link to page 2 link to page 3 link to page 4 link to page 4 link to page 5 link to page 5 link to page 7 link to page 8 link to page 9 link to page 11 link to page 11 link to page 11 link to page 11 link to page 13 link to page 13 link to page 15 link to page 15 link to page 15 link to page 18 link to page 18 link to page 21 link to page 23 link to page 24
Traduction
C-40/17 - 19
Observations écrites
Affaire C-40/17 *
Pièce déposée par :
Facebook Ireland Ltd.
Nom usuel de l’affaire :
FASHION ID
Date de dépôt :
11 mai 2017
[omissis] 1
[Or. 2]
PLAN DES OBSERVATIONS
A.
Introduction ......................................................................................................................... 2
B.
Les faits ............................................................................................................................... 3
I.
Les modules sociaux sur l’Internet actuel ...................................................................... 4
II.
La fonction de l’adresse IP et de la chaîne de caractères du navigateur ........................ 4
III. Le traitement de l’adresse IP et de la chaîne de caractères lié au bouton
« j’aime » ................................................................................................................................. 5
C.
Observations liminaires ....................................................................................................... 7
D.
Sur les questions préjudicielles ........................................................................................... 8
I.
Sur la réponse à la première question préjudicielle ........................................................ 9
II.
Sur la réponse à la deuxième question préjudicielle .................................................... 11
1.
Les gestionnaires de sites ne doivent pas être qualifiés de
responsables du traitement des données, induit par des modules sociaux
placés sur leurs sites et sur lequel ils ne peuvent avoir aucune influence ......................... 11
2.
En ordre subsidiaire : limitation de la responsabilité à la sphère
d’influence effective ......................................................................................................... 13
III. Sur la réponse à la troisième question préjudicielle ..................................................... 15
1.
Responsabilité [au titre de la protection des données] et responsabilité
[au plan civil] uniques du responsable du traitement ........................................................ 15
2.
En ordre subsidiaire : les initiatives sont à prendre prioritairement
envers le responsable du traitement .................................................................................. 18
IV. Sur la réponse à la quatrième question préjudicielle ......................................................... 21
V.
Sur la réponse à la cinquième question préjudicielle ........................................................ 23
VI. Sur la réponse à la sixième question préjudicielle ............................................................ 24
[Or. 3]
* Langue de procédure : l’allemand.
1
Les pouvoirs des avocats de Facebook Ireland et les attestations de leur habilitation à plaider
devant une juridiction sont jointes en annexe 1.
FR
AFFAIRE C-40/17 - 19
A.
Introduction
1
Facebook Ireland a l’honneur de présenter à la Cour de justice de l’Union
européenne (ci-après la « Cour ») ses observations écrites dans l’affaire C-40/17
sur la demande de décision préjudicielle en interprétation de la directive 95/46/CE
(ci-après la « directive ») 2 que lui a adressée l’Oberlandesgericht Düsseldorf
(ci-après l’ « OLG Düsseldorf »).
2
La demande de décision préjudicielle s’inscrit dans un litige entre l’exploitant
d’une boutique de vêtements en ligne Fashion ID et la VZNR une association
d’utilité publique de défense des intérêts des consommateurs dans le Land
allemand de Rhénanie du Nord Westphalie sur la licéité de l’insertion sur le site
de Fashion ID du bouton « j’aime » d’un module social proposé par Facebook
Ireland. La VZNR affirme que la transmission de l’adresse IP et de la chaîne de
caractères du navigateur de l’utilisateur du site web au serveur de Facebook
Ireland ainsi que l’utilisation de ces données par Facebook Ireland à la faveur de
la transmission du bouton « j’aime » constitue un traitement de données à
caractère personnel et que Fashion ID est le responsable du traitement des données
au sens de l’article 2, sous d), de la directive. D’après la VZNR, Fashion ID
enfreint en tant que responsable la législation allemande sur la protection des
données en particulier parce qu’elle ne recueille pas le consentement valable de
l’utilisateur au traitement de l’adresse IP et de la chaîne de caractères du
navigateur et informe insuffisamment ou tardivement du traitement des données.
Dans son action, la VZNR sollicite en substance d’interdire à Fashion ID d’insérer
le bouton « j’aime » tant qu’elle n’aura pas régulièrement informé les utilisateurs
de son site web et recueilli leur consentement avant que Facebook Ireland traite
ces données. Facebook Ireland étant le seul à déterminer le traitement de l’adresse
IP et de la chaîne de caractères du navigateur à la faveur de la transmission du
bouton « j’aime » et le seul organisme à avoir accès à ces données, il est intervenu
dans l’instance au soutien de Fashion ID.
3
Facebook attache une grande importance aux principes de la vie privée et de la
protection des données en tant qu’ils sont protégés par les articles 7 et 8 de la
charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).
Facebook Ireland est depuis 2010 le siège central de Facebook en dehors des
États-Unis. C’est de là qu’il gère les activités de Facebook dans l’Union
européenne et il est
[Or. 4] responsable de l’ensemble du traitement des données à
caractère personnel des citoyens de l’Union. Depuis lors, Facebook détermine et
contrôle ses traitements de données européennes expressément depuis un États
membre de l’Union européenne, à savoir l’Irlande, et relève de ce fait
incontestablement du champ d’application du droit de l’Union (à savoir de la
directive et de la législation irlandaise qui l’a transposée). Facebook Ireland a
assumé l’entière responsabilité au titre du droit à la protection des données et s’est
soumis au contrôle très strict d’une autorité indépendante de protection des
2
Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)
2
FASHION ID
données, le Data Protection Commissioner (ci-après le « Commissioner »)
irlandais. Facebook Ireland endosse en particulier cette responsabilité à l’égard de
toutes les opérations de traitement de données liées à des modules sociaux
proposés, c’est-à-dire également au bouton « j’aime » qu’il offre en
téléchargement sur les pages « Facebook for Developers » pour être inséré par des
gestionnaires de sites. Facebook Ireland conçoit tout traitement de données induit
par l’utilisation d’un tel module social dans le respect de la réglementation
européenne de la protection des données. Dans ce contexte, Facebook attend à
l’inverse que lui-même ainsi que tous les utilisateurs de Facebook et les milliers
de petits et gros gestionnaires de sites, qui insèrent le module social de Facebook
dans l’Union européenne (par exemple Fashion ID) bénéficient pleinement du
droit à la libre circulation des données, de la liberté fondamentale protégée par
l’article 56 TFUE d’offrir et de recevoir des prestations Internet, ainsi que de leurs
droits fondamentaux, par exemple de la liberté d’entreprise protégée par
l’article 16 de la Charte, sans être inconsidérément entravés par des actions
judiciaires démesurées et incohérentes introduites au titre du régime équilibré du
droit à la protection des données de la directive.
B.
Les faits
4
Facebook Ireland souhaite faire les observations liminaires suivantes sur les faits :
– Premièrement, il ressort de la demande de la VZNR 3 que l’affaire concerne
exclusivement le traitement par Facebook Ireland de l’adresse IP et de la chaîne
de caractères du navigateur d’un utilisateur, traitement lié à la transmission
[Or. 5] du bouton « j’aime » sur le site web de Fashion ID. L’affaire ne
concerne pas le traitement d’autres données 4
– Deuxièmement, le gestionnaire du site (ici Fashion ID) qui installe le bouton
« j’aime » n’a aucun regard ni accès sur les informations qui sont directement
transmises de l’utilisateur à Facebook Ireland du fait de la fonction habituelle
du bouton « j’aime » (ou de tout module social d’un fournisseur externe). Le
gestionnaire du site ne peut en aucune manière influer sur ce traitement de
données.
5
Cela étant dit, la décision de renvoi expose en principe les choses de manière
exacte. Pour permettre à la Cour de statuer en pleine connaissance de cause,
Facebook Ireland se permet cependant de compléter les faits comme suit :
3
Point 1 de la décision de renvoi.
4
La demande de la VZNR ne concerne en particulier pas le traitement d’informations tirées de
cookies que Facebook Ireland (ou un site web coopératif) a placé sur le navigateur d’utilisateurs
auparavant par exemple à la faveur de l’inscription sur Facebook ou de la première visite du site
de Facebook. Voir à ce sujet le point 13.
3
AFFAIRE C-40/17 - 19
I.
Les modules sociaux sur l’Internet actuel
6
Les modèles sociaux tel le bouton « j’aime » qui fait l’objet de la présente
procédure, sont des éléments d’information et d’interaction qui se trouvent sur
pratiquement tous les sites de l’Internet actuel (le « Web 2.0 »). Des exemples
typiques sont les photos, vidéos (par exemple les vidéos sur You Tube) et les
cartes géographiques (par exemples les cartes sur Google Maps). Les modules
sociaux peuvent cependant être utilisés de nombreuses autres manières 5.
7
Les modules sociaux ne sont normalement pas élaborés par le gestionnaire du site
sur lequel ils apparaissent à l’utilisateur. C’est plutôt un tiers (ci-après le
« fournisseur du module social ») qui offre aux gestionnaires de sites la possibilité
d’ajouter (on dit inséré) ces éléments pré-élaborés sur leurs sites web lorsqu’un
utilisateur y accède. À cet effet, le gestionnaire du site insère en règle général le
module social dans des « inline frames » (ou « iframes »)
[Or. 6] à l’intérieur des
codes de son site web. L’iframe définit une surface déterminée sur la page du site
qui n’est pas gérée par le gestionnaire du site lui-même mais par chacun des
fournisseurs de modules sociaux. Lorsqu’un utilisateur consulte les pages web du
gestionnaire, son navigateur établit une connexion avec les serveurs du
gestionnaire du site pour charger les pages web en question. En parallèle, des
connexions distinctes sont établies directement avec les serveurs des fournisseurs
de l’ensemble des modules sociaux insérés sur la page web en sorte que ces
éléments puissent être directement chargés de là-bas. Le navigateur de l’utilisateur
arrange tous ces éléments et les présente conjointement.
II.
La fonction de l’adresse IP et de la chaîne de caractères du navigateur
8
Lorsqu’un utilisateur consulte une page web sur l’Internet, son navigateur
demande au serveur du site web d’envoyer ce qu’il est convenu d’appeler le code
HTLM de ces pages web. À cet effet, le navigateur transmet toujours certaines
informations techniques nécessaires à la communication entre le navigateur et le
serveur. Cette opération est appelée demande http. C’est le protocole standard sur
lequel l’Internet est basé.
5
Ces modules enrichissent fondamentalement les consultations en ligne de l’utilisateur et ont
considérablement contribué au développement vertigineux de l’Internet ces dix dernières
années. Le grand avantage des modules sociaux pour les gestionnaires de site est de pouvoir
insérer sur leur site web des éléments actuels, dynamiques et de grande qualité qu’ils ne doivent
pas développer ni entretenir eux-mêmes. De nombreux modules sociaux se basent sur des
quantités importantes de données et des logiciels complexes ou permettent d’interagir avec des
réseaux existants (en particulier des réseaux sociaux tels Twitter, Google +, LinkedIn, Xing,
Pinterest ou Facebook), auxquels les gestionnaires de site n’auraient normalement pas accès.
Même si des gestionnaires de site peuvent théoriquement créer la fonctionnalité de certains
modules sociaux, ils ne peuvent pas le faire en temps réel ou en temps quasi réel. Les ressources
redondantes nécessaires seraient normalement hautement anti économiques et macro
économiquement inefficaces pour les gestionnaires de site. Les modules sociaux contribuent
ainsi fondamentalement à diffuser largement des pages de grande qualité offertes aux
utilisateurs.
4
FASHION ID
9
Une des informations transmises comme partie de cette demande standardisée
http, est l’adresse IP de l’utilisateur. Une adresse IP est un numéro individuel que
chaque appareil particulier relié à l’Internet (par exemple un ordinateur, une
tablette ou un smartphone, et non pas une personne, un particulier) se voit
automatiquement attribuer par le fournisseur d’accès à l’Internet de l’utilisateur.
En principe, les adresses IP attribuées sont « dynamiques », c’est-à-dire qu’elles
ne sont attribuées à un appareil que pour le temps d’une utilisation de l’Internet et
changent à nouveau à la visite suivante sur l’Internet. À l’instar d’un code postal,
l’adresse IP identifie le destinataire de lots de données qui sont envoyés dans les
réseaux numériques, pour permettre de mettre les données à la disposition du bon
appareil. Le navigateur de l’utilisateur ne pourrait pas fonctionner sans révéler son
adresse IP dans la demande http : le serveur qui reçoit la demande ne saurait pas
où il doit envoyer le code HTML et le serveur ne pourrait pas charger les pages
web indiquées ni les éventuels modules sociaux y insérés.
10 Une autre information qui est communiquée dans ce processus est la chaîne de
caractères du navigateur. Celle-ci comporte des informations techniques
fondamentales sur le navigateur de l’utilisateur (par exemple la version de son
logiciel) pour permettre aux serveurs sollicités de
[Or. 7] préparer le contenu sous
la forme la plus adaptée au navigateur (par exemple pour le navigateur d’un
appareil mobile, une version adaptée aux petits écrans). Les utilisateurs ont la
possibilité de définir dans les réglages de leur navigateur que la chaîne de
caractères ne soit pas transmise. Dans ce cas, les contenus web sont mis à
disposition dans une version de base qui fonctionne sur la plupart des navigateurs.
Lorsque l’utilisateur a réglé son navigateur de telle manière qu’il envoie la chaîne
de caractères, le site web sollicité ou un fournisseur de module social ne peut pas
décider de ne pas recevoir ces données.
III. Le traitement de l’adresse IP et de la chaîne de caractères lié au bouton
« j’aime »
11 Le bouton « j’aime » est un module social que Facebook Ireland met gratuitement
à la disposition de gestionnaires de sites web (avec d’autres modules sociaux) 6.
La finalité du bouton « j’aime » est de permettre aux visiteurs d’un site web
disposant également d’un compte Facebook, d’interagir de manière personnelle
avec le contenu de ce site web. Ils peuvent en particulier voir si leurs amis inscrits
à Facebook ont « aimé » le contenu du site web. Ils peuvent aussi publier le
contenu directement du site web sur leur compte Facebook et le partager avec
leurs amis.
6
Les gestionnaires de site ont uniquement la possibilité d’insérer le bouton « j’aime » de la
manière et sous la forme sous lesquelles Facebook Ireland le met à leur disposition. Ils peuvent
choisir dans une certaine mesure comment il sera signalé sur leur page web sans pouvoir
cependant modifier ou travailler sa configuration technique ni la transmission de données qu’il
déclenche.
5
AFFAIRE C-40/17 - 19
12 À l’instar de tous les autres contenus web, un bouton « j’aime » inséré sur un site
web déclenche à la visite du site une demande http du navigateur aux serveurs de
Facebook Ireland pour afficher le bouton « j’aime ». Comme nous l’avons
expliqué, ce protocole standard implique la transmission de l’adresse IP 7 de
l’utilisateur et la chaîne de caractères (ainsi que d’autres informations techniques
standard, la date et l’heure de la demande). Cette communication se fait
directement entre le navigateur de l’utilisateur et Facebook Ireland. Le
gestionnaire du site sur lequel est inséré le bouton « j’aime » n’a aucun contrôle ni
regard sur cette transmission parallèle de données techniques.
[Or. 8]
13 La finalité principale du bouton « j’aime » étant d’offrir aux utilisateurs inscrits
séparément à Facebook une utilisation personnelle par le bouton « j’aime » il est
nécessaire que Facebook Ireland puisse déterminer si i) l’utilisateur concerné a
également un compte Facebook (et est précisément inscrit ; dans ce cas
l’utilisateur peut voir mis à sa disposition une version personnalisée du bouton
« j’aime » comportant des informations pertinentes sur son compte personnalisé)
ou ii) l’utilisateur n’a pas de compte Facebook (dans ce cas une version générale
du bouton « j’aime » s’affiche) 8. Facebook Ireland y parvient en utilisant des
« cookies ». Le cookie est un petit fichier texte déposé sur le navigateur d’un
utilisateur 9 comportant certaines informations techniques. Lorsqu’un utilisateur
visite un site web qui a un bouton « j’aime », Facebook Ireland n’utilise pas le
bouton « j’aime » pour placer ces cookies sur le navigateur de l’utilisateur à moins
que l’utilisateur décide consciemment de cliquer sur le bouton « j’aime » pour
interagir avec Facebook. Les traitements de données liés à ces cookies ne font pas
l’objet de la présente procédure.
14 Le traitement de données induit par le bouton « j’aime » a été examiné par l’IDPC
qui n’y a vu aucune objection.
7
Indépendamment du fait que l’adresse IP identifie uniquement un appareil déterminé et non pas
une personne, Facebook Ireland utilise l’adresse IP d’utilisateurs allemands qui ne font que
l’objet de l’affaire portée devant l’OLG Düsseldorf, non seulement uniquement pour la livraison
technique du bouton « j’aime » mais l’anonymise complètement. Immédiatement après la
livraison du bouton « j’aime », Facebook Ireland convertit les adresses IP des utilisateurs
allemands en une adresse IP générique identique pour tous les utilisateurs allemands.
8
Pour des raisons de sécurité il est également nécessaire que Facebook Ireland puisse déterminer
si l’utilisateur a visité auparavant le domaine
www.facebook.com même s’il n’est pas inscrit à
Facebook.
9
En déterminant si des navigateurs d’utilisateurs comportent des cookies placés auparavant par
Facebook Ireland (par exemple lorsque ces utilisateurs se sont inscrits avec leur compte
Facebook sur www.facebook.com et ont accepté à cette occasion les conditions d’utilisation et
la Politique d’utilisation des données de Facebook), Facebook Ireland peut déterminer les
utilisateurs concernés et mettre les bonnes informations à leur disposition. Lorsque, à l’inverse,
le navigateur de l’utilisateur ne contient aucun cookie, Facebook Ireland ne peut mettre à sa
disposition qu’une version générale du bouton « j’aime » et n’a aucun moyen d’identifier les
utilisateurs.
6
FASHION ID
C.
Observations liminaires
15 Avant de répondre aux questions posées par l’OLG Düsseldorf, Facebook Ireland
souhaite faire trois observations liminaires :
16
Premièrement, Facebook Ireland a exposé au juge national ne pas partager
l’analyse de l’OLG Düsseldorf 10 voulant que l’adresse IP soit une donnée à
caractère personnel au sens de l’arrêt Breyer de la Cour 11. L’OLG Düsseldorf
n’ayant pas
[Or. 9] posé cette question à la Cour, Facebook Ireland renonce à
développer une nouvelle fois sa position.
17
Deuxièmement, Facebook Ireland souhaite souligner d’emblée à ce stade que, si
l’on devait qualifier le traitement de l’adresse IP et de la chaîne de caractères de
données à caractère personnel, ce traitement serait en tout cas justifié au titre de
l’article 7, sous f), de la directive par l’objectif de garantir le bon fonctionnement
de modules sociaux du fournisseur externe. C’est un intérêt légitime tant du
fournisseur du module social que du gestionnaire du site ainsi que de ses
utilisateurs 12. Sans le traitement de l’adresse IP de l’utilisateur et de la chaîne de
caractères, un site web ne pourrait signaler à aucun utilisateur des contenus avec le
module social d’un fournisseur externe.
18
Troisièmement, Facebook Ireland relève que le régime harmonisé de protection
des données introduit par la directive vise à établir un équilibre adéquat entre la
protection du droit fondamental à la vie privée et à la protection des données à
caractère personnel conformément aux articles 7 et 8 de la Charte et l’intérêt des
fournisseurs de services Internet et leurs utilisateurs à la libre circulation des
données et des prestations, d’autres droits fondamentaux et libertés fondamentales
telle le liberté d’entreprise des fournisseurs de services Internet et leurs utilisateurs
commerciaux, tel Fashion ID, garantie par l’article 16 de la Charte, les droits
fondamentaux des utilisateurs d’Internet ainsi que des principes généraux du droit
de l’Union tel le principe de proportionnalité 13.
19 Cet équilibre adéquat voulu par les dispositions de protection des données de la
directive ne devrait pas pouvoir être miné par une mesure nationale s’inscrivant
dans le champ d’application de la directive ou en dehors. De plus, une
interprétation de la directive prenant en compte tous les intérêts légitimes
10
Point 10 de la décision de renvoi.
11
Arrêt du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779.
12
Voir sur ce point en détail plus bas, les points 60 et suivants.
13
Arrêts du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 87 et 97 ; du 9 mars
2010, Commission/Allemagne, C-518/07, EU:C:2010:125, point 24 ; du 8 avril 2014,
Commission/Hongrie, C-288/12, EU:C:2014:237, point 51 ; du 6 octobre 2015, Schrems,
C-362/14, EU:C:2015:650, point 42 ; ainsi que, par analogie, du 29 janvier 2008, Promusicae,
C-275/06, EU:C:2008:54, point 68 ; et du 27 mars 2014, UPC Telekabel Wien, C-314/12,
EU:C:2014:192, point 46.
7
AFFAIRE C-40/17 - 19
concernés, en particulier les intérêts des fournisseurs de prestations Internet et
leurs utilisateurs européens, à offrir et recevoir des services de haute qualité
répondant aux normes modernes, doit recevoir autant de place possible pour des
solutions souples et pratiques et des évolutions éventuelles dans l’avenir. Les
obligations des fournisseurs de prestations Internet
[Or. 10] ne devraient pas être
plus strictes que nécessaire pour garantir une protection élevée et effective des
données des utilisateurs traitées dans un objectif spécifique.
20 Globalement Facebook Ireland estime que les demandes de la VZNRW et les
questions de l’OLG Düsseldorf montrent clairement qu’une approche exagérée du
risque peut facilement conduire, dans le contexte du régime européen du droit à la
protection des données, à des résultats inadéquats. La Cour pourrait se demander :
la directive protège-t-elle, comme la VZBV le prétend, contre un risque purement
abstrait d’atteinte aux droits à la protection des données ou protège-t-elle
seulement contre des empiètements réels, effectifs ou à tout le moins probables
sur ces droits ? Concrètement : sous l’angle du droit à la protection des données,
est-il véritablement nécessaire, comme la VZBV le prétend, que, dans un cas où
un utilisateur consulte délibérément une page web déterminée sur Internet, chaque
fournisseur de contenus de module social sur cette page web (qui peuvent être très
nombreux) ou le gestionnaire du site lui-même soient tenus de fournir des
informations complètes sur le traitement de l’adresse IP de l’utilisateur et de sa
chaine de caractères aux seules fins d’afficher l’intégralité du contenu du site et de
recueillir le consentement à ce traitement ? Facebook Ireland estime que non.
21 Facebook Ireland est convaincu que, dans sa réponse aux questions de l’OLG
Düsseldorf, la Cour précisera et développera un régime uniforme et efficace de
protection des données dans le champ d’application de la directive, tel le régime
établi par le nouveau règlement général sur la protection des données 14 (ci-après
le « RGPD »), qui sert dans une mesure identique les différents intérêts légitimes
concernés tant des citoyens de l’Union que des fournisseurs de prestations
Internet.
D.
Sur les questions préjudicielles
22 Sur la base des faits qui précèdent et des principes généraux exposés, Facebook
Ireland sollicite la Cour de répondre comme suit aux questions préjudicielles :
[Or. 11]
14
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et
à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur
la protection des données) (JO 2016, L 119, p. 1).
8
FASHION ID
I.
Sur la réponse à la première question préjudicielle
23 Par sa première question, l’OLG Düsseldorf souhaite savoir en substance si, en
marge des droits des personnes, énoncés au chapitre III de la directive, d’agir
contre des atteintes à la protection des données, les articles 22, 23 et 24 de la
directive permettent uniquement aux États membres d’habiliter en outre des
autorités [de contrôle] de [la] protection des données au sens de l’article 28 à agir
contre des atteintes éventuelles à la protection des données ou s’ils leur permettent
également d’habiliter des associations d’utilité publique à agir en justice pour
défendre les intérêts des consommateurs.
24 L’OLG Düsseldorf indique que l’article 80, paragraphe 2, du RGPD permet
expressément aux États membres d’habiliter des associations d’utilité publique à
agir pour les personnes concernées contre des atteintes à la protection des
données. Dans ce contexte, l’OLG Düsseldorf estime ne pas apercevoir en quoi la
directive s’opposerait à un tel droit 15.
25 Facebook Ireland estime que, contrairement à ce pense l’OLG Düsseldorf, des
indices clairs montrent qu’un droit des associations d’utilité publique d’agir pour
les personnes concernées contre des atteintes à la protection des données est
inconciliable avec la directive. Cela ressort des termes, de la finalité et de
l’économie de la directive.
26
Premièrement, aux termes des dispositions pertinentes du chapitre III, seuls des
particuliers concernés sont habilités à exercer des droits par voie d’action civile.
L’article 22 de la directive dispose expressément que les États membres prévoient
que « toute personne » dispose d’un recours juridictionnel. De plus, aux termes de
l’article 23 de la directive, seule la « personne ayant subi un dommage » a le droit
d’obtenir réparation du préjudice subi.
27
Deuxièmement, cette interprétation est corroborée par les objectifs généraux de la
directive. Pour garantir un niveau de protection élevé effectif, global et équivalent
dans tous les États membres, des droits fondamentaux significatifs à la vie privée
et à la protection des
[Or. 12] données à caractère personnel 16 ainsi que la libre
circulation des données entre les États membres et, de ce fait, le fonctionnement
du marché intérieur au titre de l’article 26, paragraphe 2, TFUE 17, la directive met
15
Point 12 de la décision de renvoi.
16
Arrêts des 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, point 95 ; 24 novembre
2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 et C-469/10,
EU:C:2011:777, point 28 ; 8 avril 2014, Digital Rights Ireland e.a., C-293/12 et C-594/12,
EU:C:2014:238,
point 53 ;
13 mai
2014,
Google
Spain
et
Google,
C-131/12,
EU:C:2014:317,points 53, 66 et 74 ; ainsi que du 6 octobre 2015, Schrems, C-362/14,
EU:C:2015:650, point 39 ; conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire
Verein für Konsumenteninformation, C-191/15, EU:C:2016:388, point 109.
17
Voir notamment arrêts des 20 mai 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 et
C-139/01, EU:C:2003:294, points 39 et 70 ; 6 novembre 2003, Lindqvist, C-101/01,
9
AFFAIRE C-40/17 - 19
en place une harmonisation des dispositions nationales relatives à la protection des
données qui ne se limite pas à une harmonisation minimale mais aboutit à une
pleine harmonisation qui est, en principe, complète 18. Le régime harmonisé des
actions judiciaires prévues par la directive est un volet essentiel de l’équilibre
recherché par la directive entre la protection effective des droits fondamentaux des
particuliers à la vie privée et l’intérêt légitime des particuliers et des opérateurs
économiques à la libre circulation des données et à la libre prestation de services
dans l’Union 19. À cet effet, la directive a mis en œuvre un régime d’actions
judiciaires dans lequel les actions propres au droit à la protection des données sont
l’apanage (a) des personnes concernées (chapitre III, articles 22 et 23 de la
directive) et (b) des autorités de contrôle de la protection des données (article 28
de la directive).
28
Troisièmement, la directive vise également le rôle que des associations,
représentant les personnes concernées, sont appelées à remplir dans ce régime
d’actions judiciaires. L’article 28, paragraphe 4, de la directive prévoit que ces
associations peuvent adresser aux autorités de contrôle de la protection des
données des demandes pour une personne concernée. Celles-ci doivent y donner
suite. Dans la directive adoptée, le législateur de l’Union a ainsi prévu un rôle
clair pour les associations, sans les habiliter à agir en justice au-delà du simple
droit d’adresser une demande.
29 Globalement, la directive n’habilite pas les associations d’utilité publique à agir en
justice pour exercer en nom propre des actions pour les consommateurs contre les
auteurs éventuels d’une atteinte au droit à la protection des données. La directive
n’habilite pas non plus les États membres à accorder spontanément ce droit d’agir
en justice. Si ce droit n’a été introduit que dans le RGPD, il s’agit
[Or. 13] d’une
nouveauté. Si les États membres pouvaient déjà conférer ce droit alors qu’il n’était
pas expressément prévu dans la directive, il n’y aurait eu aucune raison de
reprendre cette formule dans le RGPD.
30 Facebook Ireland estime dès lors qu’une extension spontanée des facultés
d’intervention au niveau national romprait l’équilibre que le législateur de l’Union
a créé dans le régime des actions judiciaires mis en place dans la directive. Cela
serait inconciliable avec la directive.
31 Facebook Ireland propose dès lors de répondre à la première question comme
suit :
EU:C:2003:596, point 96 ; ainsi que du 9 mars 2010, Commission/Allemagne, C-518/07,
EU:C:2010:125, point 20.
18
Arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, point 96 ; ainsi que du
24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10
et C-469/10, EU:C:2011:777, point 29.
19
Voir arrêt du 6 octobre 2015, Schrems, C-362/14, EU:C:2015:650, points 40 et 41.
10
FASHION ID
Les articles 22, 23 et 24 de la directive 95/46/CE doivent être interprétés
en ce sens qu’ils s’opposent à une réglementation nationale qui, en
marge des pouvoirs d’intervention des autorités de protection des
données visés à l’article 28 de la directive 95/46/CE et des recours
juridictionnels [actions en justice] que les articles 22 et 23 de la directive
95/46/CE ouvrent à la personne concernée, habilite, dans les atteintes au
droit à la protection des données, des associations d’utilité publique de
défense des intérêts des consommateurs à agir contre l’auteur d’une
atteinte avec ou sans mandat de la personne concernée.
II.
Sur la réponse à la deuxième question préjudicielle
32 Par sa deuxième question, l’OLG Düsseldorf souhaite savoir en substance si les
gestionnaires de sites qui insèrent dans leur site un module social qui déclenche un
traitement de données à caractère personnel sur lequel ils ne peuvent avoir aucune
influence doivent être qualifiés de (co)responsables du traitement des données au
sens de l’article 2, sous d), de la directive.
33 Facebook Ireland estime que tel n’est pas le cas.
1.
Les gestionnaires de sites ne doivent pas être qualifiés de responsables
du traitement des données, induit par des modules sociaux placés sur
leurs sites et sur lequel ils ne peuvent avoir aucune influence
34 Facebook Ireland estime que les gestionnaires de sites ne doivent pas être qualifiés
de responsables du traitement des données, induit par des modules sociaux placés
sur leurs sites et sur lequel ils ne peuvent avoir aucune influence. Cela découle des
[Or. 14] termes de l’article 2, sous d), de la directive et du type de contrôle conçu
par la directive.
35 Aux termes de l’article 2, sous d), de la directive, la personne responsable du
traitement des données est celle qui « seul[e] ou conjointement avec d’autres,
détermine les finalités et les moyens du traitement de données à caractère
personnel ». Cette définition établit un type de contrôle fonctionnel. Ce type
fonctionnel vise à imputer les responsabilités aux personnes qui exercent une
influence de fait, et elle repose par conséquent sur une analyse factuelle plutôt que
formelle 20. La personne responsable du traitement des données est donc, pour
reprendre les termes de la Commission « responsable en dernier ressort des choix
qui président à la conception et au fonctionnement du traitement réalisé » 21 C’est
pour cette raison fonctionnelle que le responsable du traitement des données
20
Groupe de travail « article 29 » sur la protection des données, Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010, p. 12.
21
Voir Commission, Proposition modifiée de directive du Conseil relative à la protection des
personnes physiques à l’ égard du traitement des données à caractère personnel et à la libre
circulation de ces données COM (92) 422 final, p. 10.
11
AFFAIRE C-40/17 - 19
endosse au titre de la directive des obligations et responsabilités très vastes. Il doit
notamment garantir la conformité du traitement des données aux principes définis
à l’article 6, paragraphe 1, de la directive (voir l’article 6, paragraphe 2) ; il répond
du respect des droits des personnes concernées de recevoir des informations et des
renseignements, de procéder à la rectification, à l’effacement ou au verrouillage
des données ainsi que de leur droit de s’opposer au traitement de données à
caractère personnel (articles 10 à 12 et article 14) ; il est le destinataire des
dispositions relatives à la notification et au contrôle préalable (articles 18 à 21) ; il
doit assurer un niveau de sécurité approprié des traitements (article 17) et il doit
répondre des dommages nés d’un traitement illicite (article 23).
36 Facebook Ireland estime que, dans ce type aussi vaste de responsabilité, cette
responsabilité ne devrait pas être imputée à une personne qui structurellement déjà
ne peut pas s’acquitter des vastes obligations que ce rôle comporte, tant qu’une
personne, comme Facebook Ireland en l’occurrence, endosse la responsabilité du
traitement des données. Une personne n’est en mesure de respecter les différentes
obligations et responsabilités imputées au responsable du traitement des données
que si elle est en mesure d’exercer effectivement un contrôle sur
[Or. 15] le
pourquoi et le comment d’un traitement de données à caractère personnel. Ce
contrôle est exercé soit parce que la personne accomplit elle-même ce traitement
des données soit parce qu’elle est en mesure de contrôler complètement la
personne qui accomplit le traitement des données en sous-traitance. Il ne suffit pas
simplement d’être en position de permettre à une autre personne de traiter des
données. Une telle position ne donne pas à elle seule à une personne les
informations ou l’influence nécessaires pour respecter les obligations et
responsabilités d’un responsable du traitement des données. La situation est
comparable à celle d’un exploitant d’un centre commercial. À l’instar d’une
gestionnaire de site, l’exploitant d’un centre commercial donne en location des
surfaces dans son centre commercial à des propriétaires de fonds de commerce qui
établissent des liens propres indépendants avec des clients. Personne ne songerait
que l’exploitant du centre commercial soit « responsable du traitement » pour le
traitement de données lié à l’émission de cartes de fidélité des clients par les
propriétaires des fonds de commerce. Tout comme le gestionnaire du site qui
insère un module social, l’exploitant d’un centre commercial se borne dans ce cas
à mettre à disposition les locaux dans lesquels le propriétaire du fonds de
commerce (ou le fournisseur du module social) peut établir un lien direct et
particulier avec l’utilisateur final.
37 D’après ces principes, le gestionnaire d’un site, tel Fashion ID, ne devrait pas être
qualifié de responsable du traitement des données pour le traitement d’une adresse
IP et d’une chaîne de caractères (par un tiers) aux fins de configurer des contenus
de modules sociaux. Il est exact que Fashion ID et d’autres gestionnaires de sites
qui insèrent des modules sociaux décident d’insérer chaque contenu du module
social et créent ainsi la possibilité d’une transmission directe de l’adresse IP du
navigateur de la personne concernée au serveur du fournisseur du contenu du
12
FASHION ID
module social. Cependant, ainsi que l’OLG Düsseldorf l’expose à juste titre 22, le
gestionnaire du site qui insère des contenus de module sociaux, ne peut avoir
aucune influence sur les données telles que l’adresse IP ou la chaine de caractères
du navigateur (et probablement d’autres données) qui sont directement transmises
du navigateur de l’utilisateur au fournisseur du module social ni sur le traitement
de ces données par le fournisseur du module social. Il ne peut en particulier pas
déterminer si et comment les données sont stockées et analysées.
[Or. 16]
38 Ce résultat est nécessaire pour créer un équilibre adéquat entre les différents droits
et intérêts à prendre en compte dans le traitement et respecte adéquatement le
principe de proportionnalité. Qualifier des gestionnaires de sites, tel Fashion ID,
de responsable du traitement rendrait pratiquement impossible l’utilisation de
contenus de modules sociaux de tiers qui sont des moyens efficaces pour éviter
des redondances anti économiques et pour améliorer la qualité et la mise à jour
des contenus offerts aux citoyens de l’Union sur Internet. La liberté d’entreprise
des gestionnaires de sites et des fournisseurs de modules sociaux, protégée par
l’article 16 de la Charte, ainsi que leur liberté de prestations au titre de
l’article 56 TFUE seraient ainsi limitées dans une mesure non nécessaire à la
protection effective des utilisateurs et, de ce fait, de manière disproportionnée.
Cela ne vaut pas uniquement pour Facebook Ireland et d’autres grosses entreprises
telles que Google et Apple, qui sont naturellement appelées à être impliquées dans
des affaires telles que la présente affaire. L’industrie de l’Internet ainsi que
d’innombrables petites et moyennes entreprises dans de nombreux secteurs
industriels dans l’Union, qui offrent des contenus externes aux gestionnaires de
site, sont les premières à dépendre de la possibilité d’insérer des contenus externes
sur leurs sites web. Ce sont en particulier les petits sites web récents qui sont
tributaires des recettes à générer sur le web et du développement de leurs propres
contenus par des modules sociaux externes. Si les gestionnaires de sites étaient
qualifiés de responsables du traitement pour tout traitement possible de données
induit par des modules sociaux, ce secteur innovant et d’avenir serait gravement
menacé dans l’ensemble de l’Union.
39 Par ces motifs, Facebook Ireland estime que les gestionnaires de sites ne devraient
pas être qualifiés de responsables du traitement pour le traitement d’adresses IP et
de chaînes de caractères que réalisent des fournisseurs de modules sociaux aux
fins de configurer les contenus des modules sociaux et sur lequel les gestionnaires
de sites ne peuvent avoir aucune influence.
2.
En ordre subsidiaire : limitation de la responsabilité à la sphère
d’influence effective
40 Si la Cour devait estimer qu’il n’est pas exclu que les gestionnaires de sites
doivent être qualifiés de (co)responsables des traitements de données induits par
un module social, Facebook Ireland estime que pareille responsabilité
[Or. 17]
22
Décision de renvoi, point 4.
13
AFFAIRE C-40/17 - 19
devrait être strictement limitée à la sphère d’influence effective des gestionnaires
de sites. La VZNRW a soutenu devant l’OLG Düsseldorf que les gestionnaires de
sites devaient être qualifiés de (co)responsables car, en insérant le module social
sur leurs sites web, ils permettent la transmission originaire de l’adresse IP et de la
chaîne de caractères du navigateur directement de l’utilisateur au fournisseur du
module social. Si cette analyse était exacte, la responsabilité des gestionnaires de
sites au titre du droit à la protection des données et les obligations et
responsabilités qui y sont liées ne devraient en tout cas pas déborder de l’étendue
de cette influence et de ce regard du gestionnaire du site et se rapporter en
particulier au seul fait que l’affichage d’un module social implique nécessairement
la transmission de certaines données au fournisseur du module social. Tout autre
élément de la transmission des données et tout traitement de données fait dans la
foulée par le fournisseur du module social échappent en tout cas à l’influence et au
regard du gestionnaire du site et de ce fait à son contrôle 23.
41 Facebook Ireland propose dès lors de répondre comme suit à la deuxième
question :
Lorsque le gestionnaire d’un site insère sur son site des contenus
externes en sorte que le navigateur d’un utilisateur sollicite des contenus
d’un fournisseur externe et transmet à cet effet au fournisseur externe
des données à caractère personnel, ce gestionnaire de site ne doit pas
être qualifié de « responsable du traitement » au sens de l’article 2,
sous d), de la directive 95/46/CE lorsqu’il ou elle ne peut avoir aucune
influence sur le traitement des données induit par le contenu externe.
En ordre subsidiaire
Lorsque le gestionnaire d’un site insère sur son site des contenus
externes en sorte que le navigateur d’un utilisateur sollicite des contenus
d’un [Or. 18] fournisseur externe et transmet à cet effet au fournisseur
externe des données à caractère personnel, ce gestionnaire de site ne
doit être qualifié de « responsable du traitement » au sens de l’article 2,
sous d), de la directive 95/46/CE que dans la mesure où un tel traitement
de données se fait dans sa sphère d’influence et de regard.
23
Conformément à une telle responsabilité limitée, les gestionnaires de sites auraient par exemple
besoin d’une base légale au titre de l’article 7 de la directive que pour la transmission initiale de
données au fournisseur du module social (par exemple pour obtenir un consentement
suffisamment conscient au titre de l’article 7, sous a), de la directive, ils ne devraient informer
que de ce traitement limité). Toutes les autres obligations et responsabilités seraient de surcroît
limitées pour prendre adéquatement en compte la mesure limitée du contrôle et du regard des
gestionnaires de sites. En aucune circonstance la responsabilité existante des gestionnaires de
sites ne devrait également comprendre la responsabilité pour le traitement de données qui se fait
entièrement en dehors de leur sphère d’influence et exclusivement dans la sphère du fournisseur
du module social.
14
FASHION ID
III.
Sur la réponse à la troisième question préjudicielle
42 Par sa troisième question préjudicielle, l’OLG Düsseldorf souhaite savoir en
substance si la directive et en particulier son article 2, sous d), doit être interprété
en ce sens qu’elle exclut la responsabilité civile de tiers, tels des gestionnaires de
sites, qui ne sont pas « responsables du traitement » au sens de l’article 2, sous d),
de la directive, pour des atteintes du responsable des données au droit à la
protection des données 24.
43 L’OLG Düsseldorf se réfère à cet égard à la notion de droit civil allemand de
responsabilité à titre de perturbateur. Selon cette notion, quelqu’un, qui ne
commet pas lui-même d’acte illicite mais cause ou aggrave néanmoins le risque
d’un acte illicite commis par un tiers, peut être mis en cause à certaines conditions
pour prendre les mesures possibles et adéquates qui empêcheront l’acte illicite.
44 Facebook Ireland relève à cet égard que, à l’article 22, la directive régit les recours
des personnes concernées à l’égard de tout type de traitement de données. Il
ressort de cette disposition que toute responsabilité civile pour des atteintes à la
protection des données est exhaustivement régie par la directive. Aucune
responsabilité ne peut dès lors être mise en place en dehors du champ
d’application de la directive.
45 Dans ce contexte, Facebook Ireland estime que la directive exclut toute
responsabilité civile de personnes qui ne sont pas responsables du traitement (ni
sous-traitants) (voir le point1). En ordre subsidiaire, Facebook Ireland
[Or. 19] estime que les personnes qui ne seront pas qualifiées de responsables du
traitement ne peuvent alors être tenues responsables [sur le plan civil] que lorsque
les personnes concernées ou les associations agissant en leur nom ont tout d’abord
pris toutes les initiatives adéquates pour tenir responsable [sur le plan civil] le
responsable du traitement (Principe des initiatives à prendre prioritairement envers
le responsable du traitement) (voir plus bas le point 2).
1.
Responsabilité [au titre de la protection des données] et responsabilité
[au plan civil] uniques du responsable du traitement
46 Facebook Ireland estime que la directive ne prévoit aucune responsabilité [au plan
civil] de personnes autres que le responsable du traitement et elle ne prévoit en
particulier pas de responsabilité [au plan civil] de tiers au sens de l’article 2,
24
L’OLG Düsseldorf indique dans sa décision de renvoi que la troisième question préjudicielle
concerne
le
même
thème
que
la
première
question
préjudicielle
que
le
Bundesverwaltungsgericht
(tribunal
administratif
fédéral)
a
posée dans l’affaire
Wirtschaftsakademie/ULD, C-210/16, actuellement pendante devant la Cour. Facebook Ireland
souhaite indiquer que cela n’est pas tout-à-fait exact. L’affaire C-210/16 concerne le pouvoir
des autorités de contrôle d’adresser des injonctions à des personnes qui ne doivent pas être
qualifiées de personnes responsables du traitement tandis que la présente affaire concerne en
revanche la question de savoir si des personnes qui ne doivent pas être qualifiées de
responsables du traitement peuvent être mises en cause sur la plan civil.
15
AFFAIRE C-40/17 - 19
sous f), de la directive. Non seulement les autorités de contrôle de la protection
des données 25, mais également les personnes concernées et les associations de
protection des consommateurs agissant en leur nom 26 ne sont dès lors pas
habilités à prendre des initiatives contre des gestionnaires de sites qui insèrent un
bouton « j’aime » sur leurs sites. Cela découle des termes et de l’économie de la
directive.
47
Premièrement, l’article 6, paragraphe 2, de la directive prévoit expressément
qu’« [i]l incombe au responsable du traitement d’assurer le respect du
paragraphe 1 ». Cela se rapporte aux principes les plus importants relatifs à la
qualité des données, y compris au principe de l’article 6, paragraphe 1, sous a),
voulant que les données à caractère personnel soient « traitées loyalement et
licitement ». Cela signifie que toutes les dispositions qui établissent les conditions
d’un traitement licite, s’adressent exclusivement au responsable du traitement 27.
48
Deuxièmement, l’article 22 de la directive veut que toute personne dispose d’un
recours juridictionnel en cas de violation des droits qu’elle tire de la directive.
Participant du régime des actions judiciaires prévu par la directive, ces
[Or. 20] recours juridictionnels doivent se concilier avec les droits et responsabilités prévus
par la directive. Il ne peut en particulier y avoir de recours juridictionnel pour
mettre en œuvre des responsabilités [sur le plan civil] et des obligations pour
atteintes au droit à la protection des données qui débordent de la directive. Ainsi
que nous l’avons exposé, le responsable du traitement est le destinataire exclusif
des obligations découlant des dispositions relatives aux droits de la personne
concernée de recevoir des informations, des renseignements, de procéder à la
rectification, à l’effacement ou au verrouillage des données ainsi que de leur droit
de s’opposer au traitement de données à caractère personnel (articles 10 à 12 et
article 14) ; des dispositions relatives à la notification et au contrôle préalable
(articles 18 à 21) ; et découlant de l’article 17 , qui impose un niveau de sécurité
approprié des traitements. Le responsable du traitement est également le seul à
répondre des dommages nés d’un traitement illicite (article 23). Il s’ensuit que
seul le responsable du traitement peut être tenu responsable [sur le plan civil] par
un recours juridictionnel.
49
Troisièmement, il découle des termes et de l’économie de l’article 28,
paragraphe 3, deuxième tiret, de la directive, que les autorités de contrôle de la
25
Voir l’affaire C-210/16 actuellement pendante.
26
Facebook Ireland évoque la possibilité qu’une association de protection des consommateurs
agisse en justice contre des personnes qui ont prétendument porté atteinte à un droit à la
protection des données uniquement pour donner une réponse à la troisième question posée à la
Cour. Facebook Ireland le fait sans préjudice de la réponse à la première question préjudicielle.
27
Groupe de travail « article 29 » sur la protection des données, Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010, p. 5.
16
FASHION ID
protection des données peuvent exercer des pouvoirs d’ingérence exclusivement à
l’encontre du responsable du traitement 28.
50
Quatrièmement, Facebook Ireland souhaite relever en terminant que le cadre clair
de responsabilité de la directive sert également les droits fondamentaux et les
libertés fondamentales des fournisseurs de services Internet responsables des
traitements de données et, dans une même mesure, les bénéficiaires de leurs
prestations et leurs utilisateurs. Si les utilisateurs ou des associations agissant pour
des utilisateurs étaient autorisés à mettre en cause sur le plan civil des tiers comme
par exemple des gestionnaires de sites, pour des traitements de données qu’ils ne
contrôlent pas, ils pourraient « utiliser » ces tiers pour contourner le régime
harmonisé de la directive et obtenir quasiment « par la bande » des mesures
incohérentes à travers l’Union contre les responsables effectifs du traitement tel
Facebook Ireland. Dans le même temps, les tiers courraient le risque d’être mis en
cause [sur le plan civil] pour des actes dont ils ignorent tout. Cela constituerait un
empiètement disproportionné sur la libre prestation de services passive de Fashion
ID protégée par l’article 56 TFUE dans l’utilisation des services de Facebook et
sur son droit d’exploiter un site web à des fins publicitaires qui participe de son
activité protégée par l’article 16 de la Charte ainsi que sur la libre prestation de
services Internet de Facebook
[Or. 21] Ireland visée à l’article 56 TFUE et sur son
droit fondamental à la liberté d’entreprise visée à l’article 16 de la Charte 29.
51 Globalement, la notion harmonisée du responsable du traitement détermine ainsi
exhaustivement qui est chargé de faire respecter les règles de protection des
données 30 et qui, de ce fait, peut être tenu responsable [sur le plan civil] en cas
d’atteintes au droit à la protection des données.
28
Les autorités de contrôle de la protection des données ne peuvent naturellement « ordonner le
verrouillage, l’effacement ou la destruction de données, ou interdire temporairement ou
définitivement un traitement » qu’au responsable du traitement. Par ailleurs, les autorités de
contrôle de la protection des données ne peuvent être habilitées à adresser un avertissement ou
une admonestation uniquement « au responsable du traitement » et non pas à un tiers. Et cela
pour une bonne raison : seul le responsable et aucun tiers peut en pratique mettre en œuvre dans
son propre traitement des injonctions faites au titre de l’article 28, paragraphe 3, deuxième tiret.
29
Les mesures dirigées contre le responsable ou le sous-traitant pour protéger efficacement la vie
privée doivent déjà être proportionnées car le champ d’application de la directive 95/46 est très
large et que les obligations des personnes responsables sont nombreuses et importantes, voir
arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 87 et 88. Facebook
Ireland estime que ces principes trouvent a fortiori application lorsqu’une association de
protection des consommateurs agit sur le plan civil contre des tiers, en l’occurrence Fashion ID,
qui peuvent invoquer leur liberté fondamentale d’utiliser des prestations (article 56 TFUE) et
leur liberté d’entreprise (article 16 de la Charte). Compte tenu du fait que la directive a
complétement harmonisé le droit national de la protection des données, en ce compris la notion
de personne responsable, qui impute la responsabilité au titre de la protection des données, toute
restriction indirecte de la liberté fondamentale de Facebook Ireland d’offrir des prestations dans
toute l’Union et de sa liberté d’entreprise ne serait jamais justifiée par des raisons d’intérêt
général.
30
Groupe de travail « article 29 » sur la protection des données, Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », adopté le 16 février 2010, p. 6.
17
AFFAIRE C-40/17 - 19
2.
En ordre subsidiaire : les initiatives sont à prendre prioritairement
envers le responsable du traitement
52 Facebook Ireland admet que l’article 22 de la directive ne détermine pas
explicitement que le recours juridictionnel ne puisse être dirigé que contre le
responsable du traitement tout en étant muet quant à la personne susceptible d’être
mise en cause pour des atteintes au droit à la protection des données. Si la Cour
devait dès lors décider que la directive n’interdit pas de prendre des initiatives
contre un tiers pour protéger effectivement les droits fondamentaux des personnes
concernées, Facebook Ireland estime qu’une telle interprétation de la directive :
– ne peut (à nouveau) pas être incompatible avec les droits fondamentaux et les
libertés fondamentales de tiers (en l’occurrence la liberté de prestation passive
et le liberté d’entreprise de Fashion ID) 31 ni avec les droits fondamentaux et les
libertés fondamentales du responsable du traitement (en l’occurrence la libre
prestation de services Internet et le droit fondamental à la liberté d’entreprise
de Facebook Ireland) ni avec d’autres principes fondamentaux du droit de
l’Union, en particulier le principe de proportionnalité ; et
– doit prendre suffisamment en compte le fait que la directive prévoit
expressément que seul le responsable du traitement doit veiller à ce que
[Or. 22] les données à caractère personnel soient traitées loyalement et
licitement et à ce que le tiers ne porte pas lui-même atteinte à la protection des
données.
53 Une telle interprétation est corroborée par la jurisprudence de la Cour. À l’endroit
d’injonctions de juridictions civiles à l’encontre d’intermédiaires et fournisseurs
de services de la société de l’information, dont les services sont utilisés par un
tiers pour porter atteinte aux droits de particuliers 32 , la Cour a déjà décidé qu’il
convient de tenir notamment compte des exigences résultant de la protection des
droits fondamentaux applicables de toutes les parties, et ce conformément à
l’article 51 de la charte des droits fondamentaux de l’Union européenne 33. La
31
Voir à cet égard plus haut le point 50.
32
Contrairement à la directive, l’article 8, paragraphe 3, de la directive 2001/29/CE sur
l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de
l’information (JO 2001, L 167, p. 10) et les dispositions combinées de l’article 12, paragraphe 1,
et de l’article 3 de la directive 2000/31/CE relative à certains aspects juridiques des services de
la société de l’information, et notamment du commerce électronique, dans le marché intérieur
(« directive sur le commerce électronique ») (JO 2000, L 178, p. 1) prévoient expressément
cette possibilité.
33
Arrêt du 27 mars 2014, UPC Telekabel Wien, C-314/12, EU:C:2014:192, citant l’arrêt du
24 novembre 2011, Scarlet Extended, C-70/10, EU:C:2011:771, point 41 ; voir à cet égard
également arrêt du 15 septembre 2016, Mc Fadden, C-484/14, EU:C:2016:689, points 82 et 83.
18
FASHION ID
Cour a considéré à cet égard notamment le fait que le destinataire de l’injonction
n’est pas l’auteur de l’atteinte qui a donné lieu à l’adoption de l’injonction 34.
54 Se fondant sur ces principes, Facebook Ireland estime que, pour garantir
pleinement les différents droits, libertés et principes et en particulier le principe de
proportionnalité, les personnes concernées ou les associations agissant en leur
nom doivent tout d’abord prendre toutes les initiatives adéquates pour mettre en
cause la responsabilité civile du responsable du traitement avant de pouvoir
prendre ou solliciter des mesures contre un tiers (Principe des initiatives à prendre
prioritairement envers le responsable du traitement). À considérer qu’elle soit
admise à la rigueur, une mesure contre un tiers ne pourrait que constituer une
mesure ultime appliquée dans des circonstances exceptionnelles par exemple
lorsqu’il s’impose d’intervenir d’urgence et que des mesures à l’encontre du
responsable du traitement seraient certainement inefficaces.
55 Une telle approche serait aussi conforme à la jurisprudence allemande sur la
responsabilité du perturbateur en droit allemand, à laquelle l’OLG Düsseldorf a
fait allusion.
[Or. 23] Dans l’état actuel de la jurisprudence du Bundesgerichtshof,
une action dirigée contre un intermédiaire au titre de la responsabilité du
perturbateur n’est recevable que lorsque le titulaire du droit a d’abord pris des
initiatives adéquates pour mettre en cause la responsabilité des personnes qui ont
effectivement commis les atteintes invoquées dans l’action. Ce n’est que lorsque
ces initiatives seraient manifestement vouées à l’échec que les titulaires du droit
sont habilités à mettre également en cause la responsabilité des personnes qui
n’ont commis aucune atteinte 35.
56 Facebook Ireland relève à cet égard que les personnes concernées et, au cas où
elles sont recevables à agir, les associations de défense des consommateurs
peuvent agir contre le responsable du traitement c’est-à-dire contre le fournisseur
du module social 36. Ce n’est qu’au cas où cette mise en cause échoue ou serait
manifestement vouée à l’échec, qu’une action pourrait être admise à titre ultime
contre une personne qui n’est pas responsable du traitement. Tant que le régime
des voies de droit visant à faire respecter le droit européen à la protection des
données donne effectivement la possibilité d’agir contre le responsable du
traitement, ce qui est habituellement le cas, il n’est ni nécessaire ni adéquat de
prévoir une action contre un tiers qui n’a pas commis d’atteintes 37.
34
Arrêt du 27 mars 2014, UPC Telekabel Wien, C-314/12, EU:C:2014:192, point 53.
35
Voir par exemple, BGH, arrêt du 26 novembre 2015 – 1 ZR 174/14– juris, point 83 ; et arrêt du
26 novembre 2015 – I ZR 3/14 – juris, point 70.
36
Voir arrêt du 1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, points 52 et 53.
37
En l’espèce, la VZNRW n’a pas agi contre Facebook Ireland pour mettre en cause la légalité du
traitement de données induit par le bouton « j’aime ».
19
AFFAIRE C-40/17 - 19
57 Facebook Ireland estime que des circonstances extraordinaires justifiant d’agir
directement contre un tiers existent notamment dans les cas de contournement du
régime. Tel peut notamment être le cas lorsque
– le responsable du traitement est établi en dehors de l’Union et n’a aucun
établissement dans l’Union (article 4, paragraphe 1, sous c), de la directive) et,
au mépris de l’obligation qui lui incombe en vertu de l’article 4, paragraphe 2,
de la directive, n’a désigné aucun représentant établi dans l’État membre dans
lequel le responsable du traitement recourt, à des fins de traitement de données
à caractère personnel, à des moyens situés sur le territoire dudit État membre ;
ou
[Or. 24]
– lorsque le responsable du traitement déplace constamment le siège de son
entreprise et ses serveurs d’un État membre à un autre afin de se soustraire aux
voies de droits visant à faire respecter le droit à la protection des données.
Dans ces circonstances extraordinaires, il y a un risque réel que des personnes
concernées et les associations qui agiront pour elles, n’aient pas réellement la
possibilité de mettre en cause la responsabilité [sur le plan civil] du responsable
du traitement et de parvenir à protéger effectivement les droits des citoyens et
résidents de l’Union en sorte que la protection pleine et effective des droits
fondamentaux de l’Union l’on puisse ainsi être contournée. Facebook Ireland
reconnaît que, dans pareilles circonstances, la Cour pourrait reconnaître un droit
exceptionnel à agir contre une personne qui n’est pas responsable du traitement
des données, en développant ce qu’elle a déterminé dans les arrêts Google Spain
et Weltimmo, nettement inspirés de la volonté de la Cour d’empêcher de voir
contourner la protection des droits fondamentaux et des libertés fondamentales
que la directive accorde aux personne concernées 38, sans étendre toutefois ce droit
exceptionnel au–delà de ces circonstances extraordinaires.
58 Il n’y a en l’espèce aucune circonstance extraordinaire de cette nature. Facebook
Ireland, seul « responsable du traitement » dans le traitement des données
litigieux, est établi dans l’Union et endosse expressément la responsabilité des
traitements de données, qu’il contrôle. Il relève du contrôle strict de l’IDPC et a
dans le passé également été effectivement surveillé par des juridictions
allemandes.
59 Par tous ces motifs, Facebook Ireland propose de répondre à la [troisième]
question comme suit :
La directive 95/46 et en particulier son article 2, sous d), doit être
interprétée en ce sens qu’elle régit exhaustivement la responsabilité sur
les plans civil et de la protection des données, pour des atteintes au droit
à la protection des données de manière à exclure la responsabilité sur le
38
Voir arrêts du 13 mai 2014, Google Spain et Google, C-131/12, EU:C:2014:317, point 54 ;
ainsi que du 1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, points 16, 18, 26 et 30.
20
FASHION ID
plan civil de tiers qui ne sont pas responsables du traitement au sens de
[Or. 25] l’article 2, sous d), de la directive 95/46/CE mais sont
néanmoins à l’origine des traitements de données sans pouvoir avoir
d’influence sur ceux-ci.
en ordre subsidiaire :
La directive 95/46 et en particulier son article 2, sous d), doit être
interprétée en ce sens qu’elle régit exhaustivement la responsabilité sur
les plans civil et de la protection des données, pour des atteintes au droit
à la protection des données, de manière à exclure la responsabilité sur le
plan civil de tiers qui ne sont pas responsables du traitement au sens de
l’article 2, sous d), de la directive 95/46/CE mais sont néanmoins à
l’origine des traitements de données sans pouvoir avoir d’influence sur
ceux–ci dans la mesure où toutes les initiatives adéquates n’ont pas été
prises pour mettre en cause la responsabilité sur le plan civil du
responsable du traitement ou que celles-ci seraient manifestement
vouées à l’échec.
IV.
Sur la réponse à la quatrième question préjudicielle
60 Par sa quatrième question, l’OLG Düsseldorf demande si, au cas où le
gestionnaire d’un site (en l’occurrence Fashion ID) insère sur son site le module
social d’un tiers (en l’occurrence Facebook Ireland), les intérêts légitimes à
prendre en compte dans la mise en balance à faire au titre de l’article 7, sous f), de
la directive 95/46/CE sont les intérêts du gestionnaire du site ou bien les intérêts
du fournisseur du module social 39.
61 Facebook Ireland relève à ce titre que le Cour a décidé qu’il incombe aux États
membres, lors de la transposition des directives susmentionnées, de veiller à se
fonder sur une interprétation de ces dernières qui permette d’assurer un juste
équilibre entre les différents droits fondamentaux protégés par l’ordre juridique
communautaire. Ensuite, lors de la mise en œuvre des mesures de transposition de
ces directives, il incombe aux autorités et aux juridictions des États membres non
seulement d’interpréter leur droit national d’une manière conforme auxdites
directives, mais également de veiller à ne pas se fonder sur une interprétation de
celles-ci
[Or. 26] qui entrerait en conflit avec lesdits droits fondamentaux ou avec
les autres principes généraux du droit communautaire, tels que le principe de
proportionnalité 40.
39
La question n’est utile à la solution du litige que si le gestionnaire su site est responsable du
traitement au sens de l’article 2, sous d), de la directive ou à tout le moins responsable sur le
plan civil, à titre de perturbateur, pour l’atteinte éventuelle causée par le fournisseur du module
social.
40
Arrêts des 29 janvier 2008, Promusicae, C-275/06, EU:C:2008:54, point 68 ; 27 mars 2014,
UPC Telekabel Wien, C-314/12, EU:C:2014:192, point 45 ; 15 septembre 2016, Mc Fadden,
21
AFFAIRE C-40/17 - 19
62 Ces principes conduisent Facebook Ireland à estimer que l’interprétation de
l’article 7, sous f), de la directive doit conférer plein effet à tous ces droits
fondamentaux et à toutes ces libertés fondamentales dans l’application de cette
disposition. Ainsi que nous l’avons exposé plus haut, toute décision statuant sur la
licéité du traitement des données déclenché par le module social a en plus une
incidence sur le droit à la vie privée et à la protection des données de l’utilisateur,
protégé (positivement ou négativement) par les articles 7 et 8 de la Charte, et tout
autant à tout le moins sur la liberté protégée par l’article 56 TFUE de fournir et de
recevoir des services Internet ainsi que sur le droit fondamental à la liberté
d’entreprise visé à l’article 16 de la Charte tant du gestionnaire du site que du
fournisseur du module social ainsi que, le cas échéant, sur d’autres droits d’autres
utilisateurs 41.
63 Cette interprétation conforme à la jurisprudence de la Cour a été codifiée
récemment par le législateur de l’Union dans l’article 6, paragraphe 1, sous f), du
RGPD, qui succède à l’article 7, sous f), de la directive. Cette disposition vise
expressément la préservation des intérêts légitimes poursuivis par « le responsable
du traitement ou par un tiers ».
64 Il incombe dès lors aux juridictions et aux autorités des États membres, pour
donner plein effet aux droits fondamentaux et aux libertés fondamentales
concernés dans l’application de la directive, de prendre en compte au titre de
l’article 7, sous f), de la directive, les intérêts à la fois du gestionnaire du site et du
fournisseur du module social et le cas échéant d’autres tiers, par exemple d’autres
utilisateurs, dans l’appréciation de la licéité du traitement de données déclenché
par le module.
65 Par ces motifs, Facebook Ireland propose de répondre à la quatrième question
comme suit :
Dans l’application de l’article 7, sous f), de la directive 95/46, il incombe
aux autorités et aux juridictions des États membres de prendre en
compte les intérêts légitimes de toutes les personnes physiques et
morales dont les droits fondamentaux pourraient être affectés [Or. 27]
par leur décision. Au cas où elles statuent sur la licéité du traitement des
données déclenché par le module social d’un tiers inséré sur un site web,
il leur incombe à tout le moins de prendre en compte les intérêts
légitimes des personnes concernées, ceux du gestionnaire du site et ceux
du fournisseur du module social.
C-484/14, EU:C:2016:689, points 82 et 83 ; ainsi que du 24 novembre 2011, Scarlet Extended,
C-70/10, EU:C:2011:771, point 41.
41
Voir plus haut le point 50.
22
FASHION ID
V.
Sur la réponse à la cinquième question préjudicielle
66 Par la cinquième question, l’OLG Düsseldorf souhaite savoir à qui l’utilisateur
doit déclarer le consentement visé à l’article 7, sous a), et à l’article 2, sous h), de
la directive lorsque le gestionnaire du site insère le module social d’un tiers 42.
67 Facebook Ireland estime que l’article 7, sous a), et l’article 2, sous h), de la
directive ne requièrent pas que le consentement soit donné à un destinataire
déterminé :
68
Premièrement, les dispositions de la directive consacrées aux destinataires du
consentement de la personne concernée sont ouvertes. En particulier, l’article 2,
sous h), de la directive prévoit que le consentement soit une manifestation « libre,
spécifique et informée ». Rien ne requiert que le consentement soit manifesté à un
destinataire déterminé.
69
Deuxièmement, Facebook Ireland constate que le principe général voulant que le
traitement de données à caractère personnel soit légitimé par une des causes
d’habilitation de l’article 7 de la directive vise à établir un niveau élevé de
protection pour le droit à l’autodétermination des informations et la protection des
données à caractère personnel des utilisateurs 43. La notion de consentement
définie à l’article 7, sous a), et à l’article 2, sous h), de la directive doit permettre
aux utilisateurs d’avoir le plein contrôle de l’utilisation de leurs données, ce qui
constitue un volet important du droit fondamental à la protection de la vie privée
et à la protection des données 44.
[Or. 28]
70 Facebook Ireland estime que la protection effective du droit fondamental à la
protection de la vie privée et à la protection des données requiert que la procédure
d’obtention d’un consentement soit transparente et que les utilisateurs disposent
d’informations suffisantes pour être conscients du traitement des données auquel
ils sont censés consentir et qu’ils les comprennent parfaitement. Le destinataire du
consentement n’est cependant pas un facteur essentiel pour garantir une telle
protection.
71
Troisièmement, cette analyse est également corroborée par la jurisprudence de la
Cour. La Cour a indiqué à l’endroit de l’article 12 de la directive 2002/58/CE
concernant la protection des données dans le secteur des communications
42
À l’instar de la quatrième question, la cinquième question n’est utile à la solution du litige que si
le gestionnaire du site est responsable du traitement ou pourrait voir sa responsabilité mise en
cause sur le plan civil, à titre de perturbateur.
43
Voir les considérants 10, 25 et 30 de la directive.
44
Groupe de travail « article 29 » sur la protection des données, Avis 15/2011 sur la définition du
consentement, document de travail 187, p. 10.
23
AFFAIRE C-40/17 - 19
électroniques 45 que le consentement des abonnés visé dans cette disposition est
libre, spécifique et informé au sens de l’article 2, sous h) et de l’article 7, sous a),
de la directive. Elle a ajouté qu’un tel consentement ne légitime pas seulement le
traitement des données par le destinataire du consentement mais pouvait s’étendre
en plus à « la transmission de ces mêmes données à une autre entreprise », à la
condition que ce traitement poursuive la même finalité que le traitement auquel
l’abonné a consenti 46. La Cour a ainsi reconnu que le consentement manifesté à
un responsable du traitement peut également légitimer le traitement ultérieur de
données par une autre personne à la condition que la personne concernée puisse
apercevoir à suffisance que ce traitement de données a également été couvert par
son consentement 47.
72 Facebook Ireland estime dès lors que le consentement visé à l’article 7, sous a), et
à l’article 2, sous h), de la directive peut être donné au responsable du traitement
des données ou à toute autre personne, à la condition que la procédure d’obtention
du consentement soit conçue de telle sorte que la manifestation du consentement
de la personne concernée soit libre, spécifique et informée.
73 Par ces motifs, Facebook Ireland propose de répondre à la cinquième question
comme suit :
[Or. 29]
Aux termes de l’article 7, sous a), et de l’article 2, sous h), de la
directive 95/47/CE, le consentement de la personne concernée, qui
légitime le traitement de ses données à caractère personnel, peut être
manifesté au « responsable du traitement » de ce traitement de données
ou à toute autre personne physique ou morale qui recueille le
consentement pour le responsable du traitement, à la condition que le
procédure dans laquelle le consentement est recueilli soit conçue de telle
sorte que le consentement remplisse les conditions de l’article 2, sous h),
de la directive en étant en particulier libre, spécifique et informé.
VI.
Sur la réponse à la sixième question préjudicielle
74 Par la sixième question, l’OLG Düsseldorf souhaite savoir si les gestionnaires de
sites qui ont inséré le module social d’un tiers sur leurs sites doivent s’acquitter de
l’obligation d’informer la personne concernée en vertu de l’article 10 de la
directive du traitement des données déclenché par le module social.
45
Directive 2002/58/CE concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des communications électroniques (directive vie
privée et communications électroniques) (JO 2002, L 201, p. 37).
46
Arrêt du 5 mai 2011, Deutsche Telekom, C-543/09, EU:C:2011:279, point 58.
47
Arrêt du 5 mai 2011, Deutsche Telekom, C-543/09, EU:C:2011:279, point 65.
24
FASHION ID
75 D’après l’énoncé clair de l’article 10, première phrase, de la directive, c’est au
responsable du traitement qu’il incombe de fournir à la personne concernée les
informations relatives au traitement, énumérées à l’article 10. Il peut s’acquitter de
cette obligation lui-même ou par la voie d’un représentant. En l’espèce, c’est donc
Facebook Ireland qui est tenu, en tant que responsable du traitement, de fournir les
informations requises. Il peut néanmoins charger le gestionnaire du site, en
l’occurrence Fashion ID, de fournir les informations en son nom.
76 La réponse à la sixième question est dès lors étroitement liée à la question de
savoir si le gestionnaire du site peut être qualifié de responsable du traitement
d’un traitement de données qui est déclenché par un module social (voir à cet
égard la deuxième question préjudicielle). L’obligation d’informer en vertu de
l’article 10 de la directive n’incombe dès lors au gestionnaire du site que dans la
mesure où le gestionnaire du site sera qualifié de gestionnaire du site pour ce
traitement de données.
77 Facebook Ireland constate à cet égard que l’article 10 de la directive montre
clairement en quoi il serait inadéquat de qualifier le gestionnaire du site
responsable du traitement pour un
[Or. 30] traitement de données qui est
déclenché par des modules sociaux de tiers, ou en quoi il serait en tout cas
judicieux de limiter adéquatement cette responsabilité. Ainsi que l’OLG
Düsseldorf le souligne dans sa décision de renvoi, le gestionnaire d’un site ne
serait normalement pas en mesure de fournir toutes les informations requises par
l’article 10 de la directive concernant le traitement des données déclenché par les
modules sociaux puisqu’il ne connaît pas la finalité ni l’ampleur de ce traitement
de données. Facebook Ireland estime que la notion de responsabilité voulue par la
directive doit être interprétée en ce sens que la responsabilité est imputée à une
personne qui est en mesure de répondre des obligations et responsabilités d’une
personne responsable du traitement en ce qu’elle détermine effectivement le
pourquoi et le comment du traitement des données et a un regard complet sur le
traitement des données ou peut à tout le moins l’obtenir 48.
78 Par ces motifs, Facebook Ireland propose de répondre à la sixième question
comme suit :
Aux termes de l’article 10 de la directive 95/46/CE, seul le responsable
du traitement des données au sens de l’article 2, sous d), de la
directive 95/46/CE est tenu de remplir l’obligation d’informer qui y est
établie. Il peut s’acquitter de cette obligation lui-même ou par la voie
d’un représentant.
(sé)
Me Hans-Georg Kamann
48
Voir plus haut les points 34 à 39.
25