This is an HTML version of an attachment to the Freedom of Information request 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.

link to page 2 link to page 2 link to page 2 link to page 4 link to page 6 link to page 9 link to page 13 link to page 13 link to page 14 link to page 14  
Traduction  
C-40/17 - 16 
Observations de l’Allemagne 
Affaire C-40/17 * 
Pièce déposée par: 
le gouvernement allemand 
Nom usuel de l’affaire: 
FASHION ID 
Date de dépôt: 
le 8 mai 2017 
 
[omissis] [Or. 2] 
Table des matières 
I. Le droit de l’Union ............................................................................................................... 2 
1. La charte des droits fondamentaux de l’Union européenne ..................................... 2 
2. La directive 95/46 .......................................................................................................... 2 

II. Le droit national .................................................................................................................. 4 
I. Sur la première question préjudicielle .................................................................................. 6 
II. Sur la deuxième question préjudicielle ............................................................................... 9 
III. Sur la troisième question préjudicielle............................................................................. 13 
IV. Sur la quatrième question préjudicielle ........................................................................... 13 
V. Sur la cinquième question préjudicielle ............................................................................ 14 
VI. Sur la sixième question préjudicielle ............................................................................... 14 

[Or. 3] 
A. 
INTRODUCTION 

L’affaire  au  principal  porte  en  substance  sur  l’imputation  de  responsabilités  au 
titre du droit à la protection des données dans une relation à trois personnes qui se 
présente de la façon suivante : le gestionnaire d’un site web (à savoir Fashion ID) 
insère dans son site ce que l’on appelle un  « module social »  (en l’occurrence le 
bouton « j’aime » de Facebook) d’un fournisseur externe (c’est-à-dire Facebook), 
qui  induit  une  transmission  de  données  à  caractère  personnel,  de  l’ordinateur  de 
l’utilisateur  du  site  web,  au  fournisseur  externe,  et  ce  peu  importe  que  cet 
utilisateur soit ou non un membre de Facebook et qu’il clique ou non sur le bouton 
« j’aime » de Facebook. 
 
*  Langue de procédure : l’allemand. 
FR   

– AFFAIRE C-40/17-16 

Le  gouvernement  allemand  estime  que  le  gestionnaire  du  site  web  est  un 
« responsable  du  traitement »  pour  les  transmissions  de  données  que  le  module 
induit,  mais  qu’il  ne  l’est  pas  pour  les  opérations  ultérieures  de  traitement  de 
données que le fournisseur externe entreprend, le gestionnaire du site n’étant pas 
en mesure d’exercer une influence sur celles-ci. 
B. 
LE CADRE JURIDIQUE 
I. Le droit de l’Union 
1. La charte des droits fondamentaux de l’Union européenne 

L’article 7 de la charte est libellé comme suit : 
Respect de la vie privée et familiale 
Toute  personne  a  droit  au  respect  de  sa  vie  privée  et  familiale,  de  son 
domicile et de ses communications. 

L’article 8 de la charte est libellé comme suit : 
Protection des données à caractère personnel 
1. Toute personne a droit à la protection des données à caractère personnel la 
concernant. 
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur 
la  base  du  consentement  de  la  personne  concernée  ou  en  vertu  d’un  autre 
fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux 
données collectées la concernant et d’en obtenir la rectification. [Or. 4] 
3.  Le  respect  de  ces  règles  est  soumis  au  contrôle  d’une  autorité 
indépendante. 
2. La directive 95/46 

La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, 
relative  à  la  protection  des  personnes  physiques  à  l’égard  du  traitement  des 
données à caractère personnel et à la libre circulation de ces données (ci-après la 
« directive 95/46 ») 1 contient, entre autres, les considérants suivants : 
« (55)  considérant  que,  en  cas  de  non-respect  des  droits  des  personnes 
concernées  par  le  responsable  du  traitement  de  données,  un  recours 
juridictionnel  doit  être  prévu  par  les  législations  nationales ;  que  les 
dommages  que  peuvent  subir  les  personnes  du  fait  d’un  traitement  illicite 
 
1  
JO 1995, L 281, p. 31. 

 

FASHION ID 
doivent être réparés par le responsable du traitement de données, lequel peut 
être exonéré de sa responsabilité s’il prouve que le fait dommageable ne lui 
est  pas  imputable,  notamment  lorsqu’il  établit  l’existence  d’une  faute  de  la 
personne concernée ou d’un cas de force majeure; que des sanctions doivent 
être appliquées à toute personne, tant de droit privé que de droit public, qui 
ne  respecte  pas  les  dispositions  nationales  prises  en  application  de  la 
présente directive ; » 
« (62)  considérant  que  l’institution,  dans  les  États  membres,  d’autorités  de 
contrôle  exerçant  en  toute  indépendance  leurs  fonctions  est  un  élément 
essentiel de la protection des personnes à l’égard du traitement des données 
à caractère personnel ; » 

L’article 2 de la directive 95/46 contient, notamment, les dispositions suivantes : 
« Définitions 
Aux fins de la présente directive, on entend par : 
[…] 
b) “traitement de données à caractère personnel” (traitement) : toute opération ou 
ensemble  d’opérations  effectuées  ou  non  à  l’aide  de  procédés  automatisés  et 
appliquées  à  des  données  à  caractère  personnel,  telles  que  la  collecte, 
l’enregistrement,  l’organisation,  la  conservation,  l’adaptation  ou  la  modification, 
l’extraction,  la  consultation,  l’utilisation,  la  communication  par  transmission, 
diffusion  ou  toute  autre  forme  de  mise  à  disposition,  le  rapprochement  ou 
l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ; 
[…] 
d) “responsable  du  traitement”:  la  personne  physique  ou  morale,  l’autorité 
publique,  le  service  ou  tout  autre  organisme  qui,  seul  ou  [Or. 5]  conjointement 
avec  d’autres,  détermine  les  finalités  et  les  moyens  du  traitement  de  données  à 
caractère  personnel ;  lorsque  les  finalités  et  les  moyens  du  traitement  sont 
déterminés  par  des  dispositions  législatives  ou  réglementaires  nationales  ou 
communautaires,  le  responsable  du  traitement  ou  les  critères  spécifiques  pour  le 
désigner peuvent être fixés par le droit national ou communautaire ; 
[…] » 

L’article 7 de la directive 95/46 est libellé comme suit : 
« Les États membres prévoient que le traitement de données à caractère personnel 
ne peut être effectué que si : 
a) la personne concernée a indubitablement donné son consentement 
ou 


– AFFAIRE C-40/17-16 
b)  il  est  nécessaire  à  l’exécution  d’un  contrat  auquel  la  personne  concernée  est 
partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-
ci 
ou 
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du 
traitement est soumis 
ou 
d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée 
ou 
e)  il  est  nécessaire  à  l’exécution  d’une  mission  d’intérêt  public  ou  relevant  de 
l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le 
tiers auquel les données sont communiquées 
ou 
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable 
du  traitement  ou  par  le  ou  les  tiers  auxquels  les  données  sont  communiquées,  à 
condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la 
personne  concernée,  qui  appellent  une  protection  au  titre  de  l’article  1er 
paragraphe 1. » 
II. Le droit national 

Le gouvernement allemand se réfère à l’exposé de la décision de renvoi. 
C. 
LES FAITS ET LES QUESTIONS PRÉJUDICIELLES 

Fashion  ID  GmbH  &  Co.KG  (ci-après  « Fashion  ID »),  la  défenderesse  et 
appelante,  exploite  un  commerce  en  ligne  d’articles  de  mode.  Sur  son  site  web, 
elle a inséré le bouton « j’aime » de Facebook. [Or. 6] 
10  Dès  qu’un  utilisateur  consulte  le  site  de  Fashion  ID,  le  module  induit  une 
transmission de données à caractère personnel, de l’ordinateur de cet utilisateur, à 
Facebook,  et  ce  peu  importe  que  cet  utilisateur  soit  ou  non  un  membre  de 
Facebook et qu’il clique ou non sur le bouton « j’aime » de Facebook. 
11  L’association  de  consommateurs  NRW  e.V.,  la  demanderesse  et  intimée,  une 
association  d’utilité  publique  enregistrée  de  défense  des  intérêts  des 
consommateurs, a intenté une action en cessation de cette pratique contre Fashion 
ID et obtenu partiellement gain de cause en première instance. 

 

FASHION ID 
12  Fashion ID a interjeté appel de cette condamnation. Pour les détails de l’affaire, le 
gouvernement allemand se réfère à l’exposé des faits de la décision de renvoi. 
13  Dans le présent litige, l’Oberlandesgericht Düsseldorf (tribunal régional supérieur 
de  Düsseldorf,  Allemagne)  a  posé  à  la  Cour  de  justice  (ci-après  la  « Cour »)  les 
questions préjudicielles suivantes : 
1. 
Le  régime  des  articles 22,  23  et  24  de  la  directive  95/46/CE  du  Parlement 
européen  et  du  Conseil,  du  24 octobre  1995,  relative  à  la  protection  des 
personnes  physiques  à  l’égard  du  traitement  des  données  à  caractère 
personnel  et  à  la  libre  circulation  de  ces  données  (JO  1995,  L 281,  p. 31) 
s’oppose-t-il  à  une  réglementation  nationale  qui,  en  marge  des  pouvoirs 
d’intervention  des  autorités  de  protection  des  données  et  des  actions  en 
justice de la personne concernée, habilite, en cas d’atteintes, des associations 
d’utilité  publique  de  défense  des  intérêts  des  consommateurs  à  agir  contre 
l’auteur d’une atteinte ? 
Si la première question appelle une réponse négative : 
2. 
Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un 
code  programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des 
contenus  d’un  tiers  et  de  transmettre  à  cet  effet  au  tiers  des  données  à 
caractère  personnel,  celui  qui  fait  l’insertion  est-il  « responsable  du 
traitement »  au  sens  de  l’article 2,  sous  d),  de  la  directive  95/46/CE  du 
Parlement  européen  et  du  Conseil,  du  24 octobre  1995,  relative  à  la 
protection  des  personnes  physiques  à  l’égard  du  traitement  des  données  à 
caractère personnel et à la libre circulation de ces données (JO 1995, L 281, 
p. 31) lorsqu’il ne peut avoir lui-même aucune influence sur ce processus de 
traitement des données ? 
3. 
Si  la  deuxième  question  appelle  une  réponse  négative :  l’article 2,  sous  d), 
de  la  directive  95/46/CE  relative  à  la  protection  des  personnes  physiques  à 
l’égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données  doit-il  être  interprété  en  ce  sens  qu’il  régit 
exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en cause 
sur le plan civil d’un tiers qui n’est certes pas « responsable du traitement » 
mais  est  à  l’origine  du  processus  de  traitement  des  données  sans  avoir 
d’influence sur celui-ci ? [Or. 7] 
4. 
Dans  un  contexte  comme  celui  de  l’espèce,  quel  est  l’« intérêt  légitime »  à 
prendre en compte dans la mise en balance à faire au titre de l’article 7, sous 
f), de la directive 95/46/CE ? Est-ce l’intérêt d’insérer des contenus de tiers 
ou est-ce l’intérêt du tiers ? 
5. 
Dans  un  contexte  comme  celui  de  l’espèce,  à  qui  doit  être  donné  le 
consentement  visé  à  l’article 7,  sous  a),  et  à  l’article 2,  sous  h),  de  la 
directive 95/46/CE ? 


– AFFAIRE C-40/17-16 
6. 
L’obligation d’informer la personne concernée en vertu de l’article 10 de la 
directive  95/46/CE  dans  une  situation  telle  que  celle  qui  se  présente  en 
l’espèce  pèse-t-elle  également  sur  le  gestionnaire  du  site  qui  a  inséré  le 
contenu  d’un  tiers  et  est  ainsi  à  l’origine  du  traitement  des  données  à 
caractère personnel fait par un tiers ? 
D. ANALYSE JURIDIQUE 
I. Sur la première question préjudicielle 
14  Par  la  première  question  préjudicielle,  la  juridiction  de  renvoi  souhaite,  en 
substance,  savoir  si  les  articles  22,  23  et  24  de  la  directive  95/46  doivent  être 
interprétés en ce sens qu’ils s’opposent à une réglementation telle celle contenue 
en  droit  allemand  dans  l’Unterlassungsklagengesetz  (loi  sur  les  actions  en 
cessation) qui prévoit que les associations de protection des consommateurs ont le 
droit  de  demander  la  cessation  d’un  traitement  illicite  de  données  à  caractère 
personnel d’un consommateur. 
15  Le  gouvernement  allemand  estime  que  les  dispositions  de  la  directive  95/46  ne 
s’opposent  pas  à  l’habilitation  précitée  des  associations  et  que  la  première 
question préjudicielle appelle donc une réponse négative. 
16  Les  articles  22,  23  et  24  de  la  directive  95/46  ne  s’opposent  pas  à  une 
réglementation  nationale  qui,  outre  les  pouvoirs  d’intervention  des  autorités 
indépendantes de contrôle visés à l’article 28 de la directive 95/46 et les actions en 
justice  des  personnes  concernées,  prévoit  que,  en  cas  d’atteintes  au  droit  à  la 
protection des données, des organisations d’utilité publique de défense des intérêts 
des consommateurs ont qualité pour agir en cessation pour l’avenir et en cessation 
immédiate contre le responsable du traitement des données. 
17  Dans  une  jurisprudence  constante,  la  Cour  souligne  que  les  dispositions  de  la 
directive  95/46  doivent  être  interprétées  au  regard  des  droits  fondamentaux  au 
respect  de  la  vie  privée  et  à  la  protection  des  données  à  caractère  personnel, 
garantis  par  les  articles  7  et  8  de  la  charte.  La  [Or. 8]  directive  95/46  entend 
garantir une protection efficace et complète des droits fondamentaux précités dans 
le traitement de données à caractère personnel 2. 
18  À  cet  effet,  il  est  de  la  plus  haute  importance  de  garantir  la  mise  en  œuvre  et  le 
contrôle effectifs de la directive 95/46. Une protection juridictionnelle effective en 
cas  d’atteintes  au  droit  à  la  protection  des  données  est  donc  nécessaire  dans  ce 
cadre.  C’est  la  finalité  du  droit  conféré  à  la  personne  concernée  de  saisir  une 
autorité de contrôle indépendante (article 28, paragraphe 4, de la directive 95/46) 
et du droit à un recours devant un tribunal (article 22 de la directive 95/46). 
 
2  
Voir arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C-293/12 et C-594/12, EU:C:2014:238, 
point 53), du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, points 53, 66 et 
74), et du 6 octobre 2015, Schrems (C-362/14, EU:C:2015:650, points 38 et 39). 

 

FASHION ID 
19  L’article 24 de la  directive 95/46  prévoit que les États  membres  doivent  prendre 
les  mesures  appropriées  pour  assurer  la  pleine  application  de  ses  dispositions.  Il 
incombe donc aux États membres d’organiser concrètement le système de mise en 
œuvre  et  de  contrôle.  Une  certaine  latitude  leur  est  laissée    dans  le  choix  des 
mesures appropriées  à  adopter afin d’assurer la  pleine application de la  directive 
95/46 au niveau national. 
20  Ainsi  qu’il  ressort  du  considérant  62  de  la  directive,  l’institution  d’autorités  de 
contrôle  […]*  exerçant  en  toute  indépendance  leurs  fonctions  est  « un »  élément 
essentiel  de  la  protection  des  personnes  à  l’égard  du  traitement  des  données  à 
caractère  personnel,  sans  cependant  que  cette  protection  se  résume  à  ce  seul 
élément essentiel. Les possibilités , énoncées au chapitre III de la directive 95/46, 
de faire respecter le droit à la protection des données ne sont pas exhaustives mais 
renferment,  comme  l’article  24  de  cette  directive  le  montre,  les  garanties 
minimales  que  le  droit  de  l’Union  offre  dans  les  voies  de  droit  visant  à  faire 
respecter le droit à la protection des données, dans les régimes de responsabilité et 
de  sanction  et  qu’il  appartient  aux  États  membres    de  préciser    plus  avant  et  de 
compléter. 
21  Le droit d’agir des organisations de défense des consommateurs  complète, en ce 
sens, les instruments offerts par la directive 95/46 pour faire respecter le droit à la 
protection des données  et constitue, par là, conformément au texte et à la finalité 
de  l’article  24  de  la  directive  95/46,  une  « mesure  appropriée »  de  plus  « pour 
assurer la pleine application des dispositions » de celle-ci. 
22  Le  droit  d’agir  des  organisations  de  défense  des  consommateurs  ne  compromet 
pas  l’exercice  « en  toute  indépendance »  des  missions  des  autorités  de  contrôle 
voulu  par  l’article  28,  paragraphe  1,  deuxième  alinéa,  de  la  directive  95/46.  La 
directive requiert que les autorités compétentes pour le contrôle du traitement des 
données à caractère personnel  dans le secteur non public  [Or. 9] jouissent d’une 
indépendance qui leur permette d’exercer leurs missions sans influence extérieure. 
Cette  indépendance  exclut  non  seulement  toute  influence  exercée  par  les 
organismes  contrôlés,  mais  aussi  toute  injonction  et  toute  autre  influence 
extérieure, 
directe 
ou 
indirecte, 
qui 
pourraient 
remettre 
en 
cause 
l’accomplissement, par lesdites autorités, de la mission qu’elles ont  d’établir un 
juste équilibre entre la protection du droit à la vie privée et la libre circulation des 
données à caractère personnel 3. 
23  Or, les règles en vigueur en Allemagne, qui permettent aux organisations d’utilité 
publique  de  défense  des  consommateurs  d’agir  en  justice  en  cas  d’atteinte  à  la 
protection des données des consommateurs, laissent intactes la liberté de décision 
des autorités de contrôle et leur liberté d’action. En effet, les pouvoirs de contrôle 
 
*  
Ndt : les « autorités de contrôle » sont désignées par le terme « Kontrollstellen » dans la version 
DE  de  la  directive  95/46  et  par  le  terme  « Aufsichtsbehörden »  dans  celle  du  règlement  (UE) 
2016/679 : c’est cet autre terme que l’original cite entre parenthèses. 
3  
Voir arrêt du 9 mars 2010, Commission/Allemagne (C-518/07, EU:C:2010:125, point 30). 


– AFFAIRE C-40/17-16 
n’en sont ni réduits ni tributaires d’une manière ou d’une autre du droit d’agir des 
organisations.  Au  contraire,  la  réglementation  allemande  associe  l’autorité  de 
contrôle de la protection des données à la procédure juridictionnelle en ce qu’elle 
prévoit  que  le  juge  l’entende  avant  de  statuer  et  lui  permet  de  prendre 
connaissance  de  l’objet  de  la  procédure  et  d’y  participer.  Les  organisations  de 
consommateurs  ne  disposent  d’aucun  pouvoir  propre  de  faire  respecter  la  loi  et 
n’agissent  pas  non  plus  en  tant  qu’autorités  de  contrôle.  C’est  le  tribunal, 
exclusivement, qui peut prendre la décision impérative dans la procédure engagée 
par les organisations de consommateurs. 
24  Ainsi,  le  droit  d’agir  des  associations  contribue,  pour  sa  part,  en  quelque  sorte 
fondamentalement  à  faire  effectivement  respecter  le  droit  à  la  protection  des 
données  et  à  garantir  un  niveau  élevé  de  protection  des  données,  en  ce  que 
l’initiative  de  soumettre  un  traitement  déterminé  de  données  au  contrôle  des 
tribunaux  n’est  plus  laissée  à  la  seule  discrétion  de  la  personne  concernée,  avec 
ses possibilités, ni aux autorités de contrôle, avec leurs moyens. Le considérant 55 
énonce  même  expressément  l’obligation  de  prévoir  des  recours  juridictionnels 
dans les législations nationales. 
25  À l’heure des traitements automatisés universels de données à caractère personnel 
dans  presque  tous  les  domaines  de  la  vie  privée  et  professionnelle,  un  type 
déterminé  de  traitement  de  données  concerne  normalement  un  grand  nombre  de 
personnes. Des millions de citoyens de l’Union utilisent de multiples applications 
numériques qui déterminent notre vie de tous les jours, tels certains services de la 
société de l’information comme les services de messagerie ou les réseaux sociaux. 
[Or. 10] 
26  C’est  la  raison  pour  laquelle,  outre  les  voies  de  droit  individuelles  visant  à  faire 
respecter le droit à la protection des données  et un contrôle effectif et indépendant 
de  la  protection  des  données,  il  est  également  nécessaire,  à  l’égard  de  certains 
traitements illicites, de disposer de voies de droit collectives pour faire respecter le 
droit à la protection des données. 
27  Dans le cadre de la  réforme du droit de l’Union  de la protection des données, le 
législateur de l’Union a désormais précisé expressément à l’article 80, paragraphe 
2,  du  règlement  (UE)  2016/679 4,  par  une  « clause  d’ouverture »,  la  faculté  pour 
les États membres d’instaurer une action collective dans le cadre d’atteintes à la  
protection des données. Selon cette disposition, les États membres peuvent prévoir 
que,  indépendamment  de  tout  mandat  confié  par  une  personne  concernée, 
certaines organisations répondant à des conditions définies ont entre autres le droit 
d’introduire dans l’État  membre en question une réclamation auprès de l’autorité 
de  contrôle  compétente  et  d’exercer  les  droits  visés  aux  articles  78  et  79  du 
 
4  
Règlement  du  Parlement  européen  et  du  Conseil  du  27  avril  2016  relatif  à  la  protection  des 
personnes  physiques  à  l’égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données,  et  abrogeant  la  directive  95/46/CE  (règlement  général  sur  la 
protection des données), JO 2016, L 119, p. 1. 

 

FASHION ID 
règlement 2016/679 si elles considèrent que les droits d’une personne concernée, 
prévus dans le règlement précité, ont été violés du fait du traitement. 
28  L’article  79  du  règlement  2016/679  régit  le  droit  à  un  recours  juridictionnel 
effectif. Le fait que ce règlement prévoit, tout comme la directive, l’exercice « en 
toute  indépendance »  des  missions  des  autorités  de  contrôle  atteste  également  la 
compatibilité  du  contrôle  et  du  recours  collectif  et,  donc,  l’idée  qu’une  action 
collective des organisations de consommateurs ne compromet pas l’indépendance 
des autorités de contrôle de la protection des données. 
29  Le  droit  d’agir  d’organisations  de  défense  des  consommateurs  est  un  instrument 
essentiel du droit de l’Union déjà inscrit dans la directive 2009/22/CE, mais qui ne 
s’étendait toutefois pas expressément, à ce jour, aux atteintes à la protection des 
données. L’article 2 de la directive 2009/22 oblige les États membres  à légiférer 
sur  les  actions  en  cessation  intentées  par  des  organisations  qualifiées,  visant  à 
protéger  les  intérêts  collectifs  des  consommateurs  inclus  dans  les  directives  de 
protection  des  consommateurs  énumérées  à  l’annexe  I  de  la  directive  2009/22. 
Certes,  la  directive  95/46  n’y  figure  pas.  Toutefois,  il  se  trouve  ici  aussi  que  la 
directive 2009/22 n’est pas exhaustive à cet égard (voir son article 7). 
30  Ainsi,  les  États  membres  ne  sont  à  ce  jour  pas  tenus,  de  permettre  à  des 
associations de  consommateurs  d’agir  en justice  pour atteinte à la protection des 
données, mais rien ne les empêche de le faire. [Or. 11] 
II. Sur la deuxième question préjudicielle 
31  Par la deuxième question préjudicielle, la juridiction de renvoi souhaite savoir si, 
et  dans  quelle  mesure,  le  gestionnaire  d’un  site  web  qui  insère  dans  son  site  un 
code programme (ce que l’on appelle un « module »), tel le bouton  « j’aime » de 
Facebook, assume une responsabilité au titre de la protection des données pour les 
opérations de traitement des données induites de ce fait. 
32  Pour  le  gouvernement  allemand,  il  ne  fait  aucun  doute  que  la  réponse  à  cette 
question est que le gestionnaire d’un site web qui y insère un module par lequel, à 
chaque  consultation  de  son  site  Internet,    des  données  (dont  une  partie  est  au 
moins)  à  caractère  personnel  de  l’utilisateur  sont  transmises  à  un  fournisseur 
externe, est un « responsable du traitement » au sens de l’article 2, sous d), de la 
directive 95/46 pour cette opération, c’est-à-dire la transmission des données au 
fournisseur externe et la collecte qui s’y rattache, parce qu’il peut influencer lui-
même  à  suffisance  cette  opération  de  traitement  des  données.  Toutefois,  ce 
gestionnaire  n’est  pas  le  « responsable  du  traitement »  pour  les  opérations  de 
traitement  de  données  au-delà  de  cette  transmission,  qui  sont  effectuées  par  le 
fournisseur externe et sur lesquelles il n’exerce aucune influence,. 
33  Aux  termes  de  l’article  2,  sous  d),  de  la  directive  95/46,  le  « responsable  du 
traitement »  est  tout  organisme  « qui,  seul  ou  conjointement  avec  d’autres, 
détermine  les  finalités  et  les  moyens  du  traitement  de  données  à  caractère 


– AFFAIRE C-40/17-16 
personnel ».  Selon  la  jurisprudence  de  la  Cour 5,  la  notion  de  « responsable  du 
traitement »  doit  recevoir  une  interprétation  large  afin  d’assurer  une  protection 
efficace et complète des personnes concernées. 
34  Les termes présentent néanmoins dans la définition un point de référence constant 
dont  la  présence  est  caractéristique  et  essentielle  pour  déterminer  le  responsable 
du  traitement.  Pour  pouvoir  considérer  un  organisme  comme  un  responsable  du 
traitement, il faut, d’une part, qu’il soit celui qui « détermine » et, d’autre part, que 
ce qu’il détermine se rapporte aux « finalités et [aux] moyens du traitement ». 
35  Pour  « déterminer »  seul  ou  conjointement  avec  d’autres  les  finalités  et  les 
moyens  du  traitement,  l’organisme  doit  avoir  une  influence  prédominante  sur 
l’opération de traitement des données. Cela signifie qu’il peut mettre ce traitement 
de données au point, le gérer ou le contrôler d’une manière ou d’une autre et qu’il 
doit  ainsi  avoir  les  moyens  de  pouvoir  faire  fonctionner  et  arrêter  l’opération  de 
traitement e essentiellement selon ses plans. [Or. 12] 
36  C’est  pourquoi  la  juridiction  de  renvoi  a  très  justement  fait  aussi  état  de 
l’appréciation  du  groupe  de  travail  « Article  29 » 6  et  de  celle  que  le 
Bundesverwaltungsgericht  (Cour  administrative  fédérale,  Allemagne)  a  portée 
dans  la  demande  de  décision  préjudicielle  faisant  l’objet  de  l’affaire  C-210/16 
(Unabhängiges  Landeszentrum  für  Datenschutz  Schleswig-Holstein  contre 
Wirtschaftsakademie Schleswig-Holstein GmbH) selon laquelle un organisme qui 
n’a aucune influence, en droit ou en fait, sur la décision relative aux modalités de 
traitement  des  données  à  caractère  personnel  ne  peut  pas  être  considéré  comme 
responsable du traitement 7. À défaut  d’une influence suffisante, le fait  de savoir 
et,  le  cas  échéant,  de  vouloir    (c’est-à-dire  de  tolérer)  qu’un  tiers  contrôle  le 
traitement de données ne suffit donc pas, à lui seul, à fonder la responsabilité  au 
titre de la protection des données, quand bien même l’organisme bénéficierait des 
résultats du traitement des données. 
37  Une  telle  influence  prédominante  sur  le  traitement  des  données  peut  résulter,  de 
fait, d’une coopération  au traitement des données qui soit de nature à l’influencer, 
à le gérer, à le mettre au point ou, à le contrôler d’une manière ou d’une autre. Elle 
peut  toutefois  aussi  intervenir,  et  ce  même  avant  le  traitement,  sous  la  forme  de 
facultés,  en  droit,  de  gestion  et  de  mise  au  point.  La  notion  de  sous-traitance 
montre que la responsabilité au titre de la protection des données peut reposer sur 
des droits contractuels de mise au point, de direction et de contrôle sans requérir 
 
5  
Arrêt du 13 mai 2014, Google Spain et Google (C-131/12, EU:C:2014:317, point 34). 
6  
Groupe  de  travail  « Article  29 »  sur  la  protection  des  données,  Avis  1/2010  sur  les  notions  de 
« responsable du traitement » et de « sous-traitant »
, WP 169, 16 février 2010. 
7  
Voir  point  13  de  la  décision  de  renvoi  du  19 janvier  2017,  qui  se  réfère  au  point  27  de  la 
demande de décision préjudicielle du Bundesverwaltungsgericht (Cour administrative fédérale), 
du 25 février 2016, faisant l’objet de l’affaire C-210/16. 
10 
 

FASHION ID 
que  le  responsable  du  traitement  coopère  lui-même  directement  au  traitement  ou 
que les données relèvent au bout du compte physiquement de son ressort. 
38  La  détermination  doit  en  outre  concerner  « les  finalités  et  les  moyens  du 
traitement  des  données  à  caractère  personnel ».  La  « détermination »  visée  à 
l’article 2, sous d), de la directive 95/46 se rapporte au processus du traitement des 
données.  La  responsabilité  ne  repose  donc  pas  sur  n’importe  quelle  contribution  
qui  serait  à  l’origine  d’un  traitement  de  données.  Pour  être  un  responsable  du 
traitement,  la  détermination  doit  se  rapporter  directement  au  processus  de 
traitement des données et influer sur celui-ci. Un organisme qui n’a ou n’assume 
aucune  influence  propre  sur  ce  processus  mais  qui  se  limite  à  favoriser  un 
traitement exclusivement amorcé et géré par un tiers n’endosse de ce fait aucune 
responsabilité au titre de la protection des données. 
39  Selon ces critères, le gestionnaire d’un site web qui insère sur son site le module 
d’un fournisseur externe  induisant automatiquement,  à la consultation  du site,  la 
transmission  de  [Or. 13]  données  à  caractère  personnel  de  l’utilisateur  au 
fournisseur  externe  doit  être  considéré  comme  un  responsable  du  traitement.  En 
effet,  en  déterminant  le  « principe »  et  les  « modalités »  de  l’insertion  d’un 
module, il lance, par une décision propre de son propre ressort (qui prend la forme 
de  son  propre  site  web)  un  processus  de  transmission  autonome  qui  n’est  rien 
d’autre, à la fois techniquement et juridiquement, que la condition préalable de la 
collecte  que  fera  ensuite  le  fournisseur  externe.  Par  cette  « détermination »,  il 
exerce  de  ce  fait  une  influence  significative,  donc  prédominante,  sur  la 
transmission des données qui se fera au fournisseur externe. 
40  La responsabilité du gestionnaire du site se limite cependant à la transmission des 
données  à  caractère  personnel  de  l’utilisateur  au  fournisseur  externe.  Dans 
l’appréciation de la responsabilité, la notion de « traitement de données à caractère 
personnel » dans des processus complexes et compartimentés, comme en l’espèce, 
ne peut pas s’entendre globalement. Elle se répartit en quelque sorte en différents 
actes  pour  lesquels  il  y  a  lieu  de  déterminer,  à  chaque  fois,  la  responsabilité  de 
façon distincte. 
41  La notion de « traitement » utilisée à l’article 2, sous d), de la directive 95/46 est 
définie  à  l’article 2,  sous  b).  Selon  cette  disposition,  constitue  un  « traitement » 
toute opération ou ensemble d’opérations effectuées ou non à l’aide de  procédés 
automatisés  et  appliquées  à  des  données  à  caractère  personnel,  telles  que  la 
collecte,  l’enregistrement,  l’organisation,  la  conservation,  l’adaptation  ou  la 
modification,  l’extraction,  la  consultation,  l’utilisation,  la  communication  par 
transmission,  diffusion  ou  toute  autre  forme  de  mise  à  disposition,  le 
rapprochement  ou  l’interconnexion,  ainsi  que  le  verrouillage,  l’effacement  ou  la 
destruction.  Il  s’ensuit  que  la  transmission  de  données  à  caractère  personnel 
constitue,  en  soi,  un  « traitement »  au  sens  de  l’article 2,  sous  d),  de  la  directive 
95/46 lu conjointement avec l’article 2, sous b). Le traitement que fera ensuite le 
fournisseur  externe  dans  le  prolongement  de  cette  transmission,  comme  le 
11 

– AFFAIRE C-40/17-16 
rapprochement et l’interconnexion des données transmises avec d’autres données 
à caractère personnel, est un autre « traitement » qui s’en distingue. 
42  Si l’on envisage le traitement des données non pas comme une opération unitaire 
mais dans chacune  des phases de traitement, la responsabilité pour une phase du 
traitement  des  données  n’emporte  pas  automatiquement  responsabilité  pour 
l’ensemble  du  processus  de  traitement  des  données.  Dans  un  processus  de 
traitement  des  données  auquel  plusieurs  participants  coopèrent  en  tant  que 
responsables,  il  n’y  aura  de  responsabilité  que  là  où  l’acteur  concerné  détermine 
« les finalités et les moyens » de la phase de traitement [Or. 14] concernée. Cela a 
une  incidence  directe  sur  les  obligations  que  le  « responsable  du  traitement »  en 
question doit assumer au titre de la directive 95/46 (quatrième à sixième questions 
préjudicielles). 
43  La responsabilité du gestionnaire du site web pour la transmission des données à 
caractère personnel au fournisseur externe, qu’il a enclenchée, n’implique dès lors 
pas  qu’il  soit  également  responsable  du  traitement  entrepris  par  le  fournisseur 
externe à la suite de la transmission. Il ne lui est pas possible de gérer ni de mettre 
au  point  ce  traitement  ultérieur.  Il  n’a  en  conséquence  aucune  influence 
prédominante  sur  les  traitements  complémentaires  que  le  fournisseur  externe 
entreprend après la transmission. L’absence de maîtrise  ressort du fait que, dans 
cette phase du traitement accomplie par le fournisseur externe, le gestionnaire du 
site  n’est  pas  en  mesure  de  respecter  les  obligations  de  la  directive  95/46  et  les 
droits  qui  en  résultent  pour  la  personne  concernée,  notamment  les  droits  à 
l’information et à l’accès aux données. 
44  Le  gestionnaire  du  site  a,  par  contre,  une  influence  prédominante  sur  la 
transmission  des  données  de  l’utilisateur  qui  consulte  son  site.  Il  dispose  d’une 
faculté  propre  de  détermination  à  cet  égard  ou,  plutôt,  de  moyens  d’intervention 
techniques sur la transmission  des données.  L’insertion du module  relève de son 
libre  choix.  Il  peut  le  retirer  à  tout  moment.  Il  peut  en  outre  gérer  et  mettre  au 
point  l’accès  aux  données  à  caractère  personnel  de  l’utilisateur  au  moyen  de  la 
solution dite « en deux clics » qui fait précéder la transmission d’une demande de 
consentement. 
45  Cela  confère  au  gestionnaire  du  site  un  pouvoir  de  détermination  sur  le 
déclenchement  de  la  transmission  des  données  au  fournisseur  externe.  Dans  la 
solution  « en  deux  clics »,  que  l’appelante  dans  l’affaire  au  principal  a  instaurée 
entre-temps, le module social est désactivé lors de la consultation du site et c’est 
n’est que par un autre clic qu’il doit formellement être réactivé. Avant l’activation, 
l’utilisateur  est  informé  de  manière  distincte  du  traitement  des  données.  Cela 
montre clairement  que le gestionnaire du site a une influence déterminante sur le 
traitement des données en raison de laquelle il en est le responsable au titre  de la 
protection des données. 
46  Ce  pouvoir  de  décision  se  rapporte  aussi  directement  au  processus  de  traitement 
des données. La contribution du gestionnaire du site ne se résume pas à permettre 
12 
 

FASHION ID 
un  traitement  exclusivement  mis  au  point  et  géré  par  un  tiers.  En  insérant  le 
module  sur  son  propre  [Or. 15]  site,  il  crée,  en  quelque  sorte,  activement  les 
conditions  techniques  d’une  transmission  de  données  à  caractère  personnel  d’un 
utilisateur, réalisée par le fournisseur externe. Ainsi que la juridiction de renvoi l’a 
exposé très justement, l’émission du code HTML est le premier acte de l’appel du 
module  qui  se  situe  dans  le  champ  d’action  et  de  responsabilité  propre  du  
gestionnaire  du  site.  Celui-ci  crée  ainsi  avec  le  fournisseur  externe  une 
infrastructure commune pour la transmission des données à caractère personnel. 
47  Du  fait,  d’une  part,  du  pouvoir  de  mise  au  point  [du  gestionnaire  du  site]  et, 
d’autre  part,  de  [son]  intégration  directe  dans  le  processus  de  traitement  des 
données, le présent  cas  de figure se distingue de celui de  l’affaire  Unabhängiges 
Landeszentrum  für  Datenschutz  Schleswig-Holstein  contre  Wirtschaftsakademie 
Schleswig-Holstein  GmbH  (C-210/16),  où  le  gestionnaire  du  site  utilise 
pleinement  une  plateforme  créée  par  un  tiers  sans  aucune  possibilité  de  mise  au 
point  et  de  gestion.  L’exploitation  d’une  « page  fan »  crée  les  conditions  de  fait 
d’un traitement de données géré exclusivement par un tiers. Par contre, lorsqu’il 
insère  un  module,  c’est  dans  son  champ  d’action  et  dans  son  ressort  que  le 
gestionnaire  d’un  site  web  gère  et  met  au  point  les  conditions  effectives  et 
techniques de transmission des données. 
III. Sur la troisième question préjudicielle 
48  Étant  donné  que  le  gouvernement  allemand  estime  que  la  deuxième  question 
préjudicielle  appelle  une  réponse  affirmative,  il  n’y  a  pas  lieu  de  répondre  à  la 
troisième question préjudicielle. 
IV. Sur la quatrième question préjudicielle 
49  Par  la  quatrième  question  préjudicielle,  la  juridiction  de  renvoi  souhaite  savoir 
quels  sont,  dans  le  cas  de  figure  qu’elle  décrit,  les  « intérêts  légitimes »  dont  la 
mise en balance, à faire  au titre de l’article 7, sous f), de la directive 95/46, doit 
tenir compte. 
50  À cet égard, le gouvernement allemand suggère de répondre que, dans un contexte 
comme celui de l’espèce, il faut que la mise en balance requise tienne aussi bien 
compte de l’intérêt que le gestionnaire du site a à insérer des contenus de tiers, en 
particulier pour en retirer des effets de marketing, que de l’intérêt du fournisseur 
externe  à  un  traitement  et  à  une  utilisation  ultérieurs  des  données  transmises  sur 
lesquels repose le modèle d’entreprise qu’il applique. 
51  Conformément  à  l’article 7,  sous  f),  de  la  directive  95/46,  le  traitement  doit  être 
nécessaire  à  la  réalisation  de  l’intérêt  légitime  poursuivi  par  le  responsable  du 
traitement  ou  par  le  ou  les  tiers  auxquels  les  données  sont  communiquées.  Aux 
termes de la disposition, le responsable [Or. 16] du traitement peut donc se fonder 
sur son propre intérêt légitime mais aussi sur des intérêts légitimes du destinataire 
de la transmission. 
13 

– AFFAIRE C-40/17-16 
V. Sur la cinquième question préjudicielle 
52  Par la cinquième question préjudicielle, la juridiction de renvoi souhaite savoir à 
qui doit être donné le consentement visé à l’article 7, sous a), et à l’article 2, sous 
h), de la directive 95/46, dans le cas de figure qu’elle décrit. 
53  Le  gouvernement  allemand  estime  que,  pour  la  transmission  automatique  des 
données de l’utilisateur au fournisseur externe induite par le module inséré, c’est 
soit  au  gestionnaire du site  web, soit au fournisseur externe que  le consentement 
doit être donné. En effet, le gestionnaire du site et le fournisseur externe doivent 
être considérés, selon le gouvernement allemand, comme des « coresponsables du 
traitement »  au  sens  de  l’article 2,  sous  d),  de  la  directive  95/46  pour  la 
transmission  des  données  à  caractère  personnel  de  l’utilisateur  au  fournisseur 
externe. Le fourbisseur externe a, lui aussi, tout autant d’influence sur la mise au 
point et sur la gestion du processus de transmission en ce que, dans le cadre de la 
fonctionnalité du module qu’il met à disposition, il configure sa propre offre pour 
récupérer  les  données  de  l’utilisateur.  En  cela,  il  y  a  une  collecte  de  données  à 
caractère personnel visée dans les éléments de la définition de l’article 2, sous d), 
de la directive 95/46. 
54  Les  processus  techniques,  dans  le  cas  d’espèce,  donnent  à  penser  que  le 
consentement, que la personne concernée doit donner avant le début du traitement 
des  données,  est  recueilli  par  le  gestionnaire  du  site  web.  La  transmission  des 
données  étant  toutefois  une  opération  unitaire,  le  consentement  que  la  personne 
concernée  accorde  opère  à  chaque  fois  pour  les  deux  coresponsables  du 
traitement.  Le  consentement  pourrait  ainsi  être  également  donné  au  fournisseur 
externe,  dès  lors  qu’il  intervient  avant  le  début  de  l’opération  de  traitement  des 
données. 
55  Dans le champ de responsabilité du gestionnaire du site, le consentement ne doit 
se rapporter qu’à la transmission des données au fournisseur externe. Pour tous les 
autres  processus  de  traitement  et  d’utilisation  des  données  par  ce  dernier,  le 
gestionnaire du site ne peut pas être considéré comme le responsable du traitement 
(voir, plus haut, points 40 à 43). Cela n’exclut toutefois pas que le gestionnaire du 
site recueille, à l’intention du fournisseur externe, le consentement de la personne 
concernée  au traitement  [Or. 17] que le fournisseur externe entend entreprendre. 
Cela peut faire l’objet d’accords contractuels relatifs à l’utilisation du module. 
VI. Sur la sixième question préjudicielle 
56  Par  la  sixième  question  préjudicielle,  la  juridiction  de  renvoi  souhaite  savoir  si 
l’obligation d’information de l’article 10 de la directive 95/46 pèse également sur 
le gestionnaire du site web. 
57  Le gouvernement allemand suggère de répondre à cette question par l’affirmative. 
L’obligation  d’information  prévue  à  l’article  10  de  la  directive  95/46  pèse 
également  sur  le  gestionnaire  du  site  dans  la  mesure  où  il  est  responsable  du 
14 
 

FASHION ID 
traitement.  L’obligation  d’information  découle  donc,  elle  aussi,  de  la 
responsabilité. Le gestionnaire du site a de ce fait une obligation d’information en 
ce qui concerne la transmission des données au fournisseur externe mais pas pour 
tous les autres processus de traitement des données subséquents, lesquels relèvent 
de  la  seule  responsabilité  de  ce  fournisseur  externe  (voir,  plus  haut,  points  40  à 
43). 
E. CONCLUSION 
58  Dans ces conditions, le gouvernement allemand estime qu’il convient de répondre 
aux questions préjudicielles de la façon suivante : 
1. 
Les  articles  22,  23  et  24  de  la  directive  95/46  ne  s’opposent  pas  à  une 
réglementation  nationale  qui,  en  marge  des  pouvoirs  d’intervention  des 
autorités de contrôle indépendantes au sens de l’article 28 de cette directive 
et des actions en justice des personnes concernées, habilite des organisations 
d’utilité  publique  de  défense  des  intérêts  des  consommateurs,  en  cas 
d’atteintes  au  droit  de  la  protection  des  données,  à  agir  en  cessation  pour 
l’avenir  et  en  cessation  immédiate  contre  le  responsable  du  traitement  des 
données. 
2. 
La  deuxième  question  préjudicielle  appelle  une  réponse  affirmative  en  ce 
que,  dans  un cas comme celui de l’espèce où le  gestionnaire  d’un site  web 
insère  dans  son  site  un  code  programme  permettant  au  navigateur  de 
l’utilisateur  de  solliciter  des  contenus  d’un  fournisseur  externe  et  de 
transmettre  à  cet  effet  à  ce  dernier  des  données  à  caractère  personnel,  ce 
gestionnaire  est  pour  ce  qui  concerne  cette  opération  de  traitement  de 
données un « responsable du traitement » au sens de l’article 2, sous d), de la 
directive 95/46. En revanche, ce  gestionnaire n’est pas un  « responsable du 
traitement » pour les opérations de traitement de données ultérieures que le 
fournisseur  externe  entreprend,  étant  donné  qu’il  ne  peut  pas  influer  sur 
celles-ci. [Or. 18] 
3. 
Eu égard à la réponse à la deuxième question préjudicielle, il n’y a pas lieu 
de répondre à la troisième question préjudicielle. 
4. 
Dans  un  contexte  comme  celui  de  l’espèce,  la  mise  en  balance  visée  à 
l’article 7,  sous  f),  de  la  directive  95/46  doit  également  tenir  compte  de 
l’intérêt légitime que le gestionnaire du site web a d’insérer des contenus de 
tiers que de l’intérêt du fournisseur externe à traiter et utiliser ultérieurement 
des données transmises. 
5. 
Dans  un  contexte  comme  celui  de  l’espèce,  le  consentement  à  la 
transmission  des  données  à  caractère  personnel,  requis  par  l’article  7,  sous 
a),  et  par  l’article  2,  sous  h),  de  la  directive  95/46,  doit  être  donné  soit  au 
gestionnaire  du  site  web,  soit  au  fournisseur  externe,  mais  il  doit  toujours 
intervenir avant le début de l’opération de traitement des données. 
15 

– AFFAIRE C-40/17-16 
6. 
L’obligation  d’information  prévue  à  l’article  10  de  la  directive  95/46  pèse 
sur le gestionnaire du site web pour autant qu’il soit, comme dit à l’endroit 
de la deuxième question préjudicielle, le « responsable du traitement ». 
(sé) 
Möller 
16