link to page 3 link to page 6 link to page 10 link to page 12 link to page 13 link to page 14
Traduction
C-40/17 - 18
Observations de la demanderesse
Affaire C-40/17 *
Pièce déposée par:
Fashion ID GmbH & Co. KG
Nom usuel de l’affaire:
FASHION ID
Date de dépôt:
11 mai 2017 (original)
Dans l’affaire
C-40/17
Fashion ID
(juridiction
de
renvoi :
Oberlandesgericht Düsseldorf,
Allemagne)
après la signification le 2 mars 2017 de la demande de décision préjudicielle, nous
déposons, au nom et pour le compte de la défenderesse, appelante et défenderesse
sur
incident
Fashion ID GmbH & Co. KG,
Düsseldorf,
Allemagne
(ci-après « Fashion ID ») les observations suivantes :
[Or. 2]
Plan des observations
La première question préjudicielle ........................................................................... 3
La deuxième question préjudicielle : ....................................................................... 6
La troisième question préjudicielle ........................................................................ 10
La quatrième question préjudicielle ....................................................................... 12
La cinquième question préjudicielle ...................................................................... 13
La sixième question préjudicielle .......................................................................... 14
* Langue de procédure : l’allemand.
FR
AFFAIRE C-40/17-18
La procédure au principal et les questions préjudicielles
1
La procédure au principal concerne les conditions auxquelles le régime de
protection des données permet à Fashion ID d’insérer sur son site internet des
contenus externes et plus concrètement un module de la partie intervenante
Facebook
Ireland Ltd.,
Dublin,
Irlande
(ci-après :
«
Facebook »).
La
demanderesse, intimée et appelante sur incident, Verbraucherzentrale NRW eV
(association centrale des consommateurs de Rhénanie du Nord Westphalie,
ci-après «
association centrale des consommateurs ») estime qu’en vertu des
dispositions relatives à la protection des données de la loi allemande sur les
télémédias, l’insertion d’un tel module requiert le consentement préalable de
chaque utilisateur du site internet de Fashion ID. Elle estime qu’il n’est pas donné
(valablement). Au demeurant, elle soutient que Fashion ID informe
insuffisamment et trop tardivement les utilisateurs du site internet de la nature des
opérations de traitement de données liées à l’insertion du module. Fashion ID est
selon elle responsable au titre de la protection des données et peut de toute façon
être mise en cause sur le plan civil.
2
Les sites internet sont généralement conçus dans le langage de programmation
HTML. Une des fonctions principales de ce langage de programmation est de
permettre de constituer les éléments d’un site internet à partir de l’assemblage de
sources les plus variées. La Cour a déjà abordé la question de la technique dite de
la « transclusion » (« framing ») au regard des droits d’auteur
[Or. 3] (ordonnance
de
la
Cour
du
21 octobre 2014,
BestWater International,
C-348/13,
ECLI:EU:C:2014:2315). De nombreux sites internet utilisent la transclusion afin,
par exemple, d’insérer dans leur offre des plans de villes, des informations
météorologiques ou des vidéos provenant d’autres sources. Par rapport à un lien
statique renvoyant à une source locale, la transclusion permet tout d’abord
l’interconnexion qui est une des caractéristiques d’internet : si sur la page de
destination une modification est ainsi effectuée par le fournisseur du contenu
externe (par exemple l’actualisation des cours de bourse d’un module de
téléscripteur, la mise à jour des informations météorologiques etc.), le contenu
inséré sera automatiquement actualisé sans que des modifications manuelles
soient nécessaires.
3
Techniquement, l’insertion d’un élément externe par la voie de la transclusion
permet au navigateur de l’utilisateur d’un site internet de recevoir
automatiquement l’instruction de charger l’élément externe inséré à partir de
l’adresse source indiquée. Le fournisseur de la source obtient ainsi l’adresse IP de
l’utilisateur et certaines informations techniques relatives au type de navigateur
utilisé (appelé browser string). Cela est techniquement inévitable dans la
transclusion étant donné que l’élément externe en question ne pourrait pas être
renvoyé au navigateur de l’utilisateur sans l’adresse IP. Sans la transmission de
l’adresse IP, accéder à un site internet équivaudrait à une demande de rappel sans
laisser le numéro de l’appelant.
2
FASHION ID
Les questions préjudicielles
La première question préjudicielle
4
Le droit pour les associations d’utilité publique de défense des intérêts des
consommateurs d’agir contre l’auteur d’une atteinte à la protection des données ne
peut pas s’appuyer sur la directive 95/46/CE du Parlement européen et du Conseil,
du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation des données
(JO L 281 du 23 novembre 1995, ci-après la « directive 95/46/CE »).
5
Cela
relève
déjà
de
la
cohérence
juridique.
En
effet,
seul
le
règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel et à la libre circulation de ces données, abrogeant la directive
95/46/CE (JO L 119, du 4 mai 2016), applicable à compter du 25 mai 2018,
prévoit à l’article 80, paragraphe 2, contrairement ce que prévoit le régime actuel ,
la possibilité pour les États membres d’habiliter des associations à agir
collectivement (indépendamment de tout mandat confié par une personne
concernée). Une
[Or. 4] telle réglementation aurait été inutile si le droit actuel
conférait déjà un droit d’action aux associations en question.
6
Cela dit, le droit d’agir collectivement menacerait la pleine indépendance en vertu
de laquelle les autorités de contrôle doivent agir conformément aux exigences de
la directive 95/46/CE. Le principe est la disposition de l’article 28, paragraphe 1,
deuxième alinéa, de cette directive. Selon cette disposition, les autorités de
contrôle mises en place dans les États membres exercent « en toute
indépendance » les missions dont elles sont investies. Selon la jurisprudence de la
Cour, la notion de « toute indépendance » doit être interprétée de façon large
(arrêt de la Cour du 9 mars 2010, Commission européenne contre République
fédérale d’Allemagne, C-518/07, ECLI:EU:C:2010:125, point 51). Les autorités
de contrôle à mettre en place doivent avoir la possibilité d’agir en toute liberté,
à l’abri de toute instruction et de toute pression. Les autorités de contrôle doivent
assurer un juste équilibre entre le respect du droit fondamental à la vie privée et
les intérêts qui commandent une libre circulation des données à caractère
personnel (arrêt du 9 mars 2010, précité, point 24). Il y a lieu d’interpréter
l’article 28, paragraphe 1, deuxième alinéa, de la directive 95/46/CE en ce sens
que toute injonction ou toute autre influence extérieure sur les autorités de
contrôle, même si elle n’était qu’indirecte, doit être exclue (arrêt du 9 mars 2010,
précité, point 30). Le seul risque d’une influence politique suffit pour entraver
l’indépendance des autorités de contrôle. Le rôle desdites autorités exige que leurs
décisions soient au-dessus de tout soupçon de partialité. Cela implique que les
autorités de contrôle ne puissent faire l’objet d’aucune pression afin d’adopter des
décisions soumises à une « obéissance anticipée » (arrêt du 9 mars 2010, précité,
point 36).
3
AFFAIRE C-40/17-18
7
De surcroît, l’harmonisation par la directive 95/46/CE des législations nationales
ne se limite pas à une harmonisation minimale, mais aboutit à une harmonisation
qui est, en principe, complète (arrêt de la Cour du 24 novembre 2011, ASNEF et
FECEMD contre Administración del Estado, C-468/10 et C-469/10,
ECLI:EU:C:2011:777, point 29).
8
Les possibilités prévues aux chapitres III et IV de la directive 95/46/CE de
déclencher une procédure nationale en cas de violations présumées, résultent d’un
système établi
[Or. 5] et cohérent : selon l’article 22, d’une part, la personne lésée
dispose elle-même d’un recours juridictionnel ou, conformément à l’article 28,
paragraphe 4, elle peut, d’autre part, saisir une autorité de contrôle.
Indépendamment du pouvoir pour la personne concernée d’ester en justice,
l’autorité de contrôle peut exercer de son côté son pouvoir d’intervention
(article 28, paragraphe 3).
9
La possibilité pour des associations de prendre part à une procédure n’existe en
revanche qu’en vertu de l’article 28, paragraphe 4, de la directive 95/46/CE : elle
est soumise à la condition que l’association soit mandatée par une personne
concernée concrètement pour la représenter (analogie avec l’article 80,
paragraphe 1, du règlement (UE) 2016/679 qui s’appliquera à compter du
25 mai 2018).
10 Par conséquent, conformément à l’approche de la directive 95/46/CE, le
responsable peut être mis en cause par la personne concernée elle-même ou bien
par l’autorité de contrôle totalement indépendante. En-dehors de ces deux
hypothèses, la directive 95/46/CE n’habilite pas une association à agir contre un
responsable pour atteinte à des dispositions relatives à la protection des données.
11 Une telle habilitation remettrait en effet durablement en question le pouvoir de
décision de la personne concernée ainsi que de l’autorité de contrôle totalement
indépendante. Si cette autorité, à la suite d’une mise en balance entre le droit
fondamental au respect de la vie privée et l’intérêt de la libre circulation des
données à caractère personnel, choisissait de ne pas prendre de mesure
à l’encontre d’une atteinte présumée à la protection de données à caractère privé,
cette décision pourrait être contrecarrée par l’habilitation d’une association.
12 En effet, les associations, à l’instar de l’association centrale des consommateurs,
sont notamment financées par des dons. C’est pour cette raison qu’elles sont déjà
dans l’obligation de sensibiliser le public par leurs actions. En fait, l’association
centrale des consommateurs informe très largement le public des activités qu’elle
mène.
13 Ainsi que la question préjudicielle le met par ailleurs explicitement en exergue, et
ce qu’implique déjà le nom de l’association centrale des consommateurs, les
associations concernées en l’espèce ne recherchent précisément pas
[Or. 6] un
compromis raisonnable entre les intérêts en question, ce qui est le cas des autorités
4
FASHION ID
de contrôle. Les associations concernées défendent plutôt unilatéralement les
intérêts réels ou supposés des consommateurs.
14 La faculté pour ces associations de poursuivre des atteintes à la protection des
données au titre d’une habilitation à agir en justice que leur conférerait la
législation interne serait susceptible d’exercer une pression sur les autorités de
contrôle. En effet, le public pourrait se demander pourquoi l’autorité de contrôle
ne s’est pas déjà saisie d’une situation donnée. Les autorités de contrôle pourraient
ainsi être contraintes d’agir sous la pression du public et sans être totalement
indépendante.
15 Par ailleurs, les associations centrales de consommateurs et d’autres associations
visées par la question préjudicielle sont financées sur des fonds publics, pour le
moins en Allemagne (voir l’article 4, paragraphe 2 du Unterlassungsgesetz, loi
allemande sur les actions en cessation en cas de violation notamment du droit de
la consommation, dans sa version officielle du 27 août 2002, Bundesgesetzblatt I,
pages 3422 et 4346, modifiée en dernier lieu par l’article 3 de la loi allemande du
11 avril 2016, Bundesgesetzblatt I, page 720). Le financement public de telles
associations est également susceptible de compromettre la totale indépendance des
autorités de contrôle.
16 La dotation suffisante en moyens et en personnel des autorités de contrôle
constitue une condition indispensable pour qu’elles puissent assurer leurs missions
en toute indépendance. Une dotation trop faible conduirait inévitablement à ce que
les autorités de contrôle ne puissent pas assurer correctement leurs missions.
17 Une dotation en personnel et en moyens insuffisante peut également résulter du
fait que les États membres accordent à d’autres organismes qui assument
également des missions de contrôle de la protection des données des ressources
plus importantes que celles accordées aux autorités de contrôle. Le financement
public accordé à l’association centrale des consommateurs et à d’autres
associations de protection des intérêts des consommateurs, combiné
[Or. 7] au
droit d’agir en justice dont il est question en l’espèce, pourraient ainsi encourager
la création de structures parallèles destinées à contrôler la protection des données.
18 De telles structures parallèles entreraient en concurrence, ce qui ne fait pas partie
des objectifs de la directive 95/46/CE, afin d’obtenir des ressources publiques
destinées à contrôler le respect de la protection des données. Les autorités de
contrôle pourraient de ce fait être incitées à ne plus adopter leurs décisions en
toute indépendance, mais en veillant à tout le moins à statuer dans le sens de la
volonté politique présumée. Ainsi, elles n’auraient pas à subir un désavantage
financier par rapport à l’association centrale des consommateurs ou d’autres
associations bénéficiant de financements publics.
19
Partant il convient de répondre à la première question préjudicielle que les
articles 22, 23, 24 et 28 de la directive 95/46/CE du Parlement européen et du
Conseil, du 24 octobre 1995, relative à la protection des personnes physiques
5
AFFAIRE C-40/17-18
à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données (JO 1995, L 281, p. 31) s’opposent à une
réglementation nationale qui, en marge des pouvoirs d’intervention des
autorités de protection des données et des actions en justice de la personne
concernée, habilite, en cas d’atteintes, des associations d’utilité publique de
défense des intérêts des consommateurs à agir contre l’auteur d’une atteinte.
La deuxième question préjudicielle
20 Selon l’article 2, sous d), de la directive 95/46/CE, est responsable du traitement :
la personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les
moyens du traitement de données à caractère personnel.
21 Afin de répondre à la deuxième question préjudicielle, il convient tout d’abord de
définir le traitement de données à caractère personnel dont quelqu’un pourrait être
responsable.
22 Il est incontestable que Fashion ID ne collecte pas elle-même des données
à caractère personnel ni ne transmet de telles données à Facebook. Fashion ID
a seulement inséré sur son site internet
[Or. 8] l’indication d’un module proposé
par Facebook. Il s’agit de l’une des raisons, et en aucun cas de l’unique, pour
lesquelles le navigateur de l’utilisateur contacte directement et immédiatement
Facebook afin de charger le module sur place. Dans ce cadre, le navigateur de
l’utilisateur indique au fournisseur Facebook l’adresse IP à partir de laquelle le
matériel est à ce moment-là relié à internet si l’utilisateur a configuré son
navigateur ainsi ou a maintenu une éventuelle configuration de navigateur de ce
type.
23 Le processus ne peut relever du droit à la protection des données que si
l’adresse IP est pour Facebook une donnée à caractère personnel.
24 À ce jour, la Cour a seulement répondu à la question de savoir si une adresse IP
dynamique enregistrée par un fournisseur de services de médias en ligne à
l’occasion de la consultation par une personne d’un site internet constitue une
donnée à caractère personnel. C’est le cas, lorsque le fournisseur du site internet
dispose de moyens légaux lui permettant de faire identifier la personne concernée
grâce aux informations supplémentaires dont dispose le fournisseur d’accès à
internet de cette personne (arrêt de la Cour du 19 octobre 2016, Patrick Breyer
contre République fédérale d’Allemagne, C-582/14, ECLI:EU:C:2016:779).
25 La Cour n’a pas encore répondu à la question de savoir si cela s’applique
également aux adresses IP que le fournisseur ne stocke pas d’emblée. En effet,
Facebook a exposé dans la procédure au principal qu’il est techniquement
inévitable que l’adresse IP soit utilisée pour délivrer le module sans toutefois que
l’adresse IP soit précisément stockée. (en effet cette dernière est rendue
immédiatement et effectivement anonyme). Fashion ID ne stocke pas non plus
6
FASHION ID
l’adresse IP étant entendu que Fashion-ID n’est incontestablement pas impliquée
dans l’échange technique de données entre le navigateur de l’utilisateur et
Facebook.
26 Tant qu’elle n’est pas stockée, l’adresse IP ne possède toutefois pas de caractère
personnel. En effet, sans ce stockage ni Facebook ni Fashion ID ne peuvent savoir
quelle connexion ou quel appareil a été associé à l’adresse IP à un moment donné.
Dans
[Or. 9] une telle situation, il n’existe aucun traitement de données dont
Fashion ID pourrait être tenue responsable en ayant fait l’insertion.
27 Indépendamment de cela, celui qui comme Fashion ID fait l’insertion n’a aucune
influence sur la décision relative aux modalités de traitement des données
à caractère personnel chez le fournisseur du contenu externe (en l’espèce
Facebook). Il appartient au seul fournisseur de décider si l’adresse IP est stockée
chez lui et si une donnée à caractère personnel est ainsi générée et traitée. Celui
qui fait l’insertion n’est pas en mesure de prendre de décisions relatives à un
traitement éventuel et n’a pas non plus d’influence sur les finalités et moyens d’un
tel traitement. C’est ce que la juridiction de renvoi a souligné à juste titre
(au point 13 de la demande de décision préjudicielle).
28 Lors de l’appréciation, il convient d’adopter une approche fonctionnelle, l’accent
étant mis sur le point de savoir si une ou plusieurs parties décident des finalités et
moyens (paragraphe III, point 1, sous d) de l’avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 par
le Groupe de travail « article 29 » sur la protection des données, WP 169). En
effet, si l’adresse IP était une donnée à caractère personnel, Facebook serait
incontestablement responsable du traitement. La seule question est ainsi de savoir
si, en plus du fournisseur du contenu externe, celui qui fait l’insertion est
également responsable du traitement.
29 Un organisme qui n’exerce ni influence de droit ni influence de fait pour
déterminer la manière dont les données à caractère personnel seront traitées ne
saurait être considéré comme le responsable du traitement (paragraphe III, point 1,
sous a) de l’avis 1/2010 précité).
30 Selon ce critère, Fashion ID n’est pas responsable d’un éventuel traitement de
l’adresse IP. Elle n’a pas le pouvoir de déterminer seule les finalités et moyens du
traitement et n’agit pas non plus conjointement avec Facebook au titre par
exemple d’une convention sur le traitement des ordres. L’insertion du contenu
externe se distingue ainsi par exemple du contrat liant le propriétaire d’un site à
une agence de publicité qui insère de la publicité destinée aux utilisateurs en se
[Or. 10] fondant sur l’évaluation personnalisée réalisée pour le compte des
propriétaires de sites (« behavioral targetting » ou ciblage comportemental).
31 En effet, l’insertion de contenus externes se fait sans relation contractuelle. Une
telle insertion correspond d’un point de vue technique plutôt au placement d’un
lien sur un autre site internet. Par ailleurs, au regard des droits d’auteur, il est
7
AFFAIRE C-40/17-18
même généralement permis sans l’autorisation du fournisseur du contenu externe
(arrêt de la Cour du 8 septembre 2016, GS Media BV contre Sanoma Media
Netherlands BV e.a., C-160/15, ECLI:EU:C:2016:644). Dans ce contexte, la Cour
a souligné « l’importance particulière » qu’internet revêt effectivement pour la
liberté d’expression et d’information garantie par l’article 11 de la Charte des
droits fondamentaux de l’Union européenne. Ainsi que la Cour l’a exposé dans cet
arrêt, les liens hypertexte (en raison de leur similitude technique, rien d’autre ne
peut s’appliquer à la transclusion) sont essentiels au fonctionnement d’internet
compte tenu des immenses quantités d’informations présentes sur ce réseau (arrêt
du 8 septembre 2016, précité, point 45).
32 Par ailleurs, dans ce contexte, la Cour a indiqué à juste titre que, pour celui qui
insère sur son site internet une référence à une offre étrangère, il peut s’avérer
difficile de vérifier les contenus de cette offre. La vérification ne serait d’ailleurs
que de nature ponctuelle étant donné que le fournisseur externe peut modifier son
offre à tout moment. On ne peut décemment pas attendre de celui qui fait
l’insertion qu’il prenne régulièrement connaissance de l’offre du tiers
(arrêt du 8 septembre 2016, précité, points 46 et 47).
33 La (co)responsabilité de celui qui fait l’insertion aurait une répercussion négative
sur le bon fonctionnement d’internet. Pour éviter d’engager sa propre
responsabilité au titre de la protection des données pour des atteintes à la
protection des données commises le cas échéant par le fournisseur du contenu
externe, celui qui fait l’insertion serait tenu d’obtenir l’engagement contractuel de
ce dernier avant d’opérer l’insertion afin de pouvoir à tout le moins se retourner le
cas échéant contre lui. Il pourrait aussi totalement renoncer à
[Or. 11] insérer le
contenu externe, ce qui sera le cas le plus probable eu égard aux coûts de
transaction et au risque de perte dans le cadre de tels recours. C’est à juste titre
que la juridiction de renvoi y a fait allusion dans la décision de renvoi en parlant
d’une « [insertion] pratiquement impossible » (point 14 de la demande de décision
préjudicielle).
34 Dans une telle configuration, l’objet de l’article 2, sous d), de la directive 95/46
n’impose pas d’interprétation large de la notion de « responsable du traitement ».
Au contraire, l’objet porte à croire que la notion doit être comprise de façon
restrictive lorsque, comme en l’espèce, une responsabilité commune de plusieurs
acteurs est en cause.
35 L’interprétation doit permettre et garantir l’application effective et le respect de la
protection des données dans la pratique. En cas de doute, la solution la plus
à même de favoriser de tels effets est à privilégier. Ainsi, en fonction des réalités
de l’organisation, la différenciation de la responsabilité peut rendre la
détermination du droit national applicable plus difficile lorsque divers systèmes
juridiques sont concernés (paragraphe II, point 3, de l’avis 1/2010 précité).
36 Dans ce contexte, la configuration de l’espèce se distingue des circonstances qui
ont donné lieu à l’arrêt de la Cour du 13 mai 2014, Google Spain SL et Google
8
FASHION ID
Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja
González (C-131/12, ECLI:EU:C:2014:317). Dans cet arrêt, il s’agissait d’un
traitement de données effectué par l’exploitant de moteurs de recherche
intervenant de manière additionnelle par rapport à l’activité des éditeurs de sites
web et qui était susceptible de l’affecter significativement et de manière autonome
(arrêt du 13 mai 2014, précité, point 38). Cette atteinte à la vie privée
additionnelle et autonome par rapport à la première publication rendait nécessaire
d’imputer à l’exploitant de moteurs de recherche une responsabilité propre à cet
égard.
37 En l’espèce, du point de vue de la personne concernée, il n’est pas seulement
satisfaisant de pouvoir s’en tenir au fournisseur du contenu externe, donc à
Facebook. Si l’on veut protéger efficacement les données à caractère personnel et
la vie privée,
[Or. 12] il est plus logique de concentrer
la responsabilité dans le
chef du fournisseur du contenu externe que séparer artificiellement les
responsabilités. C’est en effet chez le fournisseur du contenu externe que tous les
traitements de données ont lieu (si tel est le cas, voir ci-dessus). Lui seul a la
possibilité de sauvegarder les adresses IP et éventuellement de réaliser d’autres
traitements à caractère personnel.
38 Pour toutes ces questions, le fournisseur extérieur est lié par le droit auquel il est
soumis. En l’espèce, le siège de Facebook se trouve en Irlande et cette société doit
ainsi respecter les exigences de la directives 95/46/CE en raison de
l’harmonisation complète qui vaut pour tous les traitements de données. Facebook
est soumis au contrôle de l’autorité irlandaise de contrôle de la protection des
données à laquelle les utilisateurs peuvent s’adresser éventuellement
indirectement par l’intermédiaire de l’autorité de contrôle de leur pays de
résidence. Il n’y a dès lors en tout cas aucune lacune dans la protection de la
personne concernée lorsque le fournisseur du contenu externe relève de la
directive 95/46/CE.
39 L’imputation claire serait en revanche affaiblie si Fashion ID, en tant que
gestionnaire de site internet, était en outre tenue pour coresponsable des
traitements de données de Facebook. Des gestionnaires de sites internet tels que
Fashion ID seraient ainsi soumis à un risque de responsabilité objective abstraite,
sans pour autant avoir eux-mêmes éventuellement commis d’atteinte à la
protection des données ou sans pouvoir exercer une quelconque influence de droit
ou de fait sur cette atteinte. Même s’il peut être certes en principe intéressant pour
l’intéressé de bénéficier d’une personne responsable supplémentaire, une telle
conception serait toutefois inadéquate dans la mesure où celui qui fait l’insertion
n’a pas commis d’acte illicite. Étant donné que dans la procédure au principal,
Fashion ID et Facebook relèvent par ailleurs d’ordre juridiques différents dans le
champ d’application de la directive 95/46/CE, on se demanderait en outre quel
droit national s’appliquerait à l’opération.
40
Partant, il convient de répondre à la deuxième question préjudicielle que
dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un
9
AFFAIRE C-40/17-18
code programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données
à caractère personnel, celui [Or. 13] qui fait l’insertion n’est pas
« responsable du traitement » au sens de l’article 2, sous d), de la
directive 95/46/CE.
La troisième question préjudicielle
41 L’idée de base de la directive 95/46/CE est que seul le responsable du traitement
au sens de l’article 2, sous d), de cette directive peut être mis en cause. Cette
disposition est exhaustive.
42 C’est déjà ce que suggère son libellé. En effet, le terme « responsable » implique
dans un raisonnement a contrario que des personnes qui ne sont pas elles-mêmes
« responsables » ne répondent précisément pas du traitement des données.
43 Cette conclusion résulte également de l’économie générale de la directive.
L’article 2 de la directive définit tous les rôles qui peuvent exister dans le
traitement de données. Parallèlement au responsable du traitement, la directive
définit les « personnes concernées » (article 2, sous a)) et les « sous-traitants »
(article 2, sous e)). Celui qui n’appartient au aucune de ces catégories est
considéré comme un « tiers » conformément à la définition de la directive
(article 2, sous f)).
44 Toutefois, rien dans la directive n’impute à un tiers d’obligations au titre de la
protection des données. Selon l’article 6, paragraphe 2, de la directive, il incombe
plutôt au responsable du traitement d’assurer le respect des principes de base du
traitement de données. Cela signifie que toutes les dispositions établissant des
conditions d’un traitement licite visent essentiellement le responsable du
traitement (paragraphe II, point 1, de l’avis 1/2010 précité).
45 Les objectifs de la directive 95/46/CE énoncés dans son l’article premier
impliquent une interprétation selon laquelle la possibilité d’une mise en cause sur
le plan civil se limite au responsable du traitement.
46 La notion de responsable du traitement selon l’article 2, sous d), de la
directive 95/46/CE est suffisamment souple pour permettre
[Or. 14] et garantir
par son interprétation, une bonne application et le respect de la protection des
données dans la pratique au sens de l’article 1er , paragraphe 1, de la directive
(paragraphe II, point 3, de l’avis 1/2010 précité). Cette notion assure que le
destinataire des obligations liées à la protection des données soit celui qui
a réellement une influence sur la protection des personnes physiques dans le
traitement de données à caractère personnel (cet aspect ressort mieux de la version
anglaise de la directive et du terme « Controllers » que de la version allemande).
Partant, l’objet de la directive n’exige pas de pouvoir mettre en cause des
personnes qui ne prennent part au traitement des données qu’à titre subalterne sans
être elles-mêmes responsables.
10
FASHION ID
47 En revanche, la mise en cause sur le plan civil de personnes qui ne sont pas
responsables serait contraire à l’objectif principal de la directive qui est de
permettre la libre circulation des données à caractère personnel entre États
membres
(article 1er,
paragraphe 2,
ainsi
que
considérant
8
de
la
directive 95/46/CE).
48 Selon le considérant 8 de la directive 95/49/CE, pour éliminer les obstacles à la
circulation des données à caractère personnel il est nécessaire de coordonner les
législations des États membres pour que le flux transfrontalier de données
à caractère personnel soit réglementé d’une manière cohérente et conforme
à l’objectif du marché intérieur. La Cour a jugé à ce titre que l’harmonisation des
législations nationales ne se limite pas à une harmonisation minimale, mais aboutit
à une harmonisation qui est, en principe, complète (arrêt du 24 novembre 2011,
précité, point 29).
49 Les articles 22 à 24 de la directive 95/49/CE déterminent exhaustivement qui peut
être mis en cause sur le plan civil au regard des obligations définies par la
directive. L’article 23 régit la mise en cause du responsable du traitement. Il
ressort du considérant 55 que le contrôle juridictionnel que permet l’article 22 vise
également la méconnaissance des droits des personnes concernées par le
responsable du traitement de données. Le considérant ajoute que des sanctions
visées à l’article 24 doivent être appliquées à toute personne qui ne respecte pas
les dispositions nationales prises en application de la présente directive. De telles
sanctions supposent
[Or. 15] ainsi que cette personne puisse même être liée par
des dispositions de transposition dans le cadre de l’harmonisation totale.
50 Précisément, dans les situations transfrontalières comme celle de l’espèce, le flux
de données à caractère personnel dans le marché intérieur serait sérieusement
entravé chaque fois que des responsabilités supplémentaires de tiers pourraient
être établies au titre des ordres juridiques nationaux. En effet, les risques
ingérables de responsabilité en découlant pour celui qui fait l’insertion
conduiraient selon toute probabilité àéviter d’emblée et à titre préventif un tel flux
de données, qu’il soit ou non licite.
51
Partant, il convient de répondre à la troisième question préjudicielle que
l’article 2, sous d), de la directive 95/46/CE relative à la protection des
personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données doit être interprété en ce
sens qu’il régit exhaustivement la responsabilité en ce sens qu’il s’oppose à la
mise en cause sur le plan civil d’un tiers qui n’est certes pas « responsable du
traitement » mais est à l’origine du processus de traitement des données sans
avoir d’influence sur celui-ci.
11
AFFAIRE C-40/17-18
La quatrième question préjudicielle
52 La quatrième question préjudicielle n’intéresse la procédure au principal que dans
la mesure où, contrairement à ce que pense Fashion ID, celui qui fait l’insertion
peut être tenu responsable d’un traitement de données.
53 L’article 7, sous f), de la directive 95/46/CE exige de mettre en balance les intérêts
en faveur d’un traitement avec les droits et libertés fondamentaux de la personne
concernée. D’après le libellé de la disposition, il faut se référer à l’intérêt légitime
« poursuivi » par le responsable du traitement ou par celui qui reçoit les données.
Par conséquent, il ne faut précisément pas se limiter à l’intérêt personnel du
responsable. Le considérant 30 de la directive précitée va également dans ce sens
en visant de manière encore plus générale l’intérêt « d’une [quelconque]
personne ».
[Or. 16]
54 Ainsi, pour le traitement de données il faut tenir compte à la fois des intérêts de
celui qui fait l’insertion, de l’intérêt légitime du fournisseur du contenu externe
(en l’espèce Facebook) et également de l’intérêt des visiteurs du site internet de
celui qui fait l’insertion.
55 Celui qui fait l’insertion possède un intérêt légitime à présenter son site internet
comme il l’entend. Ainsi que nous l’avons exposé, l’attrait et l’actualité de son
propre site internet sont significativement améliorés par la transclusion de
contenus externes.
56 Le fournisseur du contenu externe a également intérêt à élargir la portée de son
offre au-delà de son propre site internet par l’interconnexion avec les sites de tiers.
57 Par ailleurs, la Cour a déjà décidé qu’il faut également tenir compte de l’intérêt
légitime des internautes potentiellement intéressés à avoir accès à l’information
(arrêt Google Spain précité du 13 mai 2014, point 81). Il convient de
soigneusement tenir compte de l’ensemble des intérêts concernés par le traitement
de données ou sa suppression.
58 Pour un propriétaire de site internet, la possibilité d’insérer le contenu externe est
essentielle pour la présentation de son site internet et ainsi pour son droit à la
liberté d’expression (article 11, paragraphe 1, alinéa 1, de la Charte des droits
fondamentaux de l’Union européenne) et pour sa liberté d’entreprise (article 16 de
la Charte). La possibilité d’insérer sur son propre site internet des contenus qui ne
sont pas stockés sur son propre serveur élargit considérablement les possibilités de
présentation. Par conséquent, les contenus externes représentent une partie
naturelle de la plupart des sites internet. La centrale des consommateurs, par
exemple,
insère
également
des
contenus
externes
sous
l’URL
http://www.verbraucherzentrale.nrw/lageplanDrittinhalte (en l’espèce un plan
d’accès de la OpenStreetMap Fondation). Pour la centrale des consommateurs,
comme pour la plupart des propriétaires de sites internet, il ne serait pas rentable
d’acheter des cartes géographiques, de les stocker sur ses propres serveurs et de
les mettre ensuite à jour régulièrement. Cela vaut également pour tous
[Or. 17] les
12
FASHION ID
autres contenus possibles comme par exemple les vidéos, les flux d’informations
ou les informations météorologiques.
59
Partant, il convient de répondre à la quatrième question préjudicielle que,
dans un contexte comme celui de l’espèce, l’ « intérêt légitime » à prendre en
compte dans la mise en balance à faire au titre de l’article 7, sous f), de la
directive 95/46/CE, est à la fois l’intérêt de celui qui fait l’insertion, du
fournisseur du contenu externe ainsi que les intérêts des visiteurs à la
recherche d’informations sur le site internet de celui qui fait l’insertion.
La cinquième question préjudicielle
60 La cinquième question préjudicielle ne présente elle aussi d’intérêt que si la
responsabilité ou la mise en cause de celui qui fait l’insertion était retenue et que
la mise en balance à faire au titre de l’article 7, sous f), de la directive 95/46/CE,
ne penchait pas pour la licéité du traitement des données.
61 Aux termes de l’article 2, sous h), de la directive 95/46/CE le consentement de la
personne concernée est toute manifestation de volonté libre, spécifique et
informée par laquelle la personne concernée accepte que des données à caractère
personnel la concernant fassent l’objet d’un traitement. Afin de justifier un
traitement de données, la personne concernée doit avoir indubitablement
« donné » son consentement (article 7, sous a), de la même directive).
62 D’après l’esprit et l’objectif de la directive, il faut considérer qu’un tel
consentement ne peut être donné qu’à celui qui s’assure au préalable que le
consentement donné soit « informé ». Toutefois, il faut tenir compte du fait que
concrètement la déclaration de consentement sur internet n’est pas rédigée par
l’utilisateur mais (doit) inévitablement (être) imposée par le propriétaire d’un site
internet. Partant, en pratique, on ne peut pas faire la lumière sur la réalité des
choses sans passer par la demande de déclaration de consentement.
63 Même si on voulait retenir une (co-)responsabilité ou une mise en cause sur le
plan civil de celui qui fait l’insertion, ce dernier ne serait néanmoins le plus
souvent pas en mesure
[Or. 18] d’informer correctement la personne concernée
sur l’étendue de son consentement. Ce serait une erreur que d’exiger de celui qui
fait l’insertion de recevoir un consentement s’il n’est pas lui-même en mesure
d’assurer que le consentement donné soit « informé ». Le risque de nullité du
consentement pèserait sur celui qui fait l’insertion sans qu’il puisse maîtriser ce
risque.
64 Reconnaître à celui qui fait l’insertion le pouvoir de recueillir les consentements
aboutirait par ailleurs au résultat paradoxal que celui qui fait l’insertion, sans
envisager lui-même de stocker des données à caractère personnel, serait tenu de
traiter des données à caractère personnel afin de s’acquitter d’obligations au titre
de la protection des données. En effet, celui qui fait l’insertion serait tenu, à des
fins de vérification, d’enregistrer et de sauvegarder les consentements donnés au
13
AFFAIRE C-40/17-18
moins en les associant aux adresses IP relatives à l’utilisateur. Une telle obligation
concernerait également le fournisseur en droit allemand qui prévoit
l’enregistrement des consentements donnés par voie électronique (article 13,
paragraphe 2, point 2, de la loi allemande sur les télémédias du 26 février 2007,
Bundesgestzblatt I, p. 179, modifiée en dernier lieu par l’article 1er de la loi
allemande du 21 juin 2016, Bundesgesetzblatt I, p. 1766). Il serait contraire au
principe de l’article 6, paragraphe 1, sous e), de la directive 95/46/CE de devoir
collecter et sauvegarder des données à caractère personnel uniquement pour
recueillir un consentement alors que le responsable ou la personne mise en cause
sur le plan civil n’a elle-même absolument pas besoin de ces données.
65
Il convient de répondre à la cinquième question préjudicielle que, dans un
contexte comme celui de l’espèce, le consentement visé à l’article 7, sous a), et
à l’article 2, sous h), de la directive 95/46/CE doit être donné au tiers à
l’origine du contenu inséré.
La sixième question préjudicielle
66 Dans une situation comme celle de l’espèce, l’obligation d’informer tirée de
l’article 10 de la directive 95/46/CE ne peut peser que sur le tiers, c’est-à-dire sur
Facebook.
[Or. 19]
67 Aux termes de l’article 10 de la directive 95/46/CE, la personne concernée obtient
les informations correspondantes du « responsable du traitement ou de son
représentant ». Celui qui fait l’insertion n’est pas responsable du traitement au
sens de l’article 2, sous d), de cette directive (voir l’exposé relatif à la deuxième
question préjudicielle). Il n’est pas non plus le représentant du fournisseur du
contenu externe. Il n’existe pas de relation juridique qui chargerait Fashion ID de
représenter Facebook.
68 Même si Fashion ID était coresponsable ou mise en cause, d’une manière ou
d’une autre, d’un quelconque traitement de données effectué par Facebook, ce qui
n’est pas le cas, il n’en résulterait pas pour autant d’obligation d’informer de ce
traitement de données. En effet, imposer une telle obligation implique que celui
qui se voit imposer une telle obligation soit en mesure de respecter cette
obligation. Ainsi que la juridiction de renvoi l’a déjà exposé, imposer à celui qui
fait l’insertion une obligation d’informer de l’étendue et de la finalité du
traitement de données qui a lieu chez le fournisseur du contenu externe rendrait
pratiquement impossible l’insertion de contenus externes dans la mesure où celui
qui fait l’insertion ne peut pas en avoir de connaissance fiable.
69 Avant d’imposer à celui qui fait l’insertion une quelconque obligation d’informer,
il faudrait que, de son côté, il soit informé. Il devrait par ailleurs pouvoir compter
obtenir les informations exactes et être préalablement informé en temps utile
d’éventuelles modifications dans le processus de traitement. Si les informations
obtenues du fournisseur du contenu externe par celui qui fait l’insertion n’étaient
14
FASHION ID
(plus) pas exactes, ce dernier méconnaîtrait l’obligation d’informer lui incombant
sans avoir d’influence sur ce risque.
70 Partant, l’obligation d’informer ne peut concerner que celui qui propose le
contenu externe. Il n’y aurait aucun problème à ce qu’une telle information puisse
également être fournie dans le cadre du module (par exemple par l’intermédiaire
d’un hyperlien dans le module).
71 Même si l’on retenait une obligation d’informer incombant à celui qui fait
l’insertion, se poserait la question de l’étendue de cette obligation d’informer.
Raisonnablement, une telle obligation ne pourrait pas être fonction de l’étendue et
de la finalité des traitements de données intervenant chez le fournisseur du
contenu externe.
[Or. 20] Dans le meilleur des cas, l’obligation d’informer devrait
se limiter à signaler que le contenu d’un tiers est inséré et à indiquer le
responsable de ce contenu. Il ne fait aucun doute que Fashion ID a donné une telle
information.
72
Partant, il convient de répondre à la sixième question préjudicielle que
l’obligation d’informer en vertu de l’article 10 de la directive 95/46/CE dans
une situation telle que celle qui se présente en l’espèce pèse non pas sur le
gestionnaire du site qui a inséré le contenu d’un tiers et est ainsi à l’origine
du traitement des données à caractère personnel fait par un tiers, mais sur le
tiers lui-même.
Résumé :
73
Il convient de répondre à la première question préjudicielle que les
articles 22, 23, 24 et 28 de la directive 95/46/CE du Parlement européen et du
Conseil, du 24 octobre 1995, relative à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données (JO 1995, L 281, p. 31) s’opposent à une
réglementation nationale qui, en marge des pouvoirs d’intervention des
autorités de protection des données et des actions en justice de la personne
concernée, habilite, en cas d’atteintes, des associations d’utilité publique de
défense des intérêts des consommateurs à agir contre l’auteur d’une atteinte.
74
Il convient de répondre à la deuxième question préjudicielle que dans un cas
comme celui de l’espèce, où quelqu’un insère dans son site un code
programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données à
caractère personnel, celui [Or. 13] qui fait l’insertion n’est pas « responsable
du traitement » au sens de l’article 2, sous d), de la directive 95/46/CE.
75
Il convient de répondre à la troisième question préjudicielle que l’article 2,
sous d), de la directive 95/46/CE relative à la protection des personnes
physiques à l’égard du traitement [Or. 21] des données à caractère personnel
et à la libre circulation de ces données doit être interprété en ce sens qu’il
régit exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en
15
AFFAIRE C-40/17-18
cause sur le plan civil d’un tiers qui n’est certes pas « responsable du
traitement » mais est à l’origine du processus de traitement des données sans
avoir d’influence sur celui-ci.
76
Il convient de répondre à la quatrième question préjudicielle que, dans un
contexte comme celui de l’espèce, l’ « intérêt légitime » à prendre en compte
dans la mise en balance à faire au titre de l’article 7, sous f), de la
directive 95/46/CE, est à la fois l’intérêt de celui qui fait l’insertion, du
fournisseur du contenu externe ainsi que les intérêts des visiteurs à la
recherche d’informations sur le site internet de celui qui fait l’insertion.
77
Il convient de répondre à la cinquième question préjudicielle que dans un
contexte comme celui de l’espèce, le consentement visé à l’article 7, sous a), et
à l’article 2, sous h), de la directive 95/46/CE doit être donné au tiers
à l’origine du contenu inséré.
78
Il convient de répondre à la sixième question préjudicielle que l’obligation
d’informer en vertu de l’article 10 de la directive 95/46/CE dans une situation
telle que celle qui se présente en l’espèce pèse non pas sur le gestionnaire du
site qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des
données à caractère personnel fait par un tiers mais sur le tiers lui-même.
(Nebel)
avocat
16