link to page 2 link to page 2 link to page 2 link to page 4 link to page 6 link to page 9 link to page 13 link to page 13 link to page 14 link to page 14
Traduction
C-40/17 - 16
Observations de l’Allemagne
Affaire C-40/17 *
Pièce déposée par:
le gouvernement allemand
Nom usuel de l’affaire:
FASHION ID
Date de dépôt:
le 8 mai 2017
[omissis]
[Or. 2]
Table des matières
I. Le droit de l’Union ............................................................................................................... 2
1. La charte des droits fondamentaux de l’Union européenne ..................................... 2
2. La directive 95/46 .......................................................................................................... 2
II. Le droit national .................................................................................................................. 4
I. Sur la première question préjudicielle .................................................................................. 6
II. Sur la deuxième question préjudicielle ............................................................................... 9
III. Sur la troisième question préjudicielle............................................................................. 13
IV. Sur la quatrième question préjudicielle ........................................................................... 13
V. Sur la cinquième question préjudicielle ............................................................................ 14
VI. Sur la sixième question préjudicielle ............................................................................... 14
[Or. 3]
A.
INTRODUCTION
1
L’affaire au principal porte en substance sur l’imputation de responsabilités au
titre du droit à la protection des données dans une relation à trois personnes qui se
présente de la façon suivante : le gestionnaire d’un site web (à savoir Fashion ID)
insère dans son site ce que l’on appelle un « module social » (en l’occurrence le
bouton « j’aime » de Facebook) d’un fournisseur externe (c’est-à-dire Facebook),
qui induit une transmission de données à caractère personnel, de l’ordinateur de
l’utilisateur du site web, au fournisseur externe, et ce peu importe que cet
utilisateur soit ou non un membre de Facebook et qu’il clique ou non sur le bouton
« j’aime » de Facebook.
* Langue de procédure : l’allemand.
FR
– AFFAIRE C-40/17-16
2
Le gouvernement allemand estime que le gestionnaire du site web est un
« responsable du traitement » pour les transmissions de données que le module
induit, mais qu’il ne l’est pas pour les opérations ultérieures de traitement de
données que le fournisseur externe entreprend, le gestionnaire du site n’étant pas
en mesure d’exercer une influence sur celles-ci.
B.
LE CADRE JURIDIQUE
I. Le droit de l’Union
1. La charte des droits fondamentaux de l’Union européenne
3
L’article 7 de la charte est libellé comme suit :
Respect de la vie privée et familiale
Toute personne a droit au respect de sa vie privée et familiale, de son
domicile et de ses communications.
4
L’article 8 de la charte est libellé comme suit :
Protection des données à caractère personnel
1. Toute personne a droit à la protection des données à caractère personnel la
concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur
la base du consentement de la personne concernée ou en vertu d’un autre
fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux
données collectées la concernant et d’en obtenir la rectification.
[Or. 4]
3. Le respect de ces règles est soumis au contrôle d’une autorité
indépendante.
2. La directive 95/46
5
La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995,
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données (ci-après la
« directive 95/46 ») 1 contient, entre autres, les considérants suivants :
« (55) considérant que, en cas de non-respect des droits des personnes
concernées par le responsable du traitement de données, un recours
juridictionnel doit être prévu par les législations nationales ; que les
dommages que peuvent subir les personnes du fait d’un traitement illicite
1
JO 1995, L 281, p. 31.
2
FASHION ID
doivent être réparés par le responsable du traitement de données, lequel peut
être exonéré de sa responsabilité s’il prouve que le fait dommageable ne lui
est pas imputable, notamment lorsqu’il établit l’existence d’une faute de la
personne concernée ou d’un cas de force majeure; que des sanctions doivent
être appliquées à toute personne, tant de droit privé que de droit public, qui
ne respecte pas les dispositions nationales prises en application de la
présente directive ; »
« (62) considérant que l’institution, dans les États membres, d’autorités de
contrôle exerçant en toute indépendance leurs fonctions est un élément
essentiel de la protection des personnes à l’égard du traitement des données
à caractère personnel ; »
6
L’article 2 de la directive 95/46 contient, notamment, les dispositions suivantes :
« Définitions
Aux fins de la présente directive, on entend par :
[…]
b) “traitement de données à caractère personnel” (traitement) : toute opération ou
ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et
appliquées à des données à caractère personnel, telles que la collecte,
l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par transmission,
diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
[…]
d) “responsable du traitement”: la personne physique ou morale, l’autorité
publique, le service ou tout autre organisme qui, seul ou
[Or. 5] conjointement
avec d’autres, détermine les finalités et les moyens du traitement de données à
caractère personnel ; lorsque les finalités et les moyens du traitement sont
déterminés par des dispositions législatives ou réglementaires nationales ou
communautaires, le responsable du traitement ou les critères spécifiques pour le
désigner peuvent être fixés par le droit national ou communautaire ;
[…] »
7
L’article 7 de la directive 95/46 est libellé comme suit :
« Les États membres prévoient que le traitement de données à caractère personnel
ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
3
– AFFAIRE C-40/17-16
b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est
partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-
ci
ou
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du
traitement est soumis
ou
d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de
l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le
tiers auquel les données sont communiquées
ou
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable
du traitement ou par le ou les tiers auxquels les données sont communiquées, à
condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la
personne concernée, qui appellent une protection au titre de l’article 1er
paragraphe 1. »
II. Le droit national
8
Le gouvernement allemand se réfère à l’exposé de la décision de renvoi.
C.
LES FAITS ET LES QUESTIONS PRÉJUDICIELLES
9
Fashion ID GmbH & Co.KG (ci-après « Fashion ID »), la défenderesse et
appelante, exploite un commerce en ligne d’articles de mode. Sur son site web,
elle a inséré le bouton « j’aime » de Facebook.
[Or. 6]
10 Dès qu’un utilisateur consulte le site de Fashion ID, le module induit une
transmission de données à caractère personnel, de l’ordinateur de cet utilisateur, à
Facebook, et ce peu importe que cet utilisateur soit ou non un membre de
Facebook et qu’il clique ou non sur le bouton « j’aime » de Facebook.
11 L’association de consommateurs NRW e.V., la demanderesse et intimée, une
association d’utilité publique enregistrée de défense des intérêts des
consommateurs, a intenté une action en cessation de cette pratique contre Fashion
ID et obtenu partiellement gain de cause en première instance.
4
FASHION ID
12 Fashion ID a interjeté appel de cette condamnation. Pour les détails de l’affaire, le
gouvernement allemand se réfère à l’exposé des faits de la décision de renvoi.
13 Dans le présent litige, l’Oberlandesgericht Düsseldorf (tribunal régional supérieur
de Düsseldorf, Allemagne) a posé à la Cour de justice (ci-après la « Cour ») les
questions préjudicielles suivantes :
1.
Le régime des articles 22, 23 et 24 de la directive 95/46/CE du Parlement
européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)
s’oppose-t-il à une réglementation nationale qui, en marge des pouvoirs
d’intervention des autorités de protection des données et des actions en
justice de la personne concernée, habilite, en cas d’atteintes, des associations
d’utilité publique de défense des intérêts des consommateurs à agir contre
l’auteur d’une atteinte ?
Si la première question appelle une réponse négative :
2.
Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un
code programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données à
caractère personnel, celui qui fait l’insertion est-il « responsable du
traitement » au sens de l’article 2, sous d), de la directive 95/46/CE du
Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données (JO 1995, L 281,
p. 31) lorsqu’il ne peut avoir lui-même aucune influence sur ce processus de
traitement des données ?
3.
Si la deuxième question appelle une réponse négative : l’article 2, sous d),
de la directive 95/46/CE relative à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données doit-il être interprété en ce sens qu’il régit
exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en cause
sur le plan civil d’un tiers qui n’est certes pas « responsable du traitement »
mais est à l’origine du processus de traitement des données sans avoir
d’influence sur celui-ci ?
[Or. 7]
4.
Dans un contexte comme celui de l’espèce, quel est l’« intérêt légitime » à
prendre en compte dans la mise en balance à faire au titre de l’article 7, sous
f), de la directive 95/46/CE ? Est-ce l’intérêt d’insérer des contenus de tiers
ou est-ce l’intérêt du tiers ?
5.
Dans un contexte comme celui de l’espèce, à qui doit être donné le
consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la
directive 95/46/CE ?
5
– AFFAIRE C-40/17-16
6.
L’obligation d’informer la personne concernée en vertu de l’article 10 de la
directive 95/46/CE dans une situation telle que celle qui se présente en
l’espèce pèse-t-elle également sur le gestionnaire du site qui a inséré le
contenu d’un tiers et est ainsi à l’origine du traitement des données à
caractère personnel fait par un tiers ?
D. ANALYSE JURIDIQUE
I. Sur la première question préjudicielle
14 Par la première question préjudicielle, la juridiction de renvoi souhaite, en
substance, savoir si les articles 22, 23 et 24 de la directive 95/46 doivent être
interprétés en ce sens qu’ils s’opposent à une réglementation telle celle contenue
en droit allemand dans l’Unterlassungsklagengesetz (loi sur les actions en
cessation) qui prévoit que les associations de protection des consommateurs ont le
droit de demander la cessation d’un traitement illicite de données à caractère
personnel d’un consommateur.
15 Le gouvernement allemand estime que les dispositions de la directive 95/46 ne
s’opposent pas à l’habilitation précitée des associations et que la première
question préjudicielle appelle donc une réponse négative.
16 Les articles 22, 23 et 24 de la directive 95/46 ne s’opposent pas à une
réglementation nationale qui, outre les pouvoirs d’intervention des autorités
indépendantes de contrôle visés à l’article 28 de la directive 95/46 et les actions en
justice des personnes concernées, prévoit que, en cas d’atteintes au droit à la
protection des données, des organisations d’utilité publique de défense des intérêts
des consommateurs ont qualité pour agir en cessation pour l’avenir et en cessation
immédiate contre le responsable du traitement des données.
17 Dans une jurisprudence constante, la Cour souligne que les dispositions de la
directive 95/46 doivent être interprétées au regard des droits fondamentaux au
respect de la vie privée et à la protection des données à caractère personnel,
garantis par les articles 7 et 8 de la charte. La
[Or. 8] directive 95/46 entend
garantir une protection efficace et complète des droits fondamentaux précités dans
le traitement de données à caractère personnel 2.
18 À cet effet, il est de la plus haute importance de garantir la mise en œuvre et le
contrôle effectifs de la directive 95/46. Une protection juridictionnelle effective en
cas d’atteintes au droit à la protection des données est donc nécessaire dans ce
cadre. C’est la finalité du droit conféré à la personne concernée de saisir une
autorité de contrôle indépendante (article 28, paragraphe 4, de la directive 95/46)
et du droit à un recours devant un tribunal (article 22 de la directive 95/46).
2
Voir arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C-293/12 et C-594/12, EU:C:2014:238,
point 53), du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, points 53, 66 et
74), et du 6 octobre 2015, Schrems (C-362/14, EU:C:2015:650, points 38 et 39).
6
FASHION ID
19 L’article 24 de la directive 95/46 prévoit que les États membres doivent prendre
les mesures appropriées pour assurer la pleine application de ses dispositions. Il
incombe donc aux États membres d’organiser concrètement le système de mise en
œuvre et de contrôle. Une certaine latitude leur est laissée dans le choix des
mesures appropriées à adopter afin d’assurer la pleine application de la directive
95/46 au niveau national.
20 Ainsi qu’il ressort du considérant 62 de la directive, l’institution d’autorités de
contrôle […]* exerçant en toute indépendance leurs fonctions est « un » élément
essentiel de la protection des personnes à l’égard du traitement des données à
caractère personnel, sans cependant que cette protection se résume à ce seul
élément essentiel. Les possibilités , énoncées au chapitre III de la directive 95/46,
de faire respecter le droit à la protection des données ne sont pas exhaustives mais
renferment, comme l’article 24 de cette directive le montre, les garanties
minimales que le droit de l’Union offre dans les voies de droit visant à faire
respecter le droit à la protection des données, dans les régimes de responsabilité et
de sanction et qu’il appartient aux États membres de préciser plus avant et de
compléter.
21 Le droit d’agir des organisations de défense des consommateurs complète, en ce
sens, les instruments offerts par la directive 95/46 pour faire respecter le droit à la
protection des données et constitue, par là, conformément au texte et à la finalité
de l’article 24 de la directive 95/46, une « mesure appropriée » de plus « pour
assurer la pleine application des dispositions » de celle-ci.
22 Le droit d’agir des organisations de défense des consommateurs ne compromet
pas l’exercice « en toute indépendance » des missions des autorités de contrôle
voulu par l’article 28, paragraphe 1, deuxième alinéa, de la directive 95/46. La
directive requiert que les autorités compétentes pour le contrôle du traitement des
données à caractère personnel dans le secteur non public
[Or. 9] jouissent d’une
indépendance qui leur permette d’exercer leurs missions sans influence extérieure.
Cette indépendance exclut non seulement toute influence exercée par les
organismes contrôlés, mais aussi toute injonction et toute autre influence
extérieure,
directe
ou
indirecte,
qui
pourraient
remettre
en
cause
l’accomplissement, par lesdites autorités, de la mission qu’elles ont d’établir un
juste équilibre entre la protection du droit à la vie privée et la libre circulation des
données à caractère personnel 3.
23 Or, les règles en vigueur en Allemagne, qui permettent aux organisations d’utilité
publique de défense des consommateurs d’agir en justice en cas d’atteinte à la
protection des données des consommateurs, laissent intactes la liberté de décision
des autorités de contrôle et leur liberté d’action. En effet, les pouvoirs de contrôle
*
Ndt : les « autorités de contrôle » sont désignées par le terme « Kontrollstellen » dans la version
DE de la directive 95/46 et par le terme « Aufsichtsbehörden » dans celle du règlement (UE)
2016/679 : c’est cet autre terme que l’original cite entre parenthèses.
3
Voir arrêt du 9 mars 2010, Commission/Allemagne (C-518/07, EU:C:2010:125, point 30).
7
– AFFAIRE C-40/17-16
n’en sont ni réduits ni tributaires d’une manière ou d’une autre du droit d’agir des
organisations. Au contraire, la réglementation allemande associe l’autorité de
contrôle de la protection des données à la procédure juridictionnelle en ce qu’elle
prévoit que le juge l’entende avant de statuer et lui permet de prendre
connaissance de l’objet de la procédure et d’y participer. Les organisations de
consommateurs ne disposent d’aucun pouvoir propre de faire respecter la loi et
n’agissent pas non plus en tant qu’autorités de contrôle. C’est le tribunal,
exclusivement, qui peut prendre la décision impérative dans la procédure engagée
par les organisations de consommateurs.
24 Ainsi, le droit d’agir des associations contribue, pour sa part, en quelque sorte
fondamentalement à faire effectivement respecter le droit à la protection des
données et à garantir un niveau élevé de protection des données, en ce que
l’initiative de soumettre un traitement déterminé de données au contrôle des
tribunaux n’est plus laissée à la seule discrétion de la personne concernée, avec
ses possibilités, ni aux autorités de contrôle, avec leurs moyens. Le considérant 55
énonce même expressément l’obligation de prévoir des recours juridictionnels
dans les législations nationales.
25 À l’heure des traitements automatisés universels de données à caractère personnel
dans presque tous les domaines de la vie privée et professionnelle, un type
déterminé de traitement de données concerne normalement un grand nombre de
personnes. Des millions de citoyens de l’Union utilisent de multiples applications
numériques qui déterminent notre vie de tous les jours, tels certains services de la
société de l’information comme les services de messagerie ou les réseaux sociaux.
[Or. 10]
26 C’est la raison pour laquelle, outre les voies de droit individuelles visant à faire
respecter le droit à la protection des données et un contrôle effectif et indépendant
de la protection des données, il est également nécessaire, à l’égard de certains
traitements illicites, de disposer de voies de droit collectives pour faire respecter le
droit à la protection des données.
27 Dans le cadre de la réforme du droit de l’Union de la protection des données, le
législateur de l’Union a désormais précisé expressément à l’article 80, paragraphe
2, du règlement (UE) 2016/679 4, par une « clause d’ouverture », la faculté pour
les États membres d’instaurer une action collective dans le cadre d’atteintes à la
protection des données. Selon cette disposition, les États membres peuvent prévoir
que, indépendamment de tout mandat confié par une personne concernée,
certaines organisations répondant à des conditions définies ont entre autres le droit
d’introduire dans l’État membre en question une réclamation auprès de l’autorité
de contrôle compétente et d’exercer les droits visés aux articles 78 et 79 du
4
Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la
protection des données), JO 2016, L 119, p. 1.
8
FASHION ID
règlement 2016/679 si elles considèrent que les droits d’une personne concernée,
prévus dans le règlement précité, ont été violés du fait du traitement.
28 L’article 79 du règlement 2016/679 régit le droit à un recours juridictionnel
effectif. Le fait que ce règlement prévoit, tout comme la directive, l’exercice « en
toute indépendance » des missions des autorités de contrôle atteste également la
compatibilité du contrôle et du recours collectif et, donc, l’idée qu’une action
collective des organisations de consommateurs ne compromet pas l’indépendance
des autorités de contrôle de la protection des données.
29 Le droit d’agir d’organisations de défense des consommateurs est un instrument
essentiel du droit de l’Union déjà inscrit dans la directive 2009/22/CE, mais qui ne
s’étendait toutefois pas expressément, à ce jour, aux atteintes à la protection des
données. L’article 2 de la directive 2009/22 oblige les États membres à légiférer
sur les actions en cessation intentées par des organisations qualifiées, visant à
protéger les intérêts collectifs des consommateurs inclus dans les directives de
protection des consommateurs énumérées à l’annexe I de la directive 2009/22.
Certes, la directive 95/46 n’y figure pas. Toutefois, il se trouve ici aussi que la
directive 2009/22 n’est pas exhaustive à cet égard (voir son article 7).
30 Ainsi, les États membres ne sont à ce jour pas tenus, de permettre à des
associations de consommateurs d’agir en justice pour atteinte à la protection des
données, mais rien ne les empêche de le faire.
[Or. 11]
II. Sur la deuxième question préjudicielle
31 Par la deuxième question préjudicielle, la juridiction de renvoi souhaite savoir si,
et dans quelle mesure, le gestionnaire d’un site web qui insère dans son site un
code programme (ce que l’on appelle un « module »), tel le bouton « j’aime » de
Facebook, assume une responsabilité au titre de la protection des données pour les
opérations de traitement des données induites de ce fait.
32 Pour le gouvernement allemand, il ne fait aucun doute que la réponse à cette
question est que le gestionnaire d’un site web qui y insère un module par lequel, à
chaque consultation de son site Internet, des données (dont une partie est au
moins) à caractère personnel de l’utilisateur sont transmises à un fournisseur
externe, est un « responsable du traitement » au sens de l’article 2, sous d), de la
directive 95/46
pour cette opération, c’est-à-dire la transmission des données au
fournisseur externe et la collecte qui s’y rattache, parce qu’il peut influencer lui-
même à suffisance cette opération de traitement des données. Toutefois, ce
gestionnaire n’est
pas le « responsable du traitement » pour les opérations de
traitement de données au-delà de cette transmission, qui sont effectuées par le
fournisseur externe et sur lesquelles il n’exerce aucune influence,.
33 Aux termes de l’article 2, sous d), de la directive 95/46, le « responsable du
traitement » est tout organisme « qui, seul ou conjointement avec d’autres,
détermine les finalités et les moyens du traitement de données à caractère
9
– AFFAIRE C-40/17-16
personnel ». Selon la jurisprudence de la Cour 5, la notion de « responsable du
traitement » doit recevoir une interprétation large afin d’assurer une protection
efficace et complète des personnes concernées.
34 Les termes présentent néanmoins dans la définition un point de référence constant
dont la présence est caractéristique et essentielle pour déterminer le responsable
du traitement. Pour pouvoir considérer un organisme comme un responsable du
traitement, il faut, d’une part, qu’il soit celui qui « détermine » et, d’autre part, que
ce qu’il détermine se rapporte aux « finalités et [aux] moyens du traitement ».
35 Pour « déterminer » seul ou conjointement avec d’autres les finalités et les
moyens du traitement, l’organisme doit avoir une influence prédominante sur
l’opération de traitement des données. Cela signifie qu’il peut mettre ce traitement
de données au point, le gérer ou le contrôler d’une manière ou d’une autre et qu’il
doit ainsi avoir les moyens de pouvoir faire fonctionner et arrêter l’opération de
traitement e essentiellement selon ses plans.
[Or. 12]
36 C’est pourquoi la juridiction de renvoi a très justement fait aussi état de
l’appréciation du groupe de travail « Article 29 » 6 et de celle que le
Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne) a portée
dans la demande de décision préjudicielle faisant l’objet de l’affaire C-210/16
(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre
Wirtschaftsakademie Schleswig-Holstein GmbH) selon laquelle un organisme qui
n’a aucune influence, en droit ou en fait, sur la décision relative aux modalités de
traitement des données à caractère personnel ne peut pas être considéré comme
responsable du traitement 7. À défaut d’une influence suffisante, le fait de savoir
et, le cas échéant, de vouloir (c’est-à-dire de tolérer) qu’un tiers contrôle le
traitement de données ne suffit donc pas, à lui seul, à fonder la responsabilité au
titre de la protection des données, quand bien même l’organisme bénéficierait des
résultats du traitement des données.
37 Une telle influence prédominante sur le traitement des données peut résulter,
de
fait, d’une coopération au traitement des données qui soit de nature à l’influencer,
à le gérer, à le mettre au point ou, à le contrôler d’une manière ou d’une autre. Elle
peut toutefois aussi intervenir, et ce même avant le traitement, sous la forme de
facultés,
en droit, de gestion et de mise au point. La notion de sous-traitance
montre que la responsabilité au titre de la protection des données peut reposer sur
des droits contractuels de mise au point, de direction et de contrôle sans requérir
5
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 34).
6
Groupe de travail « Article 29 » sur la protection des données,
Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant », WP 169, 16 février 2010.
7
Voir point 13 de la décision de renvoi du 19 janvier 2017, qui se réfère au point 27 de la
demande de décision préjudicielle du Bundesverwaltungsgericht (Cour administrative fédérale),
du 25 février 2016, faisant l’objet de l’affaire C-210/16.
10
FASHION ID
que le responsable du traitement coopère lui-même directement au traitement ou
que les données relèvent au bout du compte physiquement de son ressort.
38 La détermination doit en outre concerner « les finalités et les moyens du
traitement des données à caractère personnel ». La « détermination » visée à
l’article 2, sous d), de la directive 95/46 se rapporte au processus du traitement des
données. La responsabilité ne repose donc pas sur n’importe quelle contribution
qui serait à l’origine d’un traitement de données. Pour être un responsable du
traitement, la détermination doit se rapporter directement au processus de
traitement des données et influer sur celui-ci. Un organisme qui n’a ou n’assume
aucune influence propre sur ce processus mais qui se limite à favoriser un
traitement exclusivement amorcé et géré par un tiers n’endosse de ce fait aucune
responsabilité au titre de la protection des données.
39 Selon ces critères, le gestionnaire d’un site web qui insère sur son site le module
d’un fournisseur externe induisant automatiquement, à la consultation du site, la
transmission de
[Or. 13] données à caractère personnel de l’utilisateur au
fournisseur externe doit être considéré comme un responsable du traitement. En
effet, en déterminant le « principe » et les « modalités » de l’insertion d’un
module, il lance, par une décision propre de son propre ressort (qui prend la forme
de son propre site web) un processus de transmission autonome qui n’est rien
d’autre, à la fois techniquement et juridiquement, que la condition préalable de la
collecte que fera ensuite le fournisseur externe. Par cette « détermination », il
exerce de ce fait une influence significative, donc prédominante, sur la
transmission des données qui se fera au fournisseur externe.
40 La responsabilité du gestionnaire du site se limite cependant à la transmission des
données à caractère personnel de l’utilisateur au fournisseur externe. Dans
l’appréciation de la responsabilité, la notion de « traitement de données à caractère
personnel » dans des processus complexes et compartimentés, comme en l’espèce,
ne peut pas s’entendre globalement. Elle se répartit en quelque sorte en différents
actes pour lesquels il y a lieu de déterminer, à chaque fois, la responsabilité de
façon distincte.
41 La notion de « traitement » utilisée à l’article 2, sous d), de la directive 95/46 est
définie à l’article 2, sous b). Selon cette disposition, constitue un « traitement »
toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés
automatisés et appliquées à des données à caractère personnel, telles que la
collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la
modification, l’extraction, la consultation, l’utilisation, la communication par
transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la
destruction. Il s’ensuit que la transmission de données à caractère personnel
constitue, en soi, un « traitement » au sens de l’article 2, sous d), de la directive
95/46 lu conjointement avec l’article 2, sous b). Le traitement que fera ensuite le
fournisseur externe dans le prolongement de cette transmission, comme le
11
– AFFAIRE C-40/17-16
rapprochement et l’interconnexion des données transmises avec d’autres données
à caractère personnel, est un autre « traitement » qui s’en distingue.
42 Si l’on envisage le traitement des données non pas comme une opération unitaire
mais dans chacune des phases de traitement, la responsabilité pour une phase du
traitement des données n’emporte pas automatiquement responsabilité pour
l’ensemble du processus de traitement des données. Dans un processus de
traitement des données auquel plusieurs participants coopèrent en tant que
responsables, il n’y aura de responsabilité que là où l’acteur concerné détermine
« les finalités et les moyens » de la phase de traitement
[Or. 14] concernée. Cela a
une incidence directe sur les obligations que le « responsable du traitement » en
question doit assumer au titre de la directive 95/46 (quatrième à sixième questions
préjudicielles).
43 La responsabilité du gestionnaire du site web pour la transmission des données à
caractère personnel au fournisseur externe, qu’il a enclenchée, n’implique dès lors
pas qu’il soit également responsable du traitement entrepris par le fournisseur
externe à la suite de la transmission. Il ne lui est pas possible de gérer ni de mettre
au point ce traitement ultérieur. Il n’a en conséquence aucune influence
prédominante sur les traitements complémentaires que le fournisseur externe
entreprend après la transmission. L’absence de maîtrise ressort du fait que, dans
cette phase du traitement accomplie par le fournisseur externe, le gestionnaire du
site n’est pas en mesure de respecter les obligations de la directive 95/46 et les
droits qui en résultent pour la personne concernée, notamment les droits à
l’information et à l’accès aux données.
44 Le gestionnaire du site a, par contre, une influence prédominante sur la
transmission des données de l’utilisateur qui consulte son site. Il dispose d’une
faculté propre de détermination à cet égard ou, plutôt, de moyens d’intervention
techniques sur la transmission des données. L’insertion du module relève de son
libre choix. Il peut le retirer à tout moment. Il peut en outre gérer et mettre au
point l’accès aux données à caractère personnel de l’utilisateur au moyen de la
solution dite « en deux clics » qui fait précéder la transmission d’une demande de
consentement.
45 Cela confère au gestionnaire du site un pouvoir de détermination sur le
déclenchement de la transmission des données au fournisseur externe. Dans la
solution « en deux clics », que l’appelante dans l’affaire au principal a instaurée
entre-temps, le module social est désactivé lors de la consultation du site et c’est
n’est que par un autre clic qu’il doit formellement être réactivé. Avant l’activation,
l’utilisateur est informé de manière distincte du traitement des données. Cela
montre clairement que le gestionnaire du site a une influence déterminante sur le
traitement des données en raison de laquelle il en est le responsable au titre de la
protection des données.
46 Ce pouvoir de décision se rapporte aussi directement au processus de traitement
des données. La contribution du gestionnaire du site ne se résume pas à permettre
12
FASHION ID
un traitement exclusivement mis au point et géré par un tiers. En insérant le
module sur son propre
[Or. 15] site, il crée, en quelque sorte, activement les
conditions techniques d’une transmission de données à caractère personnel d’un
utilisateur, réalisée par le fournisseur externe. Ainsi que la juridiction de renvoi l’a
exposé très justement, l’émission du code HTML est le premier acte de l’appel du
module qui se situe dans le champ d’action et de responsabilité propre du
gestionnaire du site. Celui-ci crée ainsi avec le fournisseur externe une
infrastructure commune pour la transmission des données à caractère personnel.
47 Du fait, d’une part, du pouvoir de mise au point [du gestionnaire du site] et,
d’autre part, de [son] intégration directe dans le processus de traitement des
données, le présent cas de figure se distingue de celui de l’affaire Unabhängiges
Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie
Schleswig-Holstein GmbH (C-210/16), où le gestionnaire du site utilise
pleinement une plateforme créée par un tiers sans aucune possibilité de mise au
point et de gestion. L’exploitation d’une « page fan » crée les conditions de fait
d’un traitement de données géré exclusivement par un tiers. Par contre, lorsqu’il
insère un module, c’est dans son champ d’action et dans son ressort que le
gestionnaire d’un site web gère et met au point les conditions effectives et
techniques de transmission des données.
III. Sur la troisième question préjudicielle
48 Étant donné que le gouvernement allemand estime que la deuxième question
préjudicielle appelle une réponse affirmative, il n’y a pas lieu de répondre à la
troisième question préjudicielle.
IV. Sur la quatrième question préjudicielle
49 Par la quatrième question préjudicielle, la juridiction de renvoi souhaite savoir
quels sont, dans le cas de figure qu’elle décrit, les « intérêts légitimes » dont la
mise en balance, à faire au titre de l’article 7, sous f), de la directive 95/46, doit
tenir compte.
50 À cet égard, le gouvernement allemand suggère de répondre que, dans un contexte
comme celui de l’espèce, il faut que la mise en balance requise tienne aussi bien
compte de l’intérêt que le gestionnaire du site a à insérer des contenus de tiers, en
particulier pour en retirer des effets de marketing, que de l’intérêt du fournisseur
externe à un traitement et à une utilisation ultérieurs des données transmises sur
lesquels repose le modèle d’entreprise qu’il applique.
51 Conformément à l’article 7, sous f), de la directive 95/46, le traitement doit être
nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du
traitement ou par le ou les tiers auxquels les données sont communiquées. Aux
termes de la disposition, le responsable
[Or. 16] du traitement peut donc se fonder
sur son propre intérêt légitime mais aussi sur des intérêts légitimes du destinataire
de la transmission.
13
– AFFAIRE C-40/17-16
V. Sur la cinquième question préjudicielle
52 Par la cinquième question préjudicielle, la juridiction de renvoi souhaite savoir à
qui doit être donné le consentement visé à l’article 7, sous a), et à l’article 2, sous
h), de la directive 95/46, dans le cas de figure qu’elle décrit.
53 Le gouvernement allemand estime que, pour la transmission automatique des
données de l’utilisateur au fournisseur externe induite par le module inséré, c’est
soit au gestionnaire du site web, soit au fournisseur externe que le consentement
doit être donné. En effet, le gestionnaire du site et le fournisseur externe doivent
être considérés, selon le gouvernement allemand, comme des « coresponsables du
traitement » au sens de l’article 2, sous d), de la directive 95/46 pour la
transmission des données à caractère personnel de l’utilisateur au fournisseur
externe. Le fourbisseur externe a, lui aussi, tout autant d’influence sur la mise au
point et sur la gestion du processus de transmission en ce que, dans le cadre de la
fonctionnalité du module qu’il met à disposition, il configure sa propre offre pour
récupérer les données de l’utilisateur. En cela, il y a une collecte de données à
caractère personnel visée dans les éléments de la définition de l’article 2, sous d),
de la directive 95/46.
54 Les processus techniques, dans le cas d’espèce, donnent à penser que le
consentement, que la personne concernée doit donner avant le début du traitement
des données, est recueilli par le gestionnaire du site web. La transmission des
données étant toutefois une opération unitaire, le consentement que la personne
concernée accorde opère à chaque fois pour les deux coresponsables du
traitement. Le consentement pourrait ainsi être également donné au fournisseur
externe, dès lors qu’il intervient avant le début de l’opération de traitement des
données.
55 Dans le champ de responsabilité du gestionnaire du site, le consentement ne doit
se rapporter qu’à la transmission des données au fournisseur externe. Pour tous les
autres processus de traitement et d’utilisation des données par ce dernier, le
gestionnaire du site ne peut pas être considéré comme le responsable du traitement
(voir, plus haut, points 40 à 43). Cela n’exclut toutefois pas que le gestionnaire du
site recueille, à l’intention du fournisseur externe, le consentement de la personne
concernée au traitement
[Or. 17] que le fournisseur externe entend entreprendre.
Cela peut faire l’objet d’accords contractuels relatifs à l’utilisation du module.
VI. Sur la sixième question préjudicielle
56 Par la sixième question préjudicielle, la juridiction de renvoi souhaite savoir
si
l’obligation d’information de l’article 10 de la directive 95/46 pèse également sur
le gestionnaire du site web.
57 Le gouvernement allemand suggère de répondre à cette question par l’affirmative.
L’obligation d’information prévue à l’article 10 de la directive 95/46 pèse
également sur le gestionnaire du site dans la mesure où il est responsable du
14
FASHION ID
traitement. L’obligation d’information découle donc, elle aussi, de la
responsabilité. Le gestionnaire du site a de ce fait une obligation d’information en
ce qui concerne la transmission des données au fournisseur externe mais pas pour
tous les autres processus de traitement des données subséquents, lesquels relèvent
de la seule responsabilité de ce fournisseur externe (voir, plus haut, points 40 à
43).
E. CONCLUSION
58 Dans ces conditions, le gouvernement allemand estime qu’il convient de répondre
aux questions préjudicielles de la façon suivante :
1.
Les articles 22, 23 et 24 de la directive 95/46 ne s’opposent pas à une
réglementation nationale qui, en marge des pouvoirs d’intervention des
autorités de contrôle indépendantes au sens de l’article 28 de cette directive
et des actions en justice des personnes concernées, habilite des organisations
d’utilité publique de défense des intérêts des consommateurs, en cas
d’atteintes au droit de la protection des données, à agir en cessation pour
l’avenir et en cessation immédiate contre le responsable du traitement des
données.
2.
La deuxième question préjudicielle appelle une réponse affirmative en ce
que, dans un cas comme celui de l’espèce où le gestionnaire d’un site web
insère dans son site un code programme permettant au navigateur de
l’utilisateur de solliciter des contenus d’un fournisseur externe et de
transmettre à cet effet à ce dernier des données à caractère personnel, ce
gestionnaire est pour ce qui concerne cette opération de traitement de
données un « responsable du traitement » au sens de l’article 2, sous d), de la
directive 95/46. En revanche, ce gestionnaire n’est pas un « responsable du
traitement » pour les opérations de traitement de données ultérieures que le
fournisseur externe entreprend, étant donné qu’il ne peut pas influer sur
celles-ci.
[Or. 18]
3.
Eu égard à la réponse à la deuxième question préjudicielle, il n’y a pas lieu
de répondre à la troisième question préjudicielle.
4.
Dans un contexte comme celui de l’espèce, la mise en balance visée à
l’article 7, sous f), de la directive 95/46 doit également tenir compte de
l’intérêt légitime que le gestionnaire du site web a d’insérer des contenus de
tiers que de l’intérêt du fournisseur externe à traiter et utiliser ultérieurement
des données transmises.
5.
Dans un contexte comme celui de l’espèce, le consentement à la
transmission des données à caractère personnel, requis par l’article 7, sous
a), et par l’article 2, sous h), de la directive 95/46, doit être donné soit au
gestionnaire du site web, soit au fournisseur externe, mais il doit toujours
intervenir avant le début de l’opération de traitement des données.
15
– AFFAIRE C-40/17-16
6.
L’obligation d’information prévue à l’article 10 de la directive 95/46 pèse
sur le gestionnaire du site web pour autant qu’il soit, comme dit à l’endroit
de la deuxième question préjudicielle, le « responsable du traitement ».
(sé)
Möller
16