This is an HTML version of an attachment to the Freedom of Information request 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.

link to page 2 link to page 3 link to page 4 link to page 4 link to page 5 link to page 5 link to page 7 link to page 8 link to page 9 link to page 11 link to page 11 link to page 11 link to page 11 link to page 13 link to page 13 link to page 15 link to page 15 link to page 15 link to page 18 link to page 18 link to page 21 link to page 23 link to page 24  
Traduction  
C-40/17 - 19 
Observations écrites 
Affaire C-40/17 * 
Pièce déposée par :  
Facebook Ireland Ltd. 
Nom usuel de l’affaire :  
FASHION ID 
Date de dépôt :  
11 mai 2017 
 
[omissis] 1 [Or. 2]  
PLAN DES OBSERVATIONS 
A. 
Introduction ......................................................................................................................... 2 
B. 
Les faits ............................................................................................................................... 3 
I. 
Les modules sociaux sur l’Internet actuel ...................................................................... 4 
II. 
La fonction de l’adresse IP et de la chaîne de caractères du navigateur ........................ 4 
III.  Le traitement de l’adresse IP et de la chaîne de caractères lié au bouton 
« j’aime » ................................................................................................................................. 5 

C. 
Observations liminaires ....................................................................................................... 7 
D. 
Sur les questions préjudicielles ........................................................................................... 8 
I. 
Sur la réponse à la première question préjudicielle ........................................................ 9 
II. 
Sur la réponse à la deuxième question préjudicielle .................................................... 11 
1. 
Les gestionnaires de sites ne doivent pas être qualifiés de 
responsables du traitement des données, induit par des modules sociaux 
placés sur leurs sites et sur lequel ils ne peuvent avoir aucune influence ......................... 11 
2. 
En ordre subsidiaire : limitation de la responsabilité à la sphère 
d’influence effective ......................................................................................................... 13 
III.  Sur la réponse à la troisième question préjudicielle ..................................................... 15 
1. 
Responsabilité [au titre de la protection des données] et responsabilité 
[au plan civil] uniques du responsable du traitement ........................................................ 15 
2. 
En ordre subsidiaire : les initiatives sont à prendre prioritairement 
envers le responsable du traitement .................................................................................. 18 
IV.  Sur la réponse à la quatrième question préjudicielle ......................................................... 21 
V. 
Sur la réponse à la cinquième question préjudicielle ........................................................ 23 
VI.  Sur la réponse à la sixième question préjudicielle ............................................................ 24 
[Or. 3]  
 
*  Langue de procédure : l’allemand. 
1  
Les  pouvoirs  des  avocats  de  Facebook  Ireland  et  les  attestations  de  leur  habilitation  à  plaider 
devant une juridiction sont jointes en annexe 1. 
FR   

AFFAIRE C-40/17 - 19 
A. 
Introduction 

Facebook  Ireland  a  l’honneur  de  présenter  à  la  Cour  de  justice  de  l’Union 
européenne  (ci-après  la  « Cour »)  ses  observations  écrites  dans  l’affaire  C-40/17 
sur la demande de décision préjudicielle en interprétation de la directive 95/46/CE 
(ci-après  la  « directive ») 2  que  lui  a  adressée  l’Oberlandesgericht  Düsseldorf 
(ci-après l’ « OLG Düsseldorf »). 

La  demande  de  décision  préjudicielle  s’inscrit  dans  un  litige  entre  l’exploitant 
d’une  boutique  de  vêtements  en  ligne  Fashion  ID  et  la  VZNR  une  association 
d’utilité  publique  de  défense  des  intérêts  des  consommateurs  dans  le  Land 
allemand de Rhénanie du Nord  Westphalie sur la licéité de l’insertion sur le site 
de  Fashion  ID  du  bouton  « j’aime »  d’un  module  social  proposé  par  Facebook 
Ireland.  La VZNR affirme  que la transmission de  l’adresse  IP et  de la  chaîne de 
caractères  du  navigateur  de  l’utilisateur  du  site  web  au  serveur  de  Facebook 
Ireland ainsi que l’utilisation de ces données par Facebook Ireland à la faveur de 
la  transmission  du  bouton  « j’aime »  constitue  un  traitement  de  données  à 
caractère personnel et que Fashion ID est le responsable du traitement des données 
au  sens  de  l’article 2,  sous  d),  de  la  directive.  D’après  la  VZNR,  Fashion  ID 
enfreint  en  tant  que  responsable  la  législation  allemande  sur  la  protection  des 
données  en  particulier  parce  qu’elle  ne  recueille  pas  le  consentement  valable  de 
l’utilisateur  au  traitement  de  l’adresse  IP  et  de  la  chaîne  de  caractères  du 
navigateur  et  informe insuffisamment ou tardivement du traitement des  données. 
Dans son action, la VZNR sollicite en substance d’interdire à Fashion ID d’insérer 
le bouton « j’aime » tant qu’elle n’aura pas régulièrement informé les utilisateurs 
de  son  site  web  et  recueilli  leur  consentement  avant  que  Facebook  Ireland  traite 
ces données. Facebook Ireland étant le seul à déterminer le traitement de l’adresse 
IP  et  de  la  chaîne  de  caractères  du  navigateur  à  la  faveur  de  la  transmission  du 
bouton « j’aime » et le seul organisme à avoir accès à ces données, il est intervenu 
dans l’instance au soutien de Fashion ID. 

Facebook  attache  une  grande  importance  aux  principes  de  la  vie  privée  et  de  la 
protection  des  données  en  tant  qu’ils  sont  protégés  par  les  articles 7  et  8  de  la 
charte  des  droits  fondamentaux  de  l’Union  européenne  (ci-après  la  « Charte »). 
Facebook  Ireland  est  depuis  2010  le  siège  central  de  Facebook  en  dehors  des 
États-Unis.  C’est  de  là  qu’il  gère  les  activités  de  Facebook  dans  l’Union 
européenne et il est [Or. 4] responsable de l’ensemble du traitement des données à 
caractère  personnel  des  citoyens  de  l’Union.  Depuis  lors,  Facebook  détermine  et 
contrôle  ses  traitements  de  données  européennes  expressément  depuis  un  États 
membre  de  l’Union  européenne,  à  savoir  l’Irlande,  et  relève  de  ce  fait 
incontestablement  du  champ  d’application  du  droit  de  l’Union  (à  savoir  de  la 
directive  et  de  la  législation  irlandaise  qui  l’a  transposée).  Facebook  Ireland  a 
assumé l’entière responsabilité au titre du droit à la protection des données et s’est 
soumis  au  contrôle  très  strict  d’une  autorité  indépendante  de  protection  des 
 
2  
Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des 
données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31) 

 

FASHION ID 
données,  le  Data  Protection  Commissioner  (ci-après  le  « Commissioner ») 
irlandais. Facebook Ireland endosse en particulier cette responsabilité à l’égard de 
toutes  les  opérations  de  traitement  de  données  liées  à  des  modules  sociaux 
proposés,  c’est-à-dire  également  au  bouton  « j’aime »  qu’il  offre  en 
téléchargement sur les pages « Facebook for Developers » pour être inséré par des 
gestionnaires de sites. Facebook Ireland conçoit tout traitement de données induit 
par  l’utilisation  d’un  tel  module  social  dans  le  respect  de  la  réglementation 
européenne  de  la  protection  des  données.  Dans  ce  contexte,  Facebook  attend  à 
l’inverse que lui-même  ainsi que tous  les utilisateurs de Facebook et  les  milliers 
de petits et gros gestionnaires de sites, qui insèrent le module social de Facebook 
dans  l’Union  européenne  (par  exemple  Fashion  ID)  bénéficient  pleinement  du 
droit  à  la  libre  circulation  des  données,  de  la  liberté  fondamentale  protégée  par 
l’article 56 TFUE d’offrir et de recevoir des prestations Internet, ainsi que de leurs 
droits  fondamentaux,  par  exemple  de  la  liberté  d’entreprise  protégée  par 
l’article 16  de  la  Charte,  sans  être  inconsidérément  entravés  par  des  actions 
judiciaires démesurées et incohérentes introduites au titre du  régime  équilibré du 
droit à la protection des données de la directive. 
B. 
Les faits 

Facebook Ireland souhaite faire les observations liminaires suivantes sur les faits : 
–  Premièrement,  il  ressort  de  la  demande  de  la  VZNR 3  que  l’affaire  concerne 
exclusivement le traitement par Facebook Ireland de l’adresse IP et de la chaîne 
de  caractères  du  navigateur  d’un  utilisateur,  traitement  lié  à  la  transmission 
[Or. 5]  du  bouton  « j’aime »  sur  le  site  web  de  Fashion  ID.  L’affaire  ne 
concerne pas le traitement d’autres données 4 
–  Deuxièmement,  le  gestionnaire  du  site  (ici  Fashion  ID)  qui  installe  le  bouton 
« j’aime » n’a aucun regard ni accès sur les informations qui sont directement 
transmises de l’utilisateur à  Facebook  Ireland du  fait de la  fonction habituelle 
du  bouton  « j’aime »  (ou  de  tout  module  social  d’un  fournisseur  externe).  Le 
gestionnaire  du  site  ne  peut  en  aucune  manière  influer  sur  ce  traitement  de 
données. 

Cela  étant  dit,  la  décision  de  renvoi  expose  en  principe  les  choses  de  manière 
exacte.  Pour  permettre  à  la  Cour  de  statuer  en  pleine  connaissance  de  cause, 
Facebook Ireland se permet cependant de compléter les faits comme suit : 
 
3  
Point 1 de la décision de renvoi. 
4  
La demande de la VZNR ne concerne en particulier pas le traitement d’informations tirées de 
cookies que Facebook Ireland (ou un site web coopératif) a placé sur le navigateur d’utilisateurs 
auparavant par exemple à la faveur de l’inscription sur Facebook ou de la première visite du site 
de Facebook. Voir à ce sujet le point 13.  


AFFAIRE C-40/17 - 19 
I. 
Les modules sociaux sur l’Internet actuel 

Les  modèles  sociaux  tel  le  bouton  « j’aime »  qui  fait  l’objet  de  la  présente 
procédure,  sont  des  éléments  d’information  et  d’interaction  qui  se  trouvent  sur 
pratiquement  tous  les  sites  de  l’Internet  actuel  (le  « Web  2.0 »).  Des  exemples 
typiques  sont  les  photos,  vidéos  (par  exemple  les  vidéos  sur  You  Tube)  et  les 
cartes  géographiques  (par  exemples  les  cartes  sur  Google  Maps).  Les  modules 
sociaux peuvent cependant être utilisés de nombreuses autres manières 5. 

Les modules sociaux ne sont normalement pas élaborés par le gestionnaire du site 
sur  lequel  ils  apparaissent  à  l’utilisateur.  C’est  plutôt  un  tiers  (ci-après  le 
« fournisseur du module social ») qui offre aux gestionnaires de sites la possibilité 
d’ajouter  (on  dit  inséré)  ces  éléments  pré-élaborés  sur  leurs  sites  web  lorsqu’un 
utilisateur y accède. À cet effet, le gestionnaire du site insère en règle général le 
module social dans des « inline frames » (ou « iframes ») [Or. 6] à l’intérieur des 
codes de son site web. L’iframe définit une surface déterminée sur la page du site 
qui  n’est  pas  gérée  par  le  gestionnaire  du  site  lui-même  mais  par  chacun  des 
fournisseurs de modules sociaux. Lorsqu’un utilisateur consulte les pages web du 
gestionnaire,  son  navigateur  établit  une  connexion  avec  les  serveurs  du 
gestionnaire  du  site  pour  charger  les  pages  web  en  question.  En  parallèle,  des 
connexions distinctes sont établies directement avec les serveurs des fournisseurs 
de  l’ensemble  des  modules  sociaux  insérés  sur  la  page  web  en  sorte  que  ces 
éléments puissent être directement chargés de là-bas. Le navigateur de l’utilisateur 
arrange tous ces éléments et les présente conjointement. 
II. 
La fonction de l’adresse IP et de la chaîne de caractères du navigateur 

Lorsqu’un  utilisateur  consulte  une  page  web  sur  l’Internet,  son  navigateur 
demande au serveur du site web d’envoyer ce qu’il est convenu d’appeler le code 
HTLM  de  ces  pages  web.  À  cet  effet,  le  navigateur  transmet  toujours  certaines 
informations  techniques  nécessaires  à  la  communication  entre  le  navigateur  et  le 
serveur. Cette opération est appelée demande http. C’est le protocole standard sur 
lequel l’Internet est basé. 
 
5  
Ces  modules  enrichissent  fondamentalement  les  consultations  en  ligne  de  l’utilisateur  et  ont 
considérablement  contribué  au  développement  vertigineux  de  l’Internet  ces  dix  dernières 
années.  Le  grand  avantage  des  modules  sociaux  pour  les  gestionnaires  de  site  est  de  pouvoir 
insérer sur leur site web des éléments actuels, dynamiques et de grande qualité qu’ils ne doivent 
pas  développer  ni  entretenir  eux-mêmes.  De  nombreux  modules  sociaux  se  basent  sur  des 
quantités importantes de données et des logiciels complexes ou permettent d’interagir avec des 
réseaux  existants  (en  particulier  des  réseaux  sociaux  tels  Twitter,  Google  +,  LinkedIn,  Xing, 
Pinterest  ou  Facebook),  auxquels  les  gestionnaires  de  site  n’auraient  normalement  pas  accès. 
Même  si  des  gestionnaires  de  site  peuvent  théoriquement  créer  la  fonctionnalité  de  certains 
modules sociaux, ils ne peuvent pas le faire en temps réel ou en temps quasi réel. Les ressources 
redondantes  nécessaires  seraient  normalement  hautement  anti  économiques  et  macro 
économiquement  inefficaces  pour  les  gestionnaires  de  site.  Les  modules  sociaux  contribuent 
ainsi  fondamentalement  à  diffuser  largement  des  pages  de  grande  qualité  offertes  aux 
utilisateurs.  

 

FASHION ID 

Une  des  informations  transmises  comme  partie  de  cette  demande  standardisée 
http, est l’adresse IP de l’utilisateur. Une adresse IP est un numéro individuel que 
chaque  appareil  particulier  relié  à  l’Internet  (par  exemple  un  ordinateur,  une 
tablette  ou  un  smartphone,  et  non  pas  une  personne,  un  particulier)  se  voit 
automatiquement  attribuer  par  le  fournisseur  d’accès  à  l’Internet  de  l’utilisateur. 
En  principe,  les  adresses  IP  attribuées  sont  « dynamiques »,  c’est-à-dire  qu’elles 
ne sont attribuées à un appareil que pour le temps d’une utilisation de l’Internet et 
changent à nouveau à la visite suivante sur l’Internet. À l’instar d’un code postal, 
l’adresse IP identifie le destinataire de lots de données qui sont envoyés dans les 
réseaux numériques, pour permettre de mettre les données à la disposition du bon 
appareil. Le navigateur de l’utilisateur ne pourrait pas fonctionner sans révéler son 
adresse IP dans la demande http : le serveur qui reçoit la demande ne saurait pas 
où il doit envoyer  le code HTML et  le serveur ne pourrait pas charger les pages 
web indiquées ni les éventuels modules sociaux y insérés. 
10  Une  autre  information  qui  est  communiquée  dans  ce  processus  est  la  chaîne  de 
caractères  du  navigateur.  Celle-ci  comporte  des  informations  techniques 
fondamentales  sur  le  navigateur  de  l’utilisateur  (par  exemple  la  version  de  son 
logiciel) pour permettre aux serveurs sollicités de [Or. 7] préparer le contenu sous 
la  forme  la  plus  adaptée  au  navigateur  (par  exemple  pour  le  navigateur  d’un 
appareil  mobile,  une  version  adaptée  aux  petits  écrans).  Les  utilisateurs  ont  la 
possibilité  de  définir  dans  les  réglages  de  leur  navigateur  que  la  chaîne  de 
caractères  ne  soit  pas  transmise.  Dans  ce  cas,  les  contenus  web  sont  mis  à 
disposition dans une version de base qui fonctionne sur la plupart des navigateurs. 
Lorsque l’utilisateur a réglé son navigateur de telle manière qu’il envoie la chaîne 
de caractères, le site web sollicité ou un fournisseur de module social ne peut pas 
décider de ne pas recevoir ces données. 
III.  Le traitement de l’adresse IP et de la chaîne de caractères lié au bouton 
« j’aime » 
11  Le bouton « j’aime » est un module social que Facebook Ireland met gratuitement 
à  la  disposition  de  gestionnaires  de  sites  web  (avec  d’autres  modules  sociaux) 6. 
La  finalité  du  bouton  « j’aime »  est  de  permettre  aux  visiteurs  d’un  site  web 
disposant  également  d’un  compte  Facebook,  d’interagir  de  manière  personnelle 
avec le contenu de ce site web. Ils peuvent en particulier voir si leurs amis inscrits 
à  Facebook  ont  « aimé »  le  contenu  du  site  web.  Ils  peuvent  aussi  publier  le 
contenu  directement  du  site  web  sur  leur  compte  Facebook  et  le  partager  avec 
leurs amis.  
 
6  
Les  gestionnaires  de  site  ont  uniquement  la  possibilité  d’insérer  le  bouton  « j’aime »  de  la 
manière et sous la forme sous lesquelles Facebook Ireland le met à leur disposition. Ils peuvent 
choisir  dans  une  certaine  mesure  comment  il  sera  signalé  sur  leur  page  web  sans  pouvoir 
cependant modifier ou travailler sa configuration technique ni la transmission de données qu’il 
déclenche.  


AFFAIRE C-40/17 - 19 
12  À l’instar de tous les autres contenus web, un bouton « j’aime » inséré sur un site 
web déclenche à la visite du site une demande http du navigateur aux serveurs de 
Facebook  Ireland  pour  afficher  le  bouton  « j’aime ».  Comme  nous  l’avons 
expliqué,  ce  protocole  standard  implique  la  transmission  de  l’adresse  IP 7  de 
l’utilisateur et la chaîne de caractères (ainsi que d’autres informations techniques 
standard,  la  date  et  l’heure  de  la  demande).  Cette  communication  se  fait 
directement  entre  le  navigateur  de  l’utilisateur  et  Facebook  Ireland.  Le 
gestionnaire du site sur lequel est inséré le bouton « j’aime » n’a aucun contrôle ni 
regard sur cette transmission parallèle de données techniques. [Or. 8]  
13  La  finalité  principale  du  bouton  « j’aime »  étant  d’offrir  aux  utilisateurs  inscrits 
séparément à Facebook  une utilisation personnelle par le bouton  « j’aime » il est 
nécessaire  que  Facebook  Ireland  puisse  déterminer  si  i)  l’utilisateur  concerné  a 
également  un  compte  Facebook  (et  est  précisément  inscrit ;  dans  ce  cas 
l’utilisateur  peut  voir  mis  à  sa  disposition  une  version  personnalisée  du  bouton 
« j’aime »  comportant  des  informations  pertinentes  sur  son  compte  personnalisé) 
ou ii) l’utilisateur n’a pas de compte Facebook (dans ce cas une version générale 
du  bouton  « j’aime »  s’affiche) 8.  Facebook  Ireland  y  parvient  en  utilisant  des 
« cookies ».  Le  cookie  est  un  petit  fichier  texte  déposé  sur  le  navigateur  d’un 
utilisateur 9  comportant  certaines  informations  techniques.  Lorsqu’un  utilisateur 
visite  un  site  web  qui  a  un  bouton  « j’aime »,  Facebook  Ireland  n’utilise  pas  le 
bouton « j’aime » pour placer ces cookies sur le navigateur de l’utilisateur à moins 
que  l’utilisateur  décide  consciemment  de  cliquer  sur  le  bouton  « j’aime »  pour 
interagir avec Facebook. Les traitements de données liés à ces cookies ne font pas 
l’objet de la présente procédure. 
14  Le traitement de données induit par le bouton « j’aime » a été examiné par l’IDPC 
qui n’y a vu aucune objection. 
 
7  
Indépendamment du fait que l’adresse IP identifie uniquement un appareil déterminé et non pas 
une  personne,  Facebook  Ireland  utilise  l’adresse  IP  d’utilisateurs  allemands  qui  ne  font  que 
l’objet de l’affaire portée devant l’OLG Düsseldorf, non seulement uniquement pour la livraison 
technique  du  bouton  « j’aime »  mais  l’anonymise  complètement.  Immédiatement  après  la 
livraison  du  bouton  « j’aime »,  Facebook  Ireland  convertit  les  adresses  IP  des  utilisateurs 
allemands en une adresse IP générique identique pour tous les utilisateurs allemands.  
8  
Pour des raisons de sécurité il est également nécessaire que Facebook Ireland puisse déterminer 
si l’utilisateur a visité auparavant le domaine www.facebook.com même s’il n’est pas inscrit à 
Facebook.  
9  
En déterminant si des navigateurs d’utilisateurs comportent des cookies placés auparavant par 
Facebook  Ireland  (par  exemple  lorsque  ces  utilisateurs  se  sont  inscrits  avec  leur  compte 
Facebook sur www.facebook.com et ont accepté à cette occasion les conditions d’utilisation et 
la  Politique  d’utilisation  des  données  de  Facebook),  Facebook  Ireland  peut  déterminer  les 
utilisateurs concernés et mettre les bonnes informations à leur disposition. Lorsque, à l’inverse, 
le  navigateur  de  l’utilisateur  ne  contient  aucun  cookie,  Facebook  Ireland  ne  peut  mettre  à  sa 
disposition  qu’une  version  générale  du  bouton  « j’aime »  et  n’a  aucun  moyen  d’identifier  les 
utilisateurs.  

 

FASHION ID 
 C. 
Observations liminaires 
15  Avant de répondre aux questions posées par l’OLG Düsseldorf, Facebook Ireland 
souhaite faire trois observations liminaires : 
16  Premièrement,  Facebook  Ireland  a  exposé  au  juge  national  ne  pas  partager 
l’analyse  de  l’OLG  Düsseldorf 10  voulant  que  l’adresse  IP  soit  une  donnée  à 
caractère  personnel  au  sens  de  l’arrêt  Breyer  de  la  Cour 11.  L’OLG  Düsseldorf 
n’ayant  pas  [Or. 9]  posé  cette  question  à  la  Cour,  Facebook  Ireland  renonce  à 
développer une nouvelle fois sa position. 
17  Deuxièmement,  Facebook  Ireland  souhaite  souligner  d’emblée  à  ce  stade  que,  si 
l’on devait qualifier le traitement de l’adresse IP et de la chaîne de caractères de 
données  à caractère personnel,  ce traitement  serait en tout cas  justifié  au  titre de 
l’article 7, sous f), de la directive par l’objectif de garantir le bon fonctionnement 
de  modules  sociaux  du  fournisseur  externe.  C’est  un  intérêt  légitime  tant  du 
fournisseur  du  module  social  que  du  gestionnaire  du  site  ainsi  que  de  ses 
utilisateurs 12. Sans le traitement de l’adresse IP de l’utilisateur et de la chaîne de 
caractères, un site web ne pourrait signaler à aucun utilisateur des contenus avec le 
module social d’un fournisseur externe. 
18  Troisièmement,  Facebook  Ireland  relève  que  le  régime  harmonisé  de  protection 
des  données  introduit  par  la  directive  vise  à  établir  un  équilibre  adéquat  entre  la 
protection  du  droit  fondamental  à  la  vie  privée  et  à  la  protection  des  données  à 
caractère personnel conformément aux articles 7 et 8 de la Charte et l’intérêt des 
fournisseurs  de  services  Internet  et  leurs  utilisateurs  à  la  libre  circulation  des 
données et des prestations, d’autres droits fondamentaux et libertés fondamentales 
telle le liberté d’entreprise des fournisseurs de services Internet et leurs utilisateurs 
commerciaux,  tel  Fashion  ID,  garantie  par  l’article 16  de  la  Charte,  les  droits 
fondamentaux des utilisateurs d’Internet ainsi que des principes généraux du droit 
de l’Union tel le principe de proportionnalité 13. 
19  Cet  équilibre  adéquat  voulu  par  les  dispositions  de  protection  des  données  de  la 
directive  ne  devrait  pas  pouvoir  être  miné  par  une  mesure  nationale  s’inscrivant 
dans  le  champ  d’application  de  la  directive  ou  en  dehors.  De  plus,  une 
interprétation  de  la  directive  prenant  en  compte  tous  les  intérêts  légitimes 
 
10  
Point 10 de la décision de renvoi.  
11  
Arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779. 
12  
Voir sur ce point en détail plus bas, les points 60 et suivants.  
13  
Arrêts  du  6 novembre  2003,  Lindqvist,  C-101/01,  EU:C:2003:596,  points 87  et  97 ;  du  9 mars 
2010,  Commission/Allemagne,  C-518/07,  EU:C:2010:125,  point 24 ;  du  8 avril  2014, 
Commission/Hongrie,  C-288/12,  EU:C:2014:237,  point 51 ;  du  6 octobre  2015,  Schrems, 
C-362/14,  EU:C:2015:650,  point 42 ;  ainsi  que,  par  analogie,  du  29 janvier  2008,  Promusicae, 
C-275/06,  EU:C:2008:54,  point 68 ;  et  du  27 mars  2014,  UPC  Telekabel  Wien,  C-314/12, 
EU:C:2014:192, point 46. 


AFFAIRE C-40/17 - 19 
concernés,  en  particulier  les  intérêts  des  fournisseurs  de  prestations  Internet  et 
leurs  utilisateurs  européens,  à  offrir  et  recevoir  des  services  de  haute  qualité 
répondant  aux  normes  modernes,  doit  recevoir  autant  de  place  possible  pour  des 
solutions  souples  et  pratiques  et  des  évolutions  éventuelles  dans  l’avenir.  Les 
obligations des fournisseurs de prestations Internet [Or. 10] ne devraient pas être 
plus  strictes  que  nécessaire  pour  garantir  une  protection  élevée  et  effective  des 
données des utilisateurs traitées dans un objectif spécifique.  
20  Globalement  Facebook  Ireland  estime  que  les  demandes  de  la  VZNRW  et  les 
questions de l’OLG Düsseldorf montrent clairement qu’une approche exagérée du 
risque peut facilement conduire, dans le contexte du régime européen du droit à la 
protection des données, à des résultats inadéquats. La Cour pourrait se demander : 
la directive protège-t-elle, comme la VZBV le prétend, contre un risque purement 
abstrait  d’atteinte  aux  droits  à  la  protection  des  données  ou  protège-t-elle 
seulement  contre  des  empiètements  réels,  effectifs  ou  à  tout  le  moins  probables 
sur ces droits ? Concrètement : sous l’angle du droit à la protection des données, 
est-il véritablement  nécessaire, comme  la  VZBV le prétend, que, dans un cas où 
un utilisateur consulte délibérément une page web déterminée sur Internet, chaque 
fournisseur de contenus de module social sur cette page web (qui peuvent être très 
nombreux)  ou  le  gestionnaire  du  site  lui-même  soient  tenus  de  fournir  des 
informations  complètes  sur  le  traitement  de  l’adresse  IP  de  l’utilisateur  et  de  sa 
chaine de caractères aux seules fins d’afficher l’intégralité du contenu du site et de 
recueillir le consentement à ce traitement ? Facebook Ireland estime que non. 
21  Facebook  Ireland  est  convaincu  que,  dans  sa  réponse  aux  questions  de  l’OLG 
Düsseldorf,  la  Cour  précisera  et  développera  un  régime  uniforme  et  efficace  de 
protection des données dans le champ  d’application de la directive,  tel le régime 
établi par le nouveau règlement général sur la protection des données 14 (ci-après 
le « RGPD »), qui sert dans une mesure identique les différents intérêts légitimes 
concernés  tant  des  citoyens  de  l’Union  que  des  fournisseurs  de  prestations 
Internet. 
D. 
Sur les questions préjudicielles 
22  Sur  la  base  des  faits  qui  précèdent  et  des  principes  généraux  exposés,  Facebook 
Ireland  sollicite  la  Cour  de  répondre  comme  suit  aux  questions  préjudicielles : 
[Or. 11]  
 
14  
Règlement  (UE)  2016/679  du  Parlement  européen  et  du  Conseil  du  27 avril  2016  relatif  à  la 
protection des personnes physiques à l’égard du traitement des données à caractère personnel et 
à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur 
la protection des données) (JO 2016, L 119, p. 1).  

 

FASHION ID 
I. 
Sur la réponse à la première question préjudicielle 
23  Par  sa  première  question,  l’OLG  Düsseldorf  souhaite  savoir  en  substance  si,  en 
marge  des  droits  des  personnes,  énoncés  au  chapitre  III  de  la  directive,  d’agir 
contre  des  atteintes  à  la  protection  des  données,  les  articles 22,  23  et  24  de  la 
directive  permettent  uniquement  aux  États  membres  d’habiliter  en  outre  des 
autorités [de contrôle] de [la] protection des données au sens de l’article 28 à agir 
contre des atteintes éventuelles à la protection des données ou s’ils leur permettent 
également  d’habiliter  des  associations  d’utilité  publique  à  agir  en  justice  pour 
défendre les intérêts des consommateurs. 
24  L’OLG  Düsseldorf  indique  que  l’article 80,  paragraphe 2,  du  RGPD  permet 
expressément  aux  États membres  d’habiliter  des  associations  d’utilité  publique  à 
agir  pour  les  personnes  concernées  contre  des  atteintes  à  la  protection  des 
données. Dans ce contexte, l’OLG Düsseldorf estime ne pas apercevoir en quoi la 
directive s’opposerait à un tel droit 15.  
25  Facebook  Ireland  estime  que,  contrairement  à  ce  pense  l’OLG Düsseldorf,  des 
indices clairs montrent qu’un droit des associations d’utilité publique d’agir pour 
les  personnes  concernées  contre  des  atteintes  à  la  protection  des  données  est 
inconciliable  avec  la  directive.  Cela  ressort  des  termes,  de  la  finalité  et  de 
l’économie de la directive. 
26  Premièrement,  aux  termes  des  dispositions  pertinentes  du  chapitre  III,  seuls  des 
particuliers  concernés  sont  habilités  à  exercer  des  droits  par  voie  d’action  civile. 
L’article 22 de la directive dispose expressément que les États membres prévoient 
que « toute personne » dispose d’un recours juridictionnel. De plus, aux termes de 
l’article 23 de la directive, seule la « personne ayant subi un dommage » a le droit 
d’obtenir réparation du préjudice subi. 
27  Deuxièmement, cette interprétation est corroborée par les objectifs généraux de la 
directive. Pour garantir un niveau de protection élevé effectif, global et équivalent 
dans tous les États membres, des droits fondamentaux significatifs à la vie privée 
et  à la protection des  [Or. 12] données à caractère personnel 16  ainsi que la libre 
circulation  des données  entre les États  membres  et,  de ce fait, le fonctionnement 
du marché intérieur au titre de l’article 26, paragraphe 2, TFUE 17, la directive met 
 
15  
Point 12 de la décision de renvoi. 
16  
Arrêts  des  6 novembre  2003,  Lindqvist,  C-101/01,  EU:C:2003:596,  point 95 ;  24 novembre 
2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 et C-469/10, 
EU:C:2011:777,  point 28 ;  8 avril  2014,  Digital  Rights  Ireland  e.a.,  C-293/12  et  C-594/12, 
EU:C:2014:238, 
point 53 ; 
13 mai 
2014, 
Google 
Spain 
et 
Google, 
C-131/12, 
EU:C:2014:317,points 53,  66  et  74 ;  ainsi  que  du  6 octobre  2015,  Schrems,  C-362/14, 
EU:C:2015:650,  point 39 ;  conclusions  de  l’avocat  général  Saugmandsgaard  Øe  dans  l’affaire 
Verein für Konsumenteninformation, C-191/15, EU:C:2016:388, point 109. 
17  
Voir notamment arrêts des 20 mai 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 et 
C-139/01,  EU:C:2003:294,  points 39  et  70 ;  6 novembre  2003,  Lindqvist,  C-101/01, 


AFFAIRE C-40/17 - 19 
en place une harmonisation des dispositions nationales relatives à la protection des 
données  qui  ne  se  limite  pas  à  une  harmonisation  minimale  mais  aboutit  à  une 
pleine  harmonisation  qui  est,  en  principe,  complète 18.  Le  régime  harmonisé  des 
actions  judiciaires  prévues  par  la  directive  est  un  volet  essentiel  de  l’équilibre 
recherché par la directive entre la protection effective des droits fondamentaux des 
particuliers  à  la  vie  privée  et  l’intérêt  légitime  des  particuliers  et  des  opérateurs 
économiques à la libre circulation des données et à la libre prestation de services 
dans  l’Union 19.  À  cet  effet,  la  directive  a  mis  en  œuvre  un  régime  d’actions 
judiciaires dans lequel les actions propres au droit à la protection des données sont 
l’apanage  (a)  des  personnes  concernées  (chapitre  III,  articles 22  et  23  de  la 
directive) et (b) des autorités de contrôle de la protection des données (article 28 
de la directive). 
28  Troisièmement,  la  directive  vise  également  le  rôle  que  des  associations, 
représentant  les  personnes  concernées,  sont  appelées  à  remplir  dans  ce  régime 
d’actions  judiciaires.  L’article 28,  paragraphe 4,  de  la  directive  prévoit  que  ces 
associations  peuvent  adresser  aux  autorités  de  contrôle  de  la  protection  des 
données  des  demandes  pour  une  personne  concernée.  Celles-ci  doivent  y  donner 
suite. Dans  la  directive  adoptée,  le  législateur  de  l’Union  a  ainsi  prévu  un  rôle 
clair  pour  les  associations,  sans  les  habiliter  à  agir  en  justice  au-delà  du  simple 
droit d’adresser une demande.  
29  Globalement, la directive n’habilite pas les associations d’utilité publique à agir en 
justice pour exercer en nom propre des actions pour les consommateurs contre les 
auteurs éventuels d’une atteinte au droit à la protection des données. La directive 
n’habilite pas non plus les États membres à accorder spontanément ce droit d’agir 
en justice. Si ce droit n’a été introduit que dans le RGPD, il s’agit [Or. 13] d’une 
nouveauté. Si les États membres pouvaient déjà conférer ce droit alors qu’il n’était 
pas  expressément  prévu  dans  la  directive,  il  n’y  aurait  eu  aucune  raison  de 
reprendre cette formule dans le RGPD.  
30  Facebook  Ireland  estime  dès  lors  qu’une  extension  spontanée  des  facultés 
d’intervention au niveau national romprait l’équilibre que le législateur de l’Union 
a créé dans le régime des actions judiciaires mis en place dans la directive. Cela 
serait inconciliable avec la directive. 
31  Facebook  Ireland  propose  dès  lors  de  répondre  à  la  première  question  comme 
suit : 
 
EU:C:2003:596,  point 96 ;  ainsi  que  du  9 mars  2010,  Commission/Allemagne,  C-518/07, 
EU:C:2010:125, point 20. 
18  
Arrêt  du  6 novembre  2003,  Lindqvist,  C-101/01,  EU:C:2003:596,  point 96 ;  ainsi  que  du 
24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 
et C-469/10, EU:C:2011:777, point 29.  
19  
Voir arrêt du 6 octobre 2015, Schrems, C-362/14, EU:C:2015:650, points 40 et 41.  
10 
 

FASHION ID 
Les articles 22, 23 et 24 de la directive 95/46/CE doivent être interprétés 
en  ce  sens  qu’ils  s’opposent  à  une  réglementation  nationale  qui,  en 
marge  des  pouvoirs  d’intervention  des  autorités  de  protection  des 
données  visés  à  l’article 28  de  la  directive  95/46/CE  et  des  recours 
juridictionnels [actions en justice] que les articles 22 et 23 de la directive 
95/46/CE ouvrent à la personne concernée, habilite, dans les atteintes au 
droit à la protection des données, des associations d’utilité publique de 
défense  des  intérêts  des  consommateurs  à  agir  contre  l’auteur  d’une 
atteinte avec ou sans mandat de la personne concernée.  

II. 
Sur la réponse à la deuxième question préjudicielle 
32  Par  sa  deuxième  question,  l’OLG  Düsseldorf  souhaite  savoir  en  substance  si  les 
gestionnaires de sites qui insèrent dans leur site un module social qui déclenche un 
traitement de données à caractère personnel sur lequel ils ne peuvent avoir aucune 
influence doivent être qualifiés de (co)responsables du traitement des données au 
sens de l’article 2, sous d), de la directive. 
33  Facebook Ireland estime que tel n’est pas le cas. 
1. 
Les  gestionnaires  de  sites  ne  doivent  pas  être  qualifiés  de  responsables 
du  traitement  des  données,  induit  par  des  modules  sociaux  placés  sur 
leurs sites et sur lequel ils ne peuvent avoir aucune influence
 
34  Facebook Ireland estime que les gestionnaires de sites ne doivent pas être qualifiés 
de responsables du traitement des données, induit par des modules sociaux placés 
sur leurs sites et sur lequel ils ne peuvent avoir aucune influence. Cela découle des 
[Or. 14] termes de l’article 2, sous d), de la directive et du type de contrôle conçu 
par la directive.  
35  Aux  termes  de  l’article 2,  sous  d),  de  la  directive,  la  personne  responsable  du 
traitement  des  données  est  celle  qui  « seul[e]  ou  conjointement  avec  d’autres, 
détermine  les  finalités  et  les  moyens  du  traitement  de  données  à  caractère 
personnel ».  Cette  définition  établit  un  type  de  contrôle  fonctionnel.  Ce  type 
fonctionnel  vise  à  imputer  les  responsabilités  aux  personnes  qui  exercent  une 
influence de fait, et elle repose par conséquent sur une analyse factuelle plutôt que 
formelle 20.  La  personne  responsable  du  traitement  des  données  est  donc,  pour 
reprendre les termes de la Commission « responsable en dernier ressort des choix 
qui président à la conception et au fonctionnement du traitement réalisé » 21 C’est 
pour  cette  raison  fonctionnelle  que  le  responsable  du  traitement  des  données 
 
20  
Groupe  de  travail  « article 29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010, p. 12.  
21  
Voir  Commission,  Proposition  modifiée  de  directive  du  Conseil  relative  à  la  protection  des 
personnes  physiques  à  l’  égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation de ces données COM (92) 422 final, p. 10.  
11 

AFFAIRE C-40/17 - 19 
endosse au titre de la directive des obligations et responsabilités très vastes. Il doit 
notamment garantir la conformité du traitement des données aux principes définis 
à l’article 6, paragraphe 1, de la directive (voir l’article 6, paragraphe 2) ; il répond 
du respect des droits des personnes concernées de recevoir des informations et des 
renseignements,  de  procéder  à  la  rectification,  à  l’effacement  ou  au  verrouillage 
des  données  ainsi  que  de  leur  droit  de  s’opposer  au  traitement  de  données  à 
caractère  personnel  (articles 10  à  12  et  article 14) ;  il  est  le  destinataire  des 
dispositions relatives à la notification et au contrôle préalable (articles 18 à 21) ; il 
doit  assurer  un  niveau  de  sécurité  approprié  des  traitements  (article 17)  et  il  doit 
répondre des dommages nés d’un traitement illicite (article 23). 
36  Facebook  Ireland  estime  que,  dans  ce  type  aussi  vaste  de  responsabilité,  cette 
responsabilité ne devrait pas être imputée à une personne qui structurellement déjà 
ne  peut  pas  s’acquitter  des  vastes  obligations  que  ce  rôle  comporte,  tant  qu’une 
personne, comme Facebook Ireland en l’occurrence, endosse la responsabilité du 
traitement des données. Une personne n’est en mesure de respecter les différentes 
obligations et  responsabilités imputées au responsable du traitement  des  données 
que  si  elle  est  en  mesure  d’exercer  effectivement  un  contrôle  sur  [Or. 15]  le 
pourquoi  et  le  comment  d’un  traitement  de  données  à  caractère  personnel.  Ce 
contrôle est exercé soit parce que la personne accomplit elle-même ce traitement 
des  données  soit  parce  qu’elle  est  en  mesure  de  contrôler  complètement  la 
personne qui accomplit le traitement des données en sous-traitance. Il ne suffit pas 
simplement  d’être  en  position  de  permettre  à  une  autre  personne  de  traiter  des 
données.  Une  telle  position  ne  donne  pas  à  elle  seule  à  une  personne  les 
informations  ou  l’influence  nécessaires  pour  respecter  les  obligations  et 
responsabilités  d’un  responsable  du  traitement  des  données.  La  situation  est 
comparable  à  celle  d’un  exploitant  d’un  centre  commercial.  À  l’instar  d’une 
gestionnaire  de  site,  l’exploitant  d’un  centre  commercial  donne  en  location  des 
surfaces dans son centre commercial à des propriétaires de fonds de commerce qui 
établissent des liens propres indépendants avec des clients. Personne ne songerait 
que  l’exploitant  du  centre  commercial  soit  « responsable  du  traitement »  pour  le 
traitement  de  données  lié  à  l’émission  de  cartes  de  fidélité  des  clients  par  les 
propriétaires  des  fonds  de  commerce.  Tout  comme  le  gestionnaire  du  site  qui 
insère un module social, l’exploitant d’un centre commercial se borne dans ce cas 
à  mettre  à  disposition  les  locaux  dans  lesquels  le  propriétaire  du  fonds  de 
commerce  (ou  le  fournisseur  du  module  social)  peut  établir  un  lien  direct  et 
particulier avec l’utilisateur final. 
37  D’après ces principes, le gestionnaire d’un site, tel Fashion ID, ne devrait pas être 
qualifié de responsable du traitement des données pour le traitement d’une adresse 
IP et d’une chaîne de caractères (par un tiers) aux fins de configurer des contenus 
de modules sociaux. Il est exact que Fashion ID et d’autres gestionnaires de sites 
qui  insèrent  des  modules  sociaux  décident  d’insérer  chaque  contenu  du  module 
social  et  créent  ainsi  la  possibilité  d’une  transmission  directe  de  l’adresse  IP  du 
navigateur  de  la  personne  concernée  au  serveur  du  fournisseur  du  contenu  du 
12 
 

FASHION ID 
module social. Cependant, ainsi que l’OLG Düsseldorf l’expose à juste titre 22, le 
gestionnaire  du  site  qui  insère  des  contenus  de  module  sociaux,  ne  peut  avoir 
aucune influence sur les données telles que l’adresse IP ou la chaine de caractères 
du navigateur (et probablement d’autres données) qui sont directement transmises 
du navigateur de l’utilisateur au fournisseur du module social ni sur le traitement 
de  ces  données  par  le  fournisseur  du  module  social.  Il  ne  peut  en  particulier  pas 
déterminer si et comment les données sont stockées et analysées. [Or. 16]  
38  Ce résultat est nécessaire pour créer un équilibre adéquat entre les différents droits 
et  intérêts  à  prendre  en  compte  dans  le  traitement  et  respecte  adéquatement  le 
principe  de  proportionnalité.  Qualifier  des  gestionnaires  de  sites,  tel  Fashion  ID, 
de  responsable  du  traitement  rendrait  pratiquement  impossible  l’utilisation  de 
contenus  de  modules  sociaux  de  tiers  qui  sont  des  moyens  efficaces  pour  éviter 
des  redondances  anti  économiques  et  pour  améliorer  la  qualité  et  la  mise  à  jour 
des  contenus  offerts  aux  citoyens  de  l’Union  sur  Internet.  La  liberté  d’entreprise 
des  gestionnaires  de  sites  et  des  fournisseurs  de  modules  sociaux,  protégée  par 
l’article 16  de  la  Charte,  ainsi  que  leur  liberté  de  prestations  au  titre  de 
l’article 56 TFUE  seraient  ainsi  limitées  dans  une  mesure  non  nécessaire  à  la 
protection  effective  des  utilisateurs  et,  de  ce  fait,  de  manière  disproportionnée. 
Cela ne vaut pas uniquement pour Facebook Ireland et d’autres grosses entreprises 
telles que Google et Apple, qui sont naturellement appelées à être impliquées dans 
des  affaires  telles  que  la  présente  affaire.  L’industrie  de  l’Internet  ainsi  que 
d’innombrables  petites  et  moyennes  entreprises  dans  de  nombreux  secteurs 
industriels  dans  l’Union,  qui  offrent  des  contenus  externes  aux  gestionnaires  de 
site, sont les premières à dépendre de la possibilité d’insérer des contenus externes 
sur  leurs  sites  web.  Ce  sont  en  particulier  les  petits  sites  web  récents  qui  sont 
tributaires des recettes à générer sur le web et du développement de leurs propres 
contenus  par  des  modules  sociaux  externes.  Si  les  gestionnaires  de  sites  étaient 
qualifiés  de  responsables  du  traitement  pour  tout  traitement  possible  de  données 
induit  par  des  modules  sociaux,  ce  secteur  innovant  et  d’avenir  serait  gravement 
menacé dans l’ensemble de l’Union. 
39  Par ces motifs, Facebook Ireland estime que les gestionnaires de sites ne devraient 
pas être qualifiés de responsables du traitement pour le traitement d’adresses IP et 
de  chaînes  de  caractères  que  réalisent  des  fournisseurs  de  modules  sociaux  aux 
fins de configurer les contenus des modules sociaux et sur lequel les gestionnaires 
de sites ne peuvent avoir aucune influence.  
2. 
En  ordre  subsidiaire :  limitation  de  la  responsabilité  à  la  sphère 
d’influence effective 

40  Si  la  Cour  devait  estimer  qu’il  n’est  pas  exclu  que  les  gestionnaires  de  sites 
doivent  être  qualifiés  de  (co)responsables  des  traitements  de  données  induits  par 
un  module  social,  Facebook  Ireland  estime  que  pareille  responsabilité  [Or. 17] 
 
22  
Décision de renvoi, point 4. 
13 

AFFAIRE C-40/17 - 19 
devrait être strictement limitée à la sphère d’influence effective des gestionnaires 
de sites. La VZNRW a soutenu devant l’OLG Düsseldorf que les gestionnaires de 
sites devaient être qualifiés de (co)responsables car, en insérant  le module social 
sur leurs sites web, ils permettent la transmission originaire de l’adresse IP et de la 
chaîne  de  caractères  du  navigateur  directement  de  l’utilisateur  au  fournisseur  du 
module social. Si cette analyse était exacte, la responsabilité des gestionnaires de 
sites  au  titre  du  droit  à  la  protection  des  données  et  les  obligations  et 
responsabilités qui y sont liées ne devraient en tout cas pas déborder de l’étendue 
de  cette  influence  et  de  ce  regard  du  gestionnaire  du  site  et  se  rapporter  en 
particulier au seul fait que l’affichage d’un module social implique nécessairement 
la transmission de certaines données au fournisseur du module social. Tout autre 
élément de la transmission des données et tout traitement de données fait dans la 
foulée par le fournisseur du module social échappent en tout cas à l’influence et au 
regard du gestionnaire du site et de ce fait à son contrôle 23.  
41  Facebook  Ireland  propose  dès  lors  de  répondre  comme  suit  à  la  deuxième 
question : 
Lorsque  le  gestionnaire  d’un  site  insère  sur  son  site  des  contenus 
externes en sorte que le navigateur d’un utilisateur sollicite des contenus 
d’un fournisseur  externe  et  transmet  à  cet  effet  au  fournisseur  externe 
des  données  à  caractère  personnel,  ce  gestionnaire  de  site  ne  doit  pas 
être  qualifié  de  « responsable  du  traitement »  au  sens  de  l’article 2, 
sous d),  de  la  directive  95/46/CE  lorsqu’il  ou  elle  ne  peut  avoir  aucune 
influence sur le traitement des données induit par le contenu externe. 

En ordre subsidiaire 
Lorsque  le  gestionnaire  d’un  site  insère  sur  son  site  des  contenus 
externes en sorte que le navigateur d’un utilisateur sollicite des contenus 
d’un [Or. 18] fournisseur externe et transmet à cet effet au fournisseur 
externe  des  données  à  caractère  personnel,  ce  gestionnaire  de  site  ne 
doit être qualifié de « responsable du traitement » au sens de l’article 2, 
sous d), de la directive 95/46/CE que dans la mesure où un tel traitement 
de données se fait dans sa sphère d’influence et de regard.  

 
23  
Conformément à une telle responsabilité limitée, les gestionnaires de sites auraient par exemple 
besoin d’une base légale au titre de l’article 7 de la directive que pour la transmission initiale de 
données  au  fournisseur  du  module  social  (par  exemple  pour  obtenir  un  consentement 
suffisamment conscient au titre de l’article 7, sous a), de la directive, ils ne devraient informer 
que de ce traitement limité). Toutes les autres obligations et responsabilités seraient de surcroît 
limitées  pour  prendre  adéquatement  en  compte  la  mesure  limitée  du  contrôle  et  du  regard  des 
gestionnaires  de  sites.  En  aucune  circonstance  la  responsabilité  existante  des  gestionnaires  de 
sites ne devrait également comprendre la responsabilité pour le traitement de données qui se fait 
entièrement en dehors de leur sphère d’influence et exclusivement dans la sphère du fournisseur 
du module social.  
14 
 

FASHION ID 
III. 
Sur la réponse à la troisième question préjudicielle 
42  Par  sa  troisième  question  préjudicielle,  l’OLG  Düsseldorf  souhaite  savoir  en 
substance si la directive et en particulier son article 2, sous d), doit être interprété 
en ce sens qu’elle exclut la responsabilité civile de tiers, tels des gestionnaires de 
sites, qui ne sont pas « responsables du traitement » au sens de l’article 2, sous d), 
de  la  directive,  pour  des  atteintes  du  responsable  des  données  au  droit  à  la 
protection des données 24.  
43  L’OLG  Düsseldorf  se  réfère  à  cet  égard  à  la  notion  de  droit  civil  allemand  de 
responsabilité  à  titre  de  perturbateur.  Selon  cette  notion,  quelqu’un,  qui  ne 
commet  pas  lui-même  d’acte  illicite  mais  cause  ou  aggrave  néanmoins  le  risque 
d’un acte illicite commis par un tiers, peut être mis en cause à certaines conditions 
pour prendre les mesures possibles et adéquates qui empêcheront l’acte illicite. 
44  Facebook Ireland relève à cet égard que, à l’article 22, la directive régit les recours 
des  personnes  concernées  à  l’égard  de  tout  type  de  traitement  de  données.  Il 
ressort  de  cette  disposition  que  toute  responsabilité  civile  pour  des  atteintes  à  la 
protection  des  données  est  exhaustivement  régie  par  la  directive.  Aucune 
responsabilité  ne  peut  dès  lors  être  mise  en  place  en  dehors  du  champ 
d’application de la directive.  
45  Dans  ce  contexte,  Facebook  Ireland  estime  que  la  directive  exclut  toute 
responsabilité  civile  de  personnes  qui  ne  sont  pas  responsables  du  traitement  (ni 
sous-traitants)  (voir  le  point1).  En  ordre  subsidiaire,  Facebook  Ireland  [Or. 19] 
estime  que  les  personnes  qui  ne  seront  pas  qualifiées  de  responsables  du 
traitement ne peuvent alors être tenues responsables [sur le plan civil] que lorsque 
les personnes concernées ou les associations agissant en leur nom ont tout d’abord 
pris  toutes  les  initiatives  adéquates  pour  tenir  responsable  [sur  le  plan  civil]  le 
responsable du traitement (Principe des initiatives à prendre prioritairement envers 
le responsable du traitement) (voir plus bas le point 2). 
1. 
Responsabilité  [au  titre  de  la  protection  des  données]  et  responsabilité 
[au plan civil] uniques du responsable du traitement  

46  Facebook Ireland estime que la directive ne prévoit aucune responsabilité [au plan 
civil]  de  personnes  autres  que  le  responsable  du  traitement  et  elle  ne  prévoit  en 
particulier  pas  de  responsabilité  [au  plan  civil]  de  tiers  au  sens  de  l’article 2, 
 
24  
L’OLG  Düsseldorf  indique  dans  sa  décision  de  renvoi  que  la  troisième  question  préjudicielle 
concerne 
le 
même 
thème 
que 
la 
première 
question 
préjudicielle 
que 
le 
Bundesverwaltungsgericht 
(tribunal 
administratif 
fédéral) 

posée  dans  l’affaire 
Wirtschaftsakademie/ULD, C-210/16, actuellement pendante devant la Cour. Facebook Ireland 
souhaite  indiquer  que  cela  n’est  pas  tout-à-fait  exact.  L’affaire  C-210/16  concerne  le  pouvoir 
des  autorités  de  contrôle  d’adresser  des  injonctions  à  des  personnes  qui  ne  doivent  pas  être 
qualifiées  de  personnes  responsables  du  traitement  tandis  que  la  présente  affaire  concerne  en 
revanche  la  question  de  savoir  si  des  personnes  qui  ne  doivent  pas  être  qualifiées  de 
responsables du traitement peuvent être mises en cause sur la plan civil.  
15 

AFFAIRE C-40/17 - 19 
sous f),  de  la  directive.  Non  seulement  les  autorités  de  contrôle  de  la  protection 
des  données 25,  mais  également  les  personnes  concernées  et  les  associations  de 
protection  des  consommateurs  agissant  en  leur  nom 26  ne  sont  dès  lors  pas 
habilités à prendre des initiatives contre des gestionnaires de sites qui insèrent un 
bouton  « j’aime » sur leurs sites. Cela découle des termes et de l’économie de la 
directive. 
47  Premièrement,  l’article 6,  paragraphe 2,  de  la  directive  prévoit  expressément 
qu’« [i]l  incombe  au  responsable  du  traitement  d’assurer  le  respect  du 
paragraphe 1 ».  Cela  se  rapporte  aux  principes  les  plus  importants  relatifs  à  la 
qualité  des  données,  y  compris  au  principe  de  l’article 6,  paragraphe 1,  sous  a), 
voulant  que  les  données  à  caractère  personnel  soient  « traitées  loyalement  et 
licitement ». Cela signifie que toutes les dispositions qui établissent les conditions 
d’un traitement licite, s’adressent exclusivement au responsable du traitement 27.  
48  Deuxièmement,  l’article 22  de  la  directive  veut  que  toute  personne  dispose  d’un 
recours  juridictionnel  en  cas  de  violation  des  droits  qu’elle  tire  de  la  directive. 
Participant  du  régime  des  actions  judiciaires  prévu  par  la  directive,  ces  [Or. 20] 
recours juridictionnels doivent se concilier avec les droits et responsabilités prévus 
par  la  directive.  Il  ne  peut  en  particulier  y  avoir  de  recours  juridictionnel  pour 
mettre  en  œuvre  des  responsabilités  [sur  le  plan  civil]  et  des  obligations  pour 
atteintes au droit à la protection des données qui  débordent de la directive. Ainsi 
que nous l’avons exposé, le responsable du traitement est  le destinataire exclusif 
des  obligations  découlant  des  dispositions  relatives  aux  droits  de  la  personne 
concernée  de  recevoir  des  informations,  des  renseignements,  de  procéder  à  la 
rectification, à l’effacement ou au verrouillage des données ainsi que de leur droit 
de  s’opposer  au  traitement  de  données  à  caractère  personnel  (articles 10  à  12  et 
article 14) ;  des  dispositions  relatives  à  la  notification  et  au  contrôle  préalable 
(articles 18 à 21) ; et découlant de l’article 17 , qui impose un niveau de sécurité 
approprié  des  traitements.  Le  responsable  du  traitement  est  également  le  seul  à 
répondre  des  dommages  nés  d’un  traitement  illicite  (article 23).  Il  s’ensuit  que 
seul le responsable du traitement peut être tenu responsable [sur le plan civil] par 
un recours juridictionnel.  
49  Troisièmement,  il  découle  des  termes  et  de  l’économie  de  l’article 28, 
paragraphe 3,  deuxième  tiret,  de  la  directive,  que  les  autorités  de  contrôle  de  la 
 
25  
Voir l’affaire C-210/16 actuellement pendante. 
26  
Facebook  Ireland  évoque  la  possibilité  qu’une  association  de  protection  des  consommateurs 
agisse  en  justice  contre  des  personnes  qui  ont  prétendument  porté  atteinte  à  un  droit  à  la 
protection des données uniquement pour donner une réponse à la troisième question posée à la 
Cour. Facebook Ireland le fait sans préjudice de la réponse à la première question préjudicielle.  
27  
Groupe  de  travail  « article 29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010, p. 5. 
16 
 

FASHION ID 
protection des données peuvent exercer des pouvoirs d’ingérence exclusivement à 
l’encontre du responsable du traitement 28.  
50  Quatrièmement, Facebook Ireland souhaite relever en terminant que le cadre clair 
de  responsabilité  de  la  directive  sert  également  les  droits  fondamentaux  et  les 
libertés  fondamentales  des  fournisseurs  de  services  Internet  responsables  des 
traitements  de  données  et,  dans  une  même  mesure,  les  bénéficiaires  de  leurs 
prestations et leurs utilisateurs. Si les utilisateurs ou des associations agissant pour 
des utilisateurs étaient autorisés à mettre en cause sur le plan civil des tiers comme 
par exemple des gestionnaires de sites, pour des traitements de données qu’ils ne 
contrôlent  pas,  ils  pourraient  « utiliser »  ces  tiers  pour  contourner  le  régime 
harmonisé  de  la  directive  et  obtenir  quasiment  « par  la  bande »  des  mesures 
incohérentes  à  travers  l’Union  contre  les  responsables  effectifs  du  traitement  tel 
Facebook Ireland. Dans le même temps, les tiers courraient le risque d’être mis en 
cause [sur le plan civil] pour des actes dont ils ignorent tout. Cela constituerait un 
empiètement disproportionné sur la libre prestation de services passive de Fashion 
ID  protégée  par  l’article 56 TFUE  dans  l’utilisation  des  services  de  Facebook  et 
sur  son  droit  d’exploiter  un  site  web  à  des  fins publicitaires  qui  participe  de  son 
activité  protégée  par  l’article 16  de  la  Charte  ainsi  que  sur  la  libre  prestation  de 
services Internet de Facebook [Or. 21] Ireland visée à l’article 56 TFUE et sur son 
droit fondamental à la liberté d’entreprise visée à l’article 16 de la Charte 29.  
51  Globalement,  la  notion  harmonisée  du  responsable  du  traitement  détermine  ainsi 
exhaustivement  qui  est  chargé  de  faire  respecter  les  règles  de  protection  des 
données 30  et  qui,  de  ce  fait,  peut  être  tenu  responsable  [sur  le  plan  civil]  en  cas 
d’atteintes au droit à la protection des données.  
 
28  
Les  autorités  de  contrôle  de  la  protection  des  données  ne  peuvent  naturellement  « ordonner  le 
verrouillage,  l’effacement  ou  la  destruction  de  données,  ou  interdire  temporairement  ou 
définitivement  un  traitement »  qu’au  responsable  du  traitement.  Par  ailleurs,  les  autorités  de 
contrôle de la protection des données ne peuvent être habilitées à adresser un avertissement ou 
une  admonestation uniquement  « au  responsable  du  traitement »  et  non  pas  à  un  tiers.  Et  cela 
pour une bonne raison : seul le responsable et aucun tiers peut en pratique mettre en œuvre dans 
son propre traitement des injonctions faites au titre de l’article 28, paragraphe 3, deuxième tiret. 
29  
Les mesures dirigées contre le responsable ou le sous-traitant pour protéger efficacement la vie 
privée doivent déjà être proportionnées car le champ d’application de la directive 95/46 est très 
large  et  que  les  obligations  des  personnes  responsables  sont  nombreuses  et  importantes,  voir 
arrêt  du  6 novembre  2003,  Lindqvist,  C-101/01,  EU:C:2003:596,  points 87  et  88.  Facebook 
Ireland  estime  que  ces  principes  trouvent  a  fortiori  application  lorsqu’une  association  de 
protection des consommateurs agit sur le plan civil contre des tiers, en l’occurrence Fashion ID, 
qui  peuvent  invoquer  leur  liberté  fondamentale  d’utiliser  des  prestations  (article 56 TFUE)  et 
leur  liberté  d’entreprise  (article 16  de  la  Charte).  Compte  tenu  du  fait  que  la  directive  a 
complétement harmonisé le droit national de la protection des données, en ce compris la notion 
de personne responsable, qui impute la responsabilité au titre de la protection des données, toute 
restriction indirecte de la liberté fondamentale de Facebook Ireland d’offrir des prestations dans 
toute  l’Union  et  de  sa  liberté  d’entreprise  ne  serait  jamais  justifiée  par  des  raisons  d’intérêt 
général.    
30  
Groupe  de  travail  « article 29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010, p. 6.  
17 

AFFAIRE C-40/17 - 19 
2. 
En  ordre  subsidiaire :  les  initiatives  sont  à  prendre  prioritairement 
envers le responsable du traitement 
52  Facebook  Ireland  admet  que  l’article 22  de  la  directive  ne  détermine  pas 
explicitement  que  le  recours  juridictionnel  ne  puisse  être  dirigé  que  contre  le 
responsable du traitement tout en étant muet quant à la personne susceptible d’être 
mise en cause pour des  atteintes au droit à la protection des données. Si  la Cour 
devait  dès  lors  décider  que  la  directive  n’interdit  pas  de  prendre  des  initiatives 
contre un tiers pour protéger effectivement les droits fondamentaux des personnes 
concernées, Facebook Ireland estime qu’une telle interprétation de la directive : 
–  ne peut (à nouveau) pas être incompatible avec les droits fondamentaux et les 
libertés fondamentales de tiers (en l’occurrence la liberté de prestation passive 
et le liberté d’entreprise de Fashion ID) 31 ni avec les droits fondamentaux et les 
libertés  fondamentales  du  responsable  du  traitement  (en  l’occurrence  la  libre 
prestation  de  services  Internet  et  le  droit  fondamental  à  la  liberté  d’entreprise 
de  Facebook  Ireland)  ni  avec  d’autres  principes  fondamentaux  du  droit  de 
l’Union, en particulier le principe de proportionnalité ; et 
–  doit  prendre  suffisamment  en  compte  le  fait  que  la  directive  prévoit 
expressément  que  seul  le  responsable  du  traitement  doit  veiller  à  ce  que 
[Or. 22]  les  données  à  caractère  personnel  soient  traitées  loyalement  et 
licitement et à ce que le tiers ne porte pas lui-même atteinte à la protection des 
données.  
53  Une telle interprétation est corroborée par la jurisprudence de la Cour. À l’endroit 
d’injonctions  de  juridictions  civiles  à  l’encontre  d’intermédiaires  et  fournisseurs 
de  services  de  la  société  de  l’information,  dont  les  services  sont  utilisés  par  un 
tiers pour porter atteinte  aux droits de particuliers 32 , la Cour a déjà décidé qu’il 
convient de tenir notamment compte des exigences résultant de la protection des 
droits  fondamentaux  applicables  de  toutes  les  parties,  et  ce  conformément  à 
l’article 51  de  la  charte  des  droits  fondamentaux  de  l’Union  européenne 33.  La 
 
31  
Voir à cet égard plus haut le point 50. 
32  
Contrairement  à  la  directive,  l’article 8,  paragraphe 3,  de  la  directive  2001/29/CE  sur 
l’harmonisation  de  certains  aspects  du  droit  d’auteur  et  des  droits  voisins  dans  la  société  de 
l’information (JO 2001, L 167, p. 10) et les dispositions combinées de l’article 12, paragraphe 1, 
et de l’article 3 de la directive 2000/31/CE relative à certains aspects juridiques des services de 
la  société  de  l’information,  et  notamment  du  commerce  électronique,  dans  le  marché  intérieur 
(« directive  sur  le  commerce  électronique »)  (JO  2000,  L 178,  p. 1)  prévoient  expressément 
cette possibilité.  
33  
Arrêt  du  27 mars  2014,  UPC  Telekabel  Wien,  C-314/12,  EU:C:2014:192,  citant  l’arrêt  du 
24 novembre  2011,  Scarlet  Extended,  C-70/10,  EU:C:2011:771,  point 41 ;  voir  à  cet  égard 
également arrêt du 15 septembre 2016, Mc Fadden, C-484/14, EU:C:2016:689, points 82 et 83. 
18 
 

FASHION ID 
Cour a considéré à cet égard notamment le fait que le destinataire de l’injonction 
n’est pas l’auteur de l’atteinte qui a donné lieu à l’adoption de l’injonction 34. 
54  Se  fondant  sur  ces  principes,  Facebook  Ireland  estime  que,  pour  garantir 
pleinement les différents droits, libertés et principes et en particulier le principe de 
proportionnalité,  les  personnes  concernées  ou  les  associations  agissant  en  leur 
nom  doivent  tout  d’abord  prendre  toutes  les  initiatives  adéquates  pour  mettre  en 
cause  la  responsabilité  civile  du  responsable  du  traitement  avant  de  pouvoir 
prendre ou solliciter des mesures contre un tiers (Principe des initiatives à prendre 
prioritairement  envers  le  responsable  du  traitement).  À  considérer  qu’elle  soit 
admise  à  la  rigueur,  une  mesure  contre  un  tiers  ne  pourrait  que  constituer  une 
mesure  ultime  appliquée  dans  des  circonstances  exceptionnelles  par  exemple 
lorsqu’il  s’impose  d’intervenir  d’urgence  et  que  des  mesures  à  l’encontre  du 
responsable du traitement seraient certainement inefficaces.  
55  Une  telle  approche  serait  aussi  conforme  à  la  jurisprudence  allemande  sur  la 
responsabilité  du  perturbateur  en  droit  allemand,  à  laquelle  l’OLG  Düsseldorf  a 
fait allusion. [Or. 23] Dans l’état actuel de la jurisprudence du Bundesgerichtshof, 
une  action  dirigée  contre  un  intermédiaire  au  titre  de  la  responsabilité  du 
perturbateur  n’est  recevable  que  lorsque  le  titulaire  du  droit  a  d’abord  pris  des 
initiatives adéquates pour mettre en cause la responsabilité des personnes qui ont 
effectivement commis  les atteintes invoquées dans l’action. Ce n’est  que lorsque 
ces  initiatives  seraient  manifestement  vouées  à  l’échec  que  les  titulaires  du  droit 
sont  habilités  à  mettre  également  en  cause  la  responsabilité  des  personnes  qui 
n’ont commis aucune atteinte 35. 
56  Facebook  Ireland  relève  à  cet  égard  que  les  personnes  concernées  et,  au  cas  où 
elles  sont  recevables  à  agir,  les  associations  de  défense  des  consommateurs 
peuvent agir contre le responsable du traitement c’est-à-dire contre le fournisseur 
du  module  social 36.  Ce  n’est  qu’au  cas  où  cette  mise  en  cause  échoue  ou  serait 
manifestement  vouée  à  l’échec,  qu’une  action  pourrait  être  admise  à  titre  ultime 
contre  une  personne  qui  n’est  pas  responsable  du  traitement.  Tant  que  le  régime 
des  voies  de  droit  visant  à  faire  respecter  le  droit  européen  à  la  protection  des 
données  donne  effectivement  la  possibilité  d’agir  contre  le  responsable  du 
traitement,  ce  qui  est  habituellement  le  cas,  il  n’est  ni  nécessaire  ni  adéquat  de 
prévoir une action contre un tiers qui n’a pas commis d’atteintes 37.  
 
34  
Arrêt du 27 mars 2014, UPC Telekabel Wien, C-314/12, EU:C:2014:192, point 53. 
35  
Voir par exemple, BGH, arrêt du 26 novembre 2015 – 1 ZR 174/14– juris, point 83 ; et arrêt du 
26 novembre 2015 – I ZR 3/14 – juris, point 70.  
36  
Voir arrêt du 1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, points 52 et 53.  
37  
En l’espèce, la VZNRW n’a pas agi contre Facebook Ireland pour mettre en cause la légalité du 
traitement de données induit par le bouton « j’aime ».  
19 

AFFAIRE C-40/17 - 19 
57  Facebook  Ireland  estime  que  des  circonstances  extraordinaires  justifiant  d’agir 
directement contre un tiers existent notamment dans les cas de contournement du 
régime. Tel peut notamment être le cas lorsque 
–  le  responsable  du  traitement  est  établi  en  dehors  de  l’Union  et  n’a  aucun 
établissement dans l’Union (article 4, paragraphe 1, sous c), de la directive) et, 
au mépris de l’obligation qui lui incombe en vertu de l’article 4, paragraphe 2, 
de la directive, n’a désigné aucun représentant établi dans l’État membre dans 
lequel le responsable du traitement recourt, à des fins de traitement de données 
à caractère personnel, à des moyens situés sur le territoire dudit État membre ; 
ou [Or. 24]  
–  lorsque  le  responsable  du  traitement  déplace  constamment  le  siège  de  son 
entreprise et ses serveurs d’un État membre à un autre afin de se soustraire aux 
voies de droits visant à faire respecter le droit à la protection des données.  
Dans  ces  circonstances  extraordinaires,  il  y  a  un  risque  réel  que  des  personnes 
concernées  et  les  associations  qui  agiront  pour  elles,  n’aient  pas  réellement  la 
possibilité  de  mettre  en  cause  la  responsabilité  [sur  le  plan  civil]  du  responsable 
du  traitement  et  de  parvenir  à  protéger  effectivement  les  droits  des  citoyens  et 
résidents  de  l’Union  en  sorte  que  la  protection  pleine  et  effective  des  droits 
fondamentaux  de  l’Union  l’on  puisse  ainsi  être  contournée.  Facebook  Ireland 
reconnaît  que,  dans  pareilles  circonstances,  la  Cour  pourrait  reconnaître  un  droit 
exceptionnel  à  agir  contre  une  personne  qui  n’est  pas  responsable  du  traitement 
des données, en développant ce qu’elle a déterminé dans les arrêts Google Spain 
et  Weltimmo,  nettement  inspirés  de  la  volonté  de  la  Cour  d’empêcher  de  voir 
contourner  la  protection  des  droits  fondamentaux  et  des  libertés  fondamentales 
que la directive accorde aux personne concernées 38, sans étendre toutefois ce droit 
exceptionnel au–delà de ces circonstances extraordinaires.  
58  Il n’y a en l’espèce aucune circonstance extraordinaire de cette nature. Facebook 
Ireland,  seul  « responsable  du  traitement »  dans  le  traitement  des  données 
litigieux,  est  établi  dans  l’Union  et  endosse  expressément  la  responsabilité  des 
traitements de données,  qu’il contrôle.  Il  relève  du contrôle strict  de l’IDPC et  a 
dans  le  passé  également  été  effectivement  surveillé  par  des  juridictions 
allemandes.  
59  Par  tous  ces  motifs,  Facebook  Ireland  propose  de  répondre  à  la  [troisième] 
question comme suit :  
  
La  directive  95/46  et  en  particulier  son  article 2,  sous  d),  doit  être 
interprétée en ce sens qu’elle régit exhaustivement la responsabilité sur 
les plans civil et de la protection des données, pour des atteintes au droit 
à la protection des données de manière à exclure la responsabilité sur le 

 
38  
Voir  arrêts  du  13 mai  2014,  Google  Spain  et  Google,  C-131/12,  EU:C:2014:317,  point 54 ; 
ainsi que du 1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, points 16, 18, 26 et 30. 
20 
 

FASHION ID 
plan civil de tiers qui ne sont pas responsables du traitement au sens de 
[Or. 25]  l’article 2,  sous  d),  de  la  directive  95/46/CE  mais  sont 
néanmoins  à  l’origine  des  traitements  de  données  sans  pouvoir  avoir 
d’influence sur ceux-ci. 

en ordre subsidiaire : 
La  directive  95/46  et  en  particulier  son  article 2,  sous  d),  doit  être 
interprétée en ce sens qu’elle régit exhaustivement la responsabilité sur 
les plans civil et de la protection des données, pour des atteintes au droit 
à la protection des données, de manière à exclure la responsabilité sur le 
plan civil de tiers qui ne sont pas responsables du traitement au sens de 
l’article 2,  sous  d),  de  la  directive  95/46/CE  mais  sont  néanmoins  à 
l’origine des traitements de données sans pouvoir avoir d’influence sur 
ceux–ci dans la  mesure où toutes les initiatives adéquates n’ont pas été 
prises  pour  mettre  en  cause  la  responsabilité  sur  le  plan  civil  du 
responsable  du  traitement  ou  que  celles-ci  seraient  manifestement 
vouées à l’échec.  

IV. 
Sur la réponse à la quatrième question préjudicielle 
60  Par  sa  quatrième  question,  l’OLG  Düsseldorf  demande  si,  au  cas  où  le 
gestionnaire d’un site (en l’occurrence  Fashion  ID) insère sur son site le  module 
social  d’un  tiers  (en  l’occurrence  Facebook  Ireland),  les  intérêts  légitimes  à 
prendre en compte dans la mise en balance à faire au titre de l’article 7, sous f), de 
la directive 95/46/CE sont les intérêts du gestionnaire du site ou bien les intérêts 
du fournisseur du module social 39. 
61  Facebook  Ireland  relève  à  ce  titre  que  le  Cour  a  décidé  qu’il  incombe  aux  États 
membres,  lors  de  la  transposition  des  directives  susmentionnées,  de  veiller  à  se 
fonder  sur  une  interprétation  de  ces  dernières  qui  permette  d’assurer  un  juste 
équilibre  entre  les  différents  droits  fondamentaux  protégés  par  l’ordre  juridique 
communautaire. Ensuite, lors de la mise en œuvre des mesures de transposition de 
ces directives, il incombe aux autorités et aux juridictions des États membres non 
seulement  d’interpréter  leur  droit  national  d’une  manière  conforme  auxdites 
directives, mais également de veiller à ne pas se fonder sur une interprétation de 
celles-ci [Or. 26] qui entrerait en conflit avec lesdits droits fondamentaux ou avec 
les  autres  principes  généraux  du  droit  communautaire,  tels  que  le  principe  de 
proportionnalité 40. 
 
39  
La  question  n’est  utile  à  la  solution  du  litige  que  si  le  gestionnaire  su site  est  responsable  du 
traitement  au  sens  de  l’article 2,  sous  d),  de  la  directive  ou  à  tout  le  moins  responsable  sur  le 
plan civil, à titre de perturbateur, pour l’atteinte éventuelle causée par le fournisseur du module 
social.  
40  
Arrêts  des  29 janvier  2008,  Promusicae,  C-275/06,  EU:C:2008:54,  point 68 ;  27 mars  2014, 
UPC  Telekabel  Wien,  C-314/12,  EU:C:2014:192,  point 45 ;  15 septembre  2016,  Mc  Fadden, 
21 

AFFAIRE C-40/17 - 19 
62  Ces  principes  conduisent  Facebook  Ireland  à  estimer  que  l’interprétation  de 
l’article 7,  sous  f),  de  la  directive  doit  conférer  plein  effet  à  tous  ces  droits 
fondamentaux  et  à  toutes  ces  libertés  fondamentales  dans  l’application  de  cette 
disposition. Ainsi que nous l’avons exposé plus haut, toute décision statuant sur la 
licéité  du  traitement  des  données  déclenché  par  le  module  social  a  en  plus  une 
incidence sur le droit à la vie privée et à la protection des données de l’utilisateur, 
protégé (positivement ou négativement) par les articles 7 et 8 de la Charte, et tout 
autant à tout le moins sur la liberté protégée par l’article 56 TFUE de fournir et de 
recevoir  des  services  Internet  ainsi  que  sur  le  droit  fondamental  à  la  liberté 
d’entreprise  visé  à  l’article 16  de  la  Charte  tant  du  gestionnaire  du  site  que  du 
fournisseur du module social ainsi que, le cas échéant, sur d’autres droits d’autres 
utilisateurs 41. 
63  Cette  interprétation  conforme  à  la  jurisprudence  de  la  Cour  a  été  codifiée 
récemment par le législateur de l’Union dans l’article 6, paragraphe 1, sous f), du 
RGPD,  qui  succède  à  l’article 7,  sous  f),  de  la  directive.  Cette  disposition  vise 
expressément la préservation des intérêts légitimes poursuivis par « le responsable 
du traitement ou par un tiers ».  
64  Il  incombe  dès  lors  aux  juridictions  et  aux  autorités  des  États  membres,  pour 
donner  plein  effet  aux  droits  fondamentaux  et  aux  libertés  fondamentales 
concernés  dans  l’application  de  la  directive,  de  prendre  en  compte  au  titre  de 
l’article 7, sous f), de la directive, les intérêts à la fois du gestionnaire du site et du 
fournisseur du module social et le cas échéant d’autres tiers, par exemple d’autres 
utilisateurs,  dans  l’appréciation  de  la  licéité  du  traitement  de  données  déclenché 
par le module.  
65  Par  ces  motifs,  Facebook  Ireland  propose  de  répondre  à  la  quatrième  question 
comme suit : 
Dans l’application de l’article 7, sous f), de la directive 95/46, il incombe 
aux  autorités  et  aux  juridictions  des  États  membres  de  prendre  en 
compte  les  intérêts  légitimes  de  toutes  les  personnes  physiques  et 
morales  dont  les  droits  fondamentaux  pourraient  être  affectés  [Or. 27] 
par leur décision. Au cas où elles statuent sur la licéité du traitement des 
données déclenché par le module social d’un tiers inséré sur un site web, 
il  leur  incombe  à  tout  le  moins  de  prendre  en  compte  les  intérêts 
légitimes des personnes concernées, ceux du gestionnaire du site et ceux 
du fournisseur du module social.  

 
C-484/14, EU:C:2016:689, points 82 et 83 ; ainsi que du 24 novembre 2011, Scarlet Extended, 
C-70/10, EU:C:2011:771, point 41.  
41  
Voir plus haut le point 50.  
22 
 

FASHION ID 
V. 
Sur la réponse à la cinquième question préjudicielle 
66  Par  la  cinquième  question,  l’OLG  Düsseldorf  souhaite  savoir  à  qui  l’utilisateur 
doit déclarer le consentement visé à l’article 7, sous a), et à l’article 2, sous h), de 
la directive lorsque le gestionnaire du site insère le module social d’un tiers 42.  
67  Facebook  Ireland  estime  que  l’article 7,  sous  a),  et  l’article 2,  sous  h),  de  la 
directive  ne  requièrent  pas  que  le  consentement  soit  donné  à  un  destinataire 
déterminé : 
68  Premièrement,  les  dispositions  de  la  directive  consacrées  aux  destinataires  du 
consentement  de  la  personne  concernée  sont  ouvertes.  En  particulier,  l’article 2, 
sous h), de la directive prévoit que le consentement soit une manifestation « libre, 
spécifique et informée ». Rien ne requiert que le consentement soit manifesté à un 
destinataire déterminé.  
69  Deuxièmement, Facebook  Ireland constate que le principe général  voulant que le 
traitement  de  données  à  caractère  personnel  soit  légitimé  par  une  des  causes 
d’habilitation  de  l’article 7  de  la  directive  vise  à  établir  un  niveau  élevé  de 
protection pour le droit à l’autodétermination des informations et la protection des 
données  à  caractère  personnel  des  utilisateurs 43.  La  notion  de  consentement 
définie à l’article 7, sous a), et à l’article 2, sous h), de la directive doit permettre 
aux  utilisateurs  d’avoir  le  plein  contrôle  de  l’utilisation  de  leurs  données,  ce  qui 
constitue un volet important du droit fondamental à la protection de la vie privée 
et à la protection des données 44. [Or. 28]  
70  Facebook  Ireland  estime  que  la  protection  effective  du  droit  fondamental  à  la 
protection de la vie privée et à la protection des données requiert que la procédure 
d’obtention  d’un  consentement  soit  transparente  et  que  les  utilisateurs  disposent 
d’informations suffisantes pour être  conscients du traitement des données auquel 
ils sont censés consentir et qu’ils les comprennent parfaitement. Le destinataire du 
consentement  n’est  cependant  pas  un  facteur  essentiel  pour  garantir  une  telle 
protection. 
71  Troisièmement, cette analyse est  également corroborée par la jurisprudence de la 
Cour.  La  Cour  a  indiqué  à  l’endroit  de  l’article 12  de  la  directive  2002/58/CE 
concernant  la  protection  des  données  dans  le  secteur  des  communications 
 
42  
À l’instar de la quatrième question, la cinquième question n’est utile à la solution du litige que si 
le gestionnaire du site est responsable du  traitement  ou pourrait voir sa responsabilité  mise  en 
cause sur le plan civil, à titre de perturbateur.  
43  
Voir les considérants 10, 25 et 30 de la directive.  
44  
Groupe de travail « article 29 » sur la protection des données, Avis 15/2011 sur la définition du 
consentement, document de travail 187, p. 10.  
23 

AFFAIRE C-40/17 - 19 
électroniques 45  que  le  consentement  des  abonnés  visé  dans  cette  disposition  est 
libre, spécifique et informé au sens de l’article 2, sous h) et de l’article 7, sous a), 
de la directive. Elle a ajouté qu’un tel consentement ne légitime pas seulement le 
traitement des données par le destinataire du consentement mais pouvait s’étendre 
en  plus  à  « la  transmission  de  ces  mêmes  données  à  une  autre  entreprise »,  à  la 
condition  que  ce  traitement  poursuive  la  même  finalité  que  le  traitement  auquel 
l’abonné a  consenti 46.  La  Cour a ainsi reconnu que le consentement manifesté à 
un  responsable  du  traitement  peut  également  légitimer  le  traitement  ultérieur  de 
données  par  une  autre  personne  à  la  condition  que  la  personne  concernée  puisse 
apercevoir à suffisance que ce traitement de données a également été couvert par 
son consentement 47. 
72  Facebook Ireland estime dès lors que le consentement visé à l’article 7, sous a), et 
à l’article 2, sous h), de la directive peut être donné au responsable du traitement 
des données ou à toute autre personne, à la condition que la procédure d’obtention 
du consentement soit conçue de telle sorte que la manifestation du consentement 
de la personne concernée soit libre, spécifique et informée.  
73  Par  ces  motifs,  Facebook  Ireland  propose  de  répondre  à  la  cinquième  question 
comme suit : [Or. 29]  
Aux  termes  de  l’article 7,  sous  a),  et  de  l’article 2,  sous  h),  de  la 
directive 95/47/CE,  le  consentement  de  la  personne  concernée,  qui 
légitime  le  traitement  de  ses  données  à  caractère  personnel,  peut  être 
manifesté au « responsable du traitement » de ce traitement de données 
ou  à  toute  autre  personne  physique  ou  morale  qui  recueille  le 
consentement  pour  le  responsable  du  traitement,  à  la  condition  que  le 
procédure dans laquelle le consentement est recueilli soit conçue de telle 
sorte que le consentement remplisse les conditions de l’article 2, sous h), 
de la directive en étant en particulier libre, spécifique et informé. 

VI. 
Sur la réponse à la sixième question préjudicielle 
74  Par la sixième question, l’OLG Düsseldorf souhaite savoir si les gestionnaires de 
sites qui ont inséré le module social d’un tiers sur leurs sites doivent s’acquitter de 
l’obligation  d’informer  la  personne  concernée  en  vertu  de  l’article 10  de  la 
directive du traitement des données déclenché par le module social. 
 
45  
Directive  2002/58/CE  concernant  le  traitement  des  données  à  caractère  personnel  et  la 
protection  de  la  vie  privée  dans  le  secteur  des  communications  électroniques  (directive  vie 
privée et communications électroniques) (JO 2002, L 201, p. 37). 
46  
Arrêt du 5 mai 2011, Deutsche Telekom, C-543/09, EU:C:2011:279, point 58.  
47  
Arrêt du 5 mai 2011, Deutsche Telekom, C-543/09, EU:C:2011:279, point 65. 
24 
 

FASHION ID 
75  D’après  l’énoncé  clair  de  l’article 10,  première  phrase,  de  la  directive,  c’est  au 
responsable  du  traitement  qu’il  incombe  de  fournir  à  la  personne  concernée  les 
informations relatives au traitement, énumérées à l’article 10. Il peut s’acquitter de 
cette obligation lui-même ou par la voie d’un représentant. En l’espèce, c’est donc 
Facebook Ireland qui est tenu, en tant que responsable du traitement, de fournir les 
informations  requises.  Il  peut  néanmoins  charger  le  gestionnaire  du  site,  en 
l’occurrence Fashion ID, de fournir les informations en son nom. 
76  La  réponse  à  la  sixième  question  est  dès  lors  étroitement  liée  à  la  question  de 
savoir  si  le  gestionnaire  du  site  peut  être  qualifié  de  responsable  du  traitement 
d’un  traitement  de  données  qui  est  déclenché  par  un  module  social  (voir  à  cet 
égard  la  deuxième  question  préjudicielle).  L’obligation  d’informer  en  vertu  de 
l’article 10 de la directive n’incombe dès lors au gestionnaire du site que dans la 
mesure  où  le  gestionnaire  du  site  sera  qualifié  de  gestionnaire  du  site  pour  ce 
traitement de données. 
77  Facebook  Ireland  constate  à  cet  égard  que  l’article 10  de  la  directive  montre 
clairement  en  quoi  il  serait  inadéquat  de  qualifier  le  gestionnaire  du  site 
responsable  du  traitement  pour  un  [Or. 30]  traitement  de  données  qui  est 
déclenché  par  des  modules  sociaux  de  tiers,  ou  en  quoi  il  serait  en  tout  cas 
judicieux  de  limiter  adéquatement  cette  responsabilité.  Ainsi  que  l’OLG 
Düsseldorf  le  souligne  dans  sa  décision  de  renvoi,  le  gestionnaire  d’un  site  ne 
serait normalement pas en mesure de fournir toutes les informations requises par 
l’article 10 de la directive concernant le traitement des données déclenché par les 
modules sociaux puisqu’il ne connaît pas la finalité ni l’ampleur de ce traitement 
de données. Facebook Ireland estime que la notion de responsabilité voulue par la 
directive  doit  être  interprétée  en  ce  sens  que  la  responsabilité  est  imputée  à  une 
personne  qui  est  en  mesure  de  répondre  des  obligations  et  responsabilités  d’une 
personne  responsable  du  traitement  en  ce  qu’elle  détermine  effectivement  le 
pourquoi  et  le comment  du traitement des données et  a un regard complet  sur le 
traitement des données ou peut à tout le moins l’obtenir 48. 
78  Par  ces  motifs,  Facebook  Ireland  propose  de  répondre  à  la  sixième  question 
comme suit : 
Aux  termes  de  l’article 10  de  la  directive  95/46/CE,  seul  le  responsable 
du  traitement  des  données  au  sens  de  l’article 2,  sous  d),  de  la 
directive 95/46/CE est tenu de remplir l’obligation d’informer qui y est 
établie.  Il  peut  s’acquitter  de  cette  obligation  lui-même  ou  par  la  voie 
d’un représentant.  

(sé) 
Me Hans-Georg Kamann  
 
48  
Voir plus haut les points 34 à 39.  
25