique  de 
défense des intérêts des consommateurs à agir contre l’auteur d’une atteinte.  

La deuxième question préjudicielle 
20  Selon l’article 2, sous d), de la directive 95/46/CE, est responsable du traitement : 
la  personne  physique  ou  morale,  l’autorité  publique,  le  service  ou  tout  autre 
organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les 
moyens du traitement de données à caractère personnel. 
21  Afin de répondre à la deuxième question préjudicielle, il convient tout d’abord de 
définir le traitement de données à caractère personnel dont quelqu’un pourrait être 
responsable.  
22  Il  est  incontestable  que  Fashion ID  ne  collecte  pas  elle-même  des  données 
à caractère  personnel  ni  ne  transmet  de  telles  données  à  Facebook.  Fashion ID 
a seulement  inséré sur son site internet  [Or. 8] l’indication d’un module  proposé 
par  Facebook.  Il  s’agit  de  l’une  des  raisons,  et  en  aucun  cas  de  l’unique,  pour 
lesquelles  le  navigateur  de  l’utilisateur  contacte  directement  et  immédiatement 
Facebook  afin  de  charger  le  module  sur  place.  Dans  ce  cadre,  le  navigateur  de 
l’utilisateur  indique  au  fournisseur  Facebook  l’adresse IP  à  partir  de  laquelle  le 
matériel  est  à  ce  moment-là  relié  à  internet  si  l’utilisateur  a configuré  son 
navigateur  ainsi  ou  a  maintenu  une  éventuelle  configuration  de  navigateur  de  ce 
type.   
23  Le  processus  ne  peut  relever  du  droit  à  la  protection  des  données  que  si 
l’adresse IP est pour Facebook une donnée à caractère personnel.  
24  À ce jour, la Cour a seulement répondu à la question de savoir si  une adresse IP 
dynamique  enregistrée  par  un  fournisseur  de  services  de  médias  en  ligne  à 
l’occasion  de  la  consultation  par  une  personne  d’un  site  internet  constitue  une 
donnée à caractère personnel. C’est  le cas,  lorsque le fournisseur du site internet 
dispose de moyens légaux lui permettant de faire identifier la personne concernée 
grâce  aux  informations  supplémentaires  dont  dispose  le  fournisseur  d’accès  à 
internet  de  cette  personne  (arrêt  de  la  Cour  du  19 octobre 2016,  Patrick Breyer 
contre République fédérale d’Allemagne, C-582/14, ECLI:EU:C:2016:779). 
25  La  Cour  n’a  pas  encore  répondu  à  la  question  de  savoir  si  cela  s’applique 
également  aux  adresses IP  que  le  fournisseur  ne  stocke  pas  d’emblée.  En  effet, 
Facebook  a  exposé  dans  la  procédure  au  principal  qu’il  est  techniquement 
inévitable que l’adresse IP soit utilisée pour délivrer le module sans toutefois que 
l’adresse  IP  soit  précisément  stockée.  (en  effet  cette  dernière  est  rendue 
immédiatement  et  effectivement  anonyme).  Fashion ID  ne  stocke  pas  non  plus 

 

FASHION ID 
l’adresse IP  étant entendu que  Fashion-ID n’est  incontestablement pas  impliquée 
dans  l’échange  technique  de  données  entre  le  navigateur  de  l’utilisateur  et 
Facebook. 
26  Tant  qu’elle n’est pas stockée, l’adresse IP ne possède toutefois pas de  caractère 
personnel. En effet, sans ce stockage ni Facebook ni Fashion ID ne peuvent savoir 
quelle connexion ou quel appareil a été associé à l’adresse IP à un moment donné. 
Dans  [Or. 9]  une  telle  situation,  il  n’existe  aucun  traitement  de  données  dont 
Fashion ID pourrait être tenue responsable en ayant fait l’insertion.  
27  Indépendamment de cela, celui qui comme Fashion ID fait l’insertion n’a aucune 
influence  sur  la  décision  relative  aux  modalités  de  traitement  des  données 
à caractère  personnel  chez  le  fournisseur  du  contenu  externe  (en  l’espèce 
Facebook). Il appartient  au seul fournisseur de décider si l’adresse IP est  stockée 
chez lui et  si  une donnée à caractère  personnel  est  ainsi générée et  traitée. Celui 
qui  fait  l’insertion  n’est  pas  en  mesure  de  prendre  de  décisions  relatives  à  un 
traitement éventuel et n’a pas non plus d’influence sur les finalités et moyens d’un 
tel  traitement.  C’est  ce  que  la  juridiction  de  renvoi  a  souligné  à  juste  titre 
(au point 13 de la demande de décision préjudicielle).  
28  Lors de l’appréciation, il convient d’adopter une approche fonctionnelle, l’accent 
étant mis sur le point de savoir si une ou plusieurs parties décident des finalités et 
moyens  (paragraphe III,  point 1,  sous d)  de  l’avis 1/2010  sur  les  notions  de 
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 par 
le  Groupe  de  travail  « article 29 »  sur  la  protection  des  données,    WP  169).  En 
effet,  si  l’adresse IP  était  une  donnée  à  caractère  personnel,  Facebook  serait 
incontestablement responsable du traitement. La seule question est ainsi de savoir 
si,  en  plus  du  fournisseur  du  contenu  externe,  celui  qui  fait  l’insertion  est 
également responsable du traitement. 
29  Un  organisme  qui  n’exerce  ni  influence  de  droit  ni  influence  de  fait  pour 
déterminer  la  manière  dont  les  données  à  caractère  personnel  seront  traitées  ne 
saurait être considéré comme le responsable du traitement (paragraphe III, point 1, 
sous a) de l’avis 1/2010 précité). 
30  Selon  ce  critère,  Fashion ID  n’est  pas  responsable  d’un  éventuel  traitement  de 
l’adresse IP. Elle n’a pas le pouvoir de déterminer seule les  finalités et moyens du 
traitement  et  n’agit  pas  non  plus  conjointement  avec  Facebook  au  titre  par 
exemple  d’une  convention    sur  le  traitement  des  ordres.  L’insertion  du  contenu 
externe  se  distingue  ainsi  par  exemple  du  contrat  liant  le  propriétaire  d’un  site  à 
une  agence  de  publicité  qui  insère  de  la  publicité  destinée  aux  utilisateurs  en  se 
[Or. 10]  fondant  sur  l’évaluation  personnalisée  réalisée  pour  le  compte  des 
propriétaires de sites (« behavioral targetting » ou ciblage comportemental). 
31  En  effet,  l’insertion  de  contenus  externes  se  fait  sans  relation  contractuelle.  Une 
telle  insertion  correspond  d’un  point  de  vue  technique  plutôt  au  placement  d’un 
lien  sur  un  autre  site  internet.  Par  ailleurs,  au  regard  des  droits  d’auteur,  il  est 


AFFAIRE C-40/17-18 
même généralement permis sans l’autorisation du fournisseur du contenu externe 
(arrêt  de  la  Cour  du  8 septembre 2016,  GS Media BV  contre  Sanoma  Media 
Netherlands BV e.a., C-160/15, ECLI:EU:C:2016:644). Dans ce contexte, la Cour 
a  souligné  « l’importance  particulière »  qu’internet  revêt  effectivement  pour  la 
liberté  d’expression  et  d’information  garantie  par  l’article 11  de  la  Charte  des 
droits fondamentaux de l’Union européenne. Ainsi que la Cour l’a exposé dans cet 
arrêt,  les liens hypertexte (en raison  de leur similitude technique, rien d’autre ne 
peut  s’appliquer  à  la  transclusion)  sont  essentiels  au  fonctionnement  d’internet 
compte tenu des immenses quantités d’informations présentes sur ce réseau (arrêt 
du 8 septembre 2016, précité, point 45). 
32  Par  ailleurs,  dans  ce  contexte,  la  Cour  a  indiqué  à  juste  titre  que,  pour  celui  qui 
insère  sur  son  site  internet  une  référence  à  une  offre  étrangère,  il  peut  s’avérer 
difficile de vérifier les contenus de cette offre. La vérification ne serait d’ailleurs 
que de nature ponctuelle étant donné que le fournisseur externe peut modifier son 
offre  à  tout  moment.  On  ne  peut  décemment  pas  attendre  de  celui  qui  fait 
l’insertion  qu’il  prenne  régulièrement  connaissance  de  l’offre  du  tiers 
(arrêt du 8 septembre 2016, précité, points 46 et 47). 
33  La (co)responsabilité de celui qui fait l’insertion aurait une répercussion négative 
sur  le  bon  fonctionnement  d’internet.  Pour  éviter  d’engager  sa  propre 
responsabilité  au  titre  de  la  protection  des  données  pour  des  atteintes  à  la 
protection  des  données  commises  le  cas  échéant  par  le  fournisseur  du  contenu 
externe, celui qui fait l’insertion serait tenu d’obtenir l’engagement contractuel de 
ce dernier avant d’opérer l’insertion afin de pouvoir à tout le moins se retourner le 
cas  échéant  contre  lui.  Il  pourrait  aussi  totalement  renoncer  à  [Or. 11]  insérer  le 
contenu  externe,  ce  qui  sera  le  cas  le  plus  probable  eu  égard  aux  coûts  de 
transaction  et  au  risque  de  perte  dans  le  cadre  de  tels  recours.  C’est  à  juste  titre 
que la juridiction de renvoi y a fait allusion dans la décision de renvoi en parlant 
d’une « [insertion] pratiquement impossible » (point 14 de la demande de décision 
préjudicielle). 
34  Dans  une  telle  configuration,  l’objet  de  l’article 2,  sous d),  de  la  directive 95/46 
n’impose pas d’interprétation large de la notion de « responsable du traitement ». 
Au  contraire,  l’objet  porte  à  croire  que  la  notion  doit  être  comprise  de  façon 
restrictive lorsque, comme en l’espèce, une responsabilité commune de plusieurs 
acteurs est en cause. 
35  L’interprétation doit permettre et garantir l’application effective et le respect de la 
protection  des  données  dans  la  pratique.  En  cas  de  doute,  la  solution  la  plus 
à même de favoriser de tels effets est à privilégier. Ainsi, en fonction des réalités 
de  l’organisation,  la  différenciation  de  la  responsabilité  peut  rendre  la 
détermination  du  droit  national  applicable  plus  difficile  lorsque  divers  systèmes 
juridiques sont concernés (paragraphe II, point 3, de l’avis 1/2010 précité). 
36  Dans ce contexte, la configuration de l’espèce se distingue des circonstances  qui 
ont  donné  lieu  à  l’arrêt  de  la  Cour  du  13 mai 2014,  Google  Spain  SL  et  Google 

 

FASHION ID 
Inc.  contre  Agencia  Española  de  Protección  de  Datos  (AEPD)  et  Mario  Costeja 
González  (C-131/12,  ECLI:EU:C:2014:317).  Dans  cet  arrêt,  il  s’agissait  d’un 
traitement  de  données  effectué  par  l’exploitant  de  moteurs  de  recherche 
intervenant  de  manière  additionnelle  par  rapport  à  l’activité  des  éditeurs  de  sites 
web et qui était susceptible de l’affecter significativement et de manière autonome 
(arrêt du 13 mai 2014,  précité,  point 38).  Cette  atteinte  à  la  vie  privée 
additionnelle et autonome par rapport à la première publication rendait nécessaire 
d’imputer  à l’exploitant  de  moteurs  de  recherche  une  responsabilité  propre  à  cet 
égard.     
37  En  l’espèce,  du  point  de  vue  de  la  personne  concernée,  il  n’est  pas  seulement 
satisfaisant  de  pouvoir  s’en  tenir  au  fournisseur  du  contenu  externe,  donc  à 
Facebook. Si l’on veut protéger efficacement  les données à caractère personnel et 
la  vie  privée,  [Or. 12]  il  est  plus  logique  de  concentrer  la  responsabilité  dans  le 
chef  du  fournisseur  du  contenu  externe  que  séparer  artificiellement  les 
responsabilités. C’est en effet chez le fournisseur du contenu externe que tous les 
traitements  de  données  ont  lieu  (si  tel  est  le  cas,  voir  ci-dessus).  Lui  seul  a  la 
possibilité  de  sauvegarder  les  adresses IP  et  éventuellement  de  réaliser  d’autres 
traitements à caractère personnel. 
38  Pour toutes ces questions, le fournisseur extérieur est lié par le droit auquel il est 
soumis. En l’espèce, le siège de Facebook se trouve en Irlande et cette société doit 
ainsi  respecter  les  exigences  de  la  directives 95/46/CE  en  raison  de 
l’harmonisation complète qui vaut pour tous les traitements de données. Facebook 
est  soumis  au  contrôle  de  l’autorité  irlandaise  de  contrôle  de  la  protection  des 
données  à  laquelle  les  utilisateurs  peuvent  s’adresser  éventuellement 
indirectement  par  l’intermédiaire  de  l’autorité  de  contrôle  de  leur  pays  de 
résidence.  Il  n’y  a  dès  lors  en  tout  cas  aucune    lacune  dans  la  protection  de  la 
personne  concernée  lorsque  le  fournisseur  du  contenu  externe  relève  de  la 
directive 95/46/CE.  
39  L’imputation  claire  serait  en  revanche  affaiblie  si  Fashion ID,  en  tant  que 
gestionnaire  de  site  internet,  était  en  outre  tenue  pour  coresponsable  des 
traitements de données de Facebook. Des  gestionnaires de sites internet  tels que 
Fashion ID seraient ainsi soumis à un risque de responsabilité objective abstraite, 
sans  pour  autant  avoir  eux-mêmes  éventuellement  commis  d’atteinte  à  la 
protection des données ou sans pouvoir exercer une quelconque influence de droit 
ou de fait sur cette atteinte. Même s’il peut être certes en principe intéressant pour 
l’intéressé  de  bénéficier    d’une  personne    responsable  supplémentaire,  une  telle 
conception serait toutefois inadéquate dans la mesure où celui qui fait l’insertion 
n’a  pas  commis  d’acte  illicite.  Étant  donné  que  dans  la  procédure  au  principal, 
Fashion ID et Facebook  relèvent par ailleurs d’ordre juridiques différents  dans le 
champ  d’application  de  la  directive 95/46/CE,  on  se  demanderait  en  outre  quel 
droit national s’appliquerait à l’opération.  
40  Partant,  il  convient  de  répondre  à  la  deuxième  question  préjudicielle  que 
dans  un  cas  comme  celui  de  l’espèce,  où  quelqu’un  insère  dans  son  site  un 


AFFAIRE C-40/17-18 
code  programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des 
contenus  d’un  tiers  et  de  transmettre  à  cet  effet  au  tiers  des  données 
à caractère  personnel,  celui  [Or. 13]  qui  fait  l’insertion  n’est  pas 
« responsable  du  traitement »  au  sens  de  l’article 2,  sous d),  de  la 
directive 95/46/CE. 

La troisième question préjudicielle 
41  L’idée de base de la directive 95/46/CE est que seul le responsable du traitement 
au  sens  de  l’article 2,  sous d),  de  cette  directive  peut  être  mis  en  cause.  Cette 
disposition est exhaustive.  
42  C’est déjà ce que suggère son libellé. En effet, le terme « responsable » implique 
dans un raisonnement a contrario que des personnes qui ne sont pas elles-mêmes 
« responsables » ne répondent précisément pas  du traitement des données. 
43  Cette  conclusion  résulte  également  de  l’économie  générale  de  la  directive. 
L’article 2  de  la  directive  définit  tous  les  rôles  qui  peuvent  exister  dans  le 
traitement  de  données.  Parallèlement  au  responsable  du  traitement,  la  directive 
définit  les  « personnes  concernées »  (article 2,  sous a))  et  les  « sous-traitants » 
(article 2,  sous e)).  Celui  qui  n’appartient  au  aucune  de  ces  catégories  est 
considéré  comme  un  « tiers »  conformément  à  la  définition  de  la  directive 
(article 2, sous f)). 
44  Toutefois,  rien  dans  la  directive  n’impute  à  un  tiers  d’obligations  au  titre  de  la 
protection des données. Selon l’article 6, paragraphe 2, de la directive, il incombe 
plutôt  au responsable du traitement d’assurer le  respect  des principes de  base du 
traitement  de  données.  Cela  signifie  que  toutes  les  dispositions  établissant  des 
conditions  d’un  traitement  licite  visent  essentiellement  le  responsable  du 
traitement (paragraphe II, point 1, de l’avis 1/2010 précité).    
45  Les  objectifs  de  la  directive 95/46/CE  énoncés  dans  son  l’article premier 
impliquent une interprétation selon laquelle la possibilité d’une mise en cause sur 
le plan civil se limite au responsable du traitement. 
46  La  notion  de  responsable  du  traitement  selon  l’article 2,  sous d),  de  la 
directive 95/46/CE  est  suffisamment  souple  pour  permettre  [Or. 14]  et  garantir 
par  son  interprétation,  une  bonne  application  et  le  respect  de  la  protection  des 
données  dans  la  pratique  au  sens  de  l’article 1er  ,  paragraphe 1,  de  la  directive 
(paragraphe II,  point 3,  de  l’avis 1/2010  précité).  Cette  notion  assure  que  le 
destinataire  des  obligations  liées  à  la  protection  des  données  soit  celui  qui 
a réellement  une  influence  sur  la  protection  des  personnes  physiques  dans  le  
traitement de données à caractère personnel (cet aspect ressort mieux de la version 
anglaise de la directive et du terme  « Controllers » que de la version allemande). 
Partant,  l’objet  de  la  directive  n’exige  pas  de  pouvoir  mettre  en  cause  des 
personnes qui ne prennent part au traitement des données qu’à titre subalterne sans 
être elles-mêmes responsables. 
10 
 

FASHION ID 
47  En  revanche,  la  mise  en  cause  sur  le  plan  civil  de  personnes  qui  ne  sont  pas 
responsables  serait  contraire  à  l’objectif  principal  de  la  directive  qui  est  de 
permettre  la  libre  circulation  des  données  à  caractère  personnel  entre  États 
membres 
(article 1er, 
paragraphe 2, 
ainsi 
que 
considérant 

de 
la 
directive 95/46/CE). 
48  Selon  le  considérant  8  de  la  directive 95/49/CE,  pour  éliminer  les  obstacles  à  la 
circulation  des  données  à  caractère  personnel  il  est  nécessaire  de  coordonner  les 
législations  des  États  membres  pour  que  le  flux  transfrontalier  de  données 
à caractère  personnel  soit  réglementé  d’une  manière  cohérente  et  conforme 
à l’objectif du marché intérieur. La Cour a jugé à ce titre que l’harmonisation des 
législations nationales ne se limite pas à une harmonisation minimale, mais aboutit 
à  une  harmonisation  qui  est,  en  principe,  complète  (arrêt du  24 novembre 2011, 
précité, point 29). 
49  Les articles 22 à 24 de la directive 95/49/CE déterminent exhaustivement  qui peut 
être  mis  en  cause  sur  le  plan  civil  au  regard  des  obligations  définies  par  la 
directive.  L’article 23  régit  la  mise  en  cause  du  responsable  du  traitement.  Il 
ressort du considérant 55 que le contrôle juridictionnel que permet l’article 22 vise 
également  la  méconnaissance  des  droits  des  personnes  concernées  par  le 
responsable  du  traitement  de  données.  Le  considérant  ajoute  que  des  sanctions 
visées  à  l’article 24  doivent  être  appliquées  à  toute  personne  qui  ne  respecte  pas 
les dispositions nationales prises en application de la présente directive. De telles 
sanctions  supposent  [Or. 15]  ainsi  que  cette  personne  puisse  même  être  liée  par 
des dispositions de transposition dans le cadre de l’harmonisation totale. 
50  Précisément, dans les situations transfrontalières comme celle de l’espèce, le flux 
de  données  à  caractère  personnel  dans  le  marché  intérieur  serait  sérieusement 
entravé  chaque  fois  que  des  responsabilités  supplémentaires  de  tiers  pourraient 
être  établies  au  titre  des  ordres  juridiques  nationaux.  En  effet,  les  risques 
ingérables  de  responsabilité  en  découlant  pour  celui  qui  fait  l’insertion 
conduiraient selon toute probabilité àéviter d’emblée et à titre préventif un tel flux 
de données, qu’il soit ou non licite. 
51  Partant,  il  convient  de  répondre  à  la  troisième  question  préjudicielle  que 
l’article 2,  sous d),  de  la  directive 95/46/CE  relative  à  la  protection  des 
personnes  physiques  à  l’égard  du  traitement  des  données  à  caractère 
personnel  et  à  la  libre  circulation  de  ces  données  doit  être  interprété  en  ce 
sens qu’il régit exhaustivement la responsabilité en ce sens qu’il s’oppose  à la 
mise en cause sur le plan civil d’un tiers qui n’est certes pas « responsable du 
traitement » mais est à l’origine du processus de traitement des données sans 
avoir d’influence sur celui-ci. 

11 

AFFAIRE C-40/17-18 
La quatrième question préjudicielle 
52  La quatrième question préjudicielle n’intéresse la procédure au principal que dans 
la  mesure  où,  contrairement  à  ce  que  pense  Fashion  ID,  celui  qui  fait  l’insertion 
peut être tenu responsable d’un traitement de données. 
53  L’article 7, sous f), de la directive 95/46/CE exige de mettre en balance les intérêts 
en faveur d’un traitement avec les droits et libertés fondamentaux de la personne 
concernée. D’après le libellé de la disposition, il faut se référer à l’intérêt légitime 
« poursuivi »  par le responsable du traitement ou par celui qui reçoit les données. 
Par  conséquent,  il  ne  faut  précisément  pas  se  limiter  à l’intérêt  personnel  du 
responsable. Le considérant 30 de la directive précitée va également dans ce sens 
en  visant  de  manière  encore  plus  générale  l’intérêt  « d’une  [quelconque] 
personne ». [Or. 16]  
54  Ainsi,  pour le traitement de données  il faut  tenir  compte à la fois des intérêts  de 
celui  qui  fait  l’insertion,  de  l’intérêt  légitime  du  fournisseur  du  contenu  externe 
(en  l’espèce  Facebook)  et  également  de  l’intérêt  des  visiteurs  du  site  internet  de 
celui qui fait l’insertion. 
55  Celui  qui  fait  l’insertion  possède  un  intérêt  légitime  à  présenter  son  site  internet 
comme  il  l’entend.  Ainsi  que  nous  l’avons  exposé,  l’attrait  et  l’actualité  de  son 
propre  site  internet  sont  significativement  améliorés  par  la  transclusion  de 
contenus externes.  
56  Le  fournisseur  du  contenu  externe  a  également  intérêt  à  élargir  la  portée  de  son 
offre au-delà de son propre site internet par l’interconnexion avec les sites de tiers. 
57  Par  ailleurs,  la  Cour  a  déjà  décidé  qu’il  faut  également  tenir  compte  de  l’intérêt 
légitime  des  internautes  potentiellement  intéressés  à  avoir  accès  à  l’information 
(arrêt  Google Spain  précité  du  13 mai 2014,  point 81).  Il  convient  de 
soigneusement tenir compte de l’ensemble des intérêts concernés par le traitement 
de données ou sa suppression.  
58  Pour un propriétaire de site internet, la possibilité d’insérer le contenu externe est 
essentielle  pour  la  présentation  de  son  site  internet  et  ainsi  pour  son  droit  à  la 
liberté  d’expression  (article 11,  paragraphe 1,  alinéa 1,  de  la  Charte  des  droits 
fondamentaux de l’Union européenne) et pour sa liberté d’entreprise (article 16 de 
la Charte). La possibilité d’insérer sur son propre site internet des contenus qui ne 
sont pas stockés sur son propre serveur élargit considérablement les possibilités de 
présentation.  Par  conséquent,  les  contenus  externes  représentent  une  partie 
naturelle  de  la  plupart  des  sites  internet.  La  centrale  des  consommateurs,  par 
exemple, 
insère 
également 
des 
contenus 
externes 
sous 
l’URL 
http://www.verbraucherzentrale.nrw/lageplanDrittinhalte  (en  l’espèce  un  plan 
d’accès  de  la  OpenStreetMap  Fondation).  Pour  la  centrale  des  consommateurs, 
comme pour la plupart des propriétaires de sites internet, il ne serait pas rentable 
d’acheter  des  cartes  géographiques,  de  les  stocker  sur  ses  propres  serveurs  et  de 
les mettre ensuite à jour régulièrement. Cela vaut également pour tous [Or. 17] les 
12 
 

FASHION ID 
autres contenus possibles comme par exemple les vidéos, les flux d’informations 
ou les informations météorologiques.  
59  Partant,  il  convient  de  répondre  à  la  quatrième  question  préjudicielle  que, 
dans un contexte comme celui de l’espèce, l’ « intérêt légitime » à prendre en 
compte  dans  la  mise  en  balance  à  faire  au  titre  de  l’article 7,  sous f),  de  la 
directive 95/46/CE,  est  à  la  fois  l’intérêt  de  celui  qui  fait  l’insertion,  du 
fournisseur  du  contenu  externe  ainsi  que  les  intérêts  des  visiteurs  à  la 
recherche d’informations sur le site internet de celui qui fait l’insertion. 

La cinquième question préjudicielle 
60  La  cinquième  question  préjudicielle  ne  présente  elle  aussi  d’intérêt  que  si  la 
responsabilité ou la mise en cause de celui qui fait l’insertion était retenue et que 
la mise en balance à faire au titre de l’article 7, sous f), de la directive 95/46/CE, 
ne penchait pas pour la licéité du traitement des données.  
61  Aux termes de l’article 2, sous h), de la directive 95/46/CE le consentement de la 
personne  concernée  est  toute  manifestation  de  volonté  libre,  spécifique  et 
informée par laquelle la personne concernée accepte que des données à caractère 
personnel  la  concernant  fassent  l’objet  d’un  traitement.  Afin  de  justifier  un 
traitement  de  données,  la  personne  concernée  doit  avoir  indubitablement 
« donné » son consentement (article 7, sous a), de la même directive).  
62  D’après  l’esprit  et  l’objectif  de  la  directive,  il  faut  considérer  qu’un  tel 
consentement  ne  peut  être  donné  qu’à  celui  qui  s’assure  au  préalable  que  le 
consentement  donné  soit  « informé ».  Toutefois,  il  faut  tenir  compte  du  fait  que 
concrètement  la  déclaration  de  consentement  sur  internet  n’est  pas  rédigée  par 
l’utilisateur mais (doit) inévitablement (être) imposée par le propriétaire d’un site 
internet.  Partant,  en  pratique,  on  ne  peut  pas  faire  la  lumière  sur  la  réalité  des 
choses sans passer par la demande de déclaration de consentement.  
63  Même  si  on  voulait  retenir  une  (co-)responsabilité  ou  une  mise  en  cause  sur  le 
plan  civil  de  celui  qui  fait  l’insertion,  ce  dernier  ne  serait    néanmoins  le  plus 
souvent  pas  en  mesure  [Or. 18]  d’informer  correctement  la  personne  concernée 
sur l’étendue de son consentement. Ce serait une erreur que d’exiger de celui qui 
fait  l’insertion  de  recevoir  un  consentement  s’il  n’est  pas  lui-même  en  mesure 
d’assurer  que  le  consentement  donné  soit  « informé ».  Le  risque  de  nullité  du 
consentement  pèserait  sur  celui  qui  fait  l’insertion  sans  qu’il  puisse  maîtriser  ce 
risque.  
64  Reconnaître  à  celui qui  fait l’insertion  le pouvoir de  recueillir  les consentements 
aboutirait  par  ailleurs  au  résultat  paradoxal  que  celui  qui  fait  l’insertion,  sans 
envisager  lui-même  de  stocker  des  données  à caractère  personnel,  serait  tenu  de 
traiter des données à caractère personnel afin de  s’acquitter d’obligations au titre 
de la protection des données. En effet,  celui qui  fait l’insertion serait tenu, à des 
fins de vérification, d’enregistrer  et  de sauvegarder les  consentements  donnés au 
13 

AFFAIRE C-40/17-18 
moins en les associant aux adresses IP relatives à l’utilisateur. Une telle obligation 
concernerait  également  le  fournisseur  en  droit  allemand  qui  prévoit 
l’enregistrement  des  consentements  donnés  par  voie  électronique  (article 13, 
paragraphe 2,  point 2,  de  la  loi  allemande  sur  les  télémédias  du  26 février 2007, 
Bundesgestzblatt I,  p. 179,  modifiée  en  dernier  lieu  par  l’article 1er  de  la  loi 
allemande  du  21 juin 2016,  Bundesgesetzblatt I,  p. 1766).  Il  serait  contraire  au 
principe  de  l’article 6,  paragraphe 1,  sous e),  de  la  directive  95/46/CE  de  devoir 
collecter  et  sauvegarder  des  données  à  caractère  personnel  uniquement  pour 
recueillir un consentement alors que le responsable ou la personne mise en cause 
sur le plan civil n’a elle-même absolument pas besoin de ces données.  
65  Il  convient  de  répondre  à  la  cinquième  question  préjudicielle  que,  dans  un 
contexte comme celui de l’espèce, le consentement visé à l’article 7, sous a), et 
à  l’article 2,  sous h),  de  la  directive 95/46/CE  doit  être  donné  au  tiers  à 
l’origine du contenu inséré. 

La sixième question préjudicielle 
66  Dans  une  situation  comme  celle  de  l’espèce,  l’obligation  d’informer  tirée  de 
l’article 10 de la directive 95/46/CE ne peut peser que sur le tiers, c’est-à-dire sur 
Facebook. [Or. 19] 
67  Aux termes de l’article 10 de la directive 95/46/CE, la personne concernée obtient 
les  informations  correspondantes  du  « responsable  du  traitement  ou  de  son 
représentant ».  Celui  qui  fait  l’insertion  n’est  pas  responsable  du  traitement  au 
sens de l’article 2, sous d), de  cette directive (voir l’exposé relatif à la deuxième 
question  préjudicielle).  Il  n’est  pas  non  plus  le  représentant  du  fournisseur  du 
contenu externe. Il n’existe pas de relation juridique qui chargerait Fashion ID de 
représenter Facebook.  
68  Même  si  Fashion ID  était  coresponsable  ou  mise  en  cause,  d’une  manière  ou 
d’une autre, d’un quelconque traitement de données effectué par Facebook, ce qui 
n’est pas le cas, il n’en résulterait pas pour autant d’obligation d’informer de ce 
traitement  de  données.  En  effet,  imposer  une  telle  obligation  implique  que  celui 
qui  se  voit  imposer  une  telle  obligation  soit  en  mesure  de  respecter  cette 
obligation. Ainsi que la juridiction de renvoi l’a déjà exposé, imposer à celui qui 
fait  l’insertion  une  obligation  d’informer  de  l’étendue  et  de  la  finalité  du 
traitement  de  données  qui  a  lieu  chez  le  fournisseur  du  contenu  externe  rendrait 
pratiquement impossible l’insertion de contenus externes dans la mesure où celui 
qui fait l’insertion ne peut pas en avoir de connaissance fiable.  
69  Avant d’imposer à celui qui fait l’insertion une quelconque obligation d’informer, 
il faudrait que, de son côté, il soit informé. Il devrait par ailleurs pouvoir compter 
obtenir  les  informations  exactes  et  être  préalablement  informé  en  temps  utile 
d’éventuelles  modifications  dans  le  processus  de  traitement.  Si  les  informations 
obtenues du fournisseur du contenu externe par celui qui fait l’insertion n’étaient 
14 
 

FASHION ID 
(plus) pas exactes, ce dernier méconnaîtrait l’obligation d’informer lui incombant 
sans avoir d’influence sur ce risque. 
70  Partant,  l’obligation  d’informer  ne  peut  concerner  que  celui  qui  propose  le 
contenu externe. Il n’y aurait aucun problème à ce qu’une telle information puisse 
également  être fournie dans le cadre du module (par exemple par l’intermédiaire 
d’un hyperlien dans le module). 
71  Même  si  l’on  retenait  une  obligation  d’informer  incombant  à  celui  qui  fait 
l’insertion,  se  poserait  la  question  de  l’étendue  de  cette  obligation  d’informer. 
Raisonnablement, une telle obligation ne pourrait pas être fonction de l’étendue et 
de la  finalité  des  traitements  de  données  intervenant  chez  le  fournisseur  du 
contenu externe. [Or. 20] Dans le meilleur des cas, l’obligation d’informer devrait 
se  limiter  à signaler  que  le  contenu  d’un  tiers  est  inséré  et  à  indiquer  le 
responsable de ce contenu. Il ne fait aucun doute que Fashion ID a donné une telle 
information. 
72  Partant,  il  convient  de  répondre  à  la  sixième  question  préjudicielle  que 
l’obligation d’informer en vertu de l’article 10 de la directive 95/46/CE dans 
une  situation  telle  que  celle  qui  se  présente  en  l’espèce  pèse  non  pas  sur  le 
gestionnaire  du  site  qui  a  inséré  le  contenu  d’un  tiers  et  est  ainsi  à  l’origine 
du traitement des données à caractère personnel fait par un tiers, mais sur le 
tiers lui-même
.  
Résumé : 
73  Il  convient  de  répondre  à  la  première  question  préjudicielle  que  les 
articles 22, 23, 24 et 28 de la directive 95/46/CE du Parlement européen et du 
Conseil, du 24 octobre 1995, relative à la protection des personnes physiques 
à  l’égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données  (JO 1995,  L 281,  p. 31)  s’opposent  à  une 
réglementation  nationale  qui,  en  marge  des  pouvoirs  d’intervention  des 
autorités  de  protection  des  données  et  des  actions  en  justice  de  la  personne 
concernée,  habilite,  en  cas  d’atteintes,  des  associations  d’utilité  publique  de 
défense des intérêts des consommateurs à agir contre l’auteur d’une atteinte.  

74  Il convient de répondre à la deuxième question préjudicielle que dans un cas 
comme  celui  de  l’espèce,  où  quelqu’un  insère  dans  son  site  un  code 
programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des 
contenus  d’un  tiers  et  de  transmettre  à  cet  effet  au  tiers  des  données  à 
caractère personnel, celui [Or. 13] qui fait l’insertion n’est pas « responsable 
du traitement » au sens de l’article 2, sous d), de la directive 95/46/CE. 

75  Il  convient  de  répondre  à  la  troisième  question  préjudicielle  que  l’article 2, 
sous d),  de  la  directive 95/46/CE  relative  à  la  protection  des  personnes 
physiques à l’égard du traitement [Or. 21] des données à caractère personnel 
et  à  la  libre  circulation  de  ces  données  doit  être  interprété  en  ce  sens  qu’il 
régit  exhaustivement  la  responsabilité  en  ce  sens  qu’il  s’oppose  à  la  mise  en 

15 

AFFAIRE C-40/17-18 
cause  sur  le  plan  civil  d’un  tiers  qui  n’est  certes  pas  « responsable  du 
traitement » mais est à l’origine du processus de traitement des données sans 
avoir d’influence sur celui-ci. 

76  Il  convient  de  répondre  à  la  quatrième  question  préjudicielle  que,  dans  un 
contexte comme  celui  de l’espèce, l’ « intérêt légitime » à prendre en compte 
dans  la  mise  en  balance  à  faire  au  titre  de  l’article 7,  sous f),  de  la 
directive 95/46/CE,  est  à  la  fois  l’intérêt  de  celui  qui  fait  l’insertion,  du 
fournisseur  du  contenu  externe  ainsi  que  les  intérêts  des  visiteurs  à  la 
recherche d’informations sur le site internet de celui qui fait l’insertion. 

77  Il  convient  de  répondre  à  la  cinquième  question  préjudicielle  que  dans  un 
contexte comme celui de l’espèce, le consentement visé à l’article 7, sous a), et 
à  l’article 2,  sous h),  de  la  directive 95/46/CE  doit  être  donné  au  tiers 
à l’origine du contenu inséré. 

78  Il  convient  de  répondre  à  la  sixième  question  préjudicielle  que  l’obligation 
d’informer en vertu de l’article 10 de la directive 95/46/CE dans une situation 
telle que celle qui se présente en l’espèce pèse non pas sur le gestionnaire du 
site qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des 
données à caractère personnel fait par un tiers mais sur le tiers lui-même
.  
(Nebel) 
avocat 
16