Traduction
C-40/17 - 14
Observations de l’Autriche
Affaire C-40/17 *
Pièce déposée par :
République d’Autriche
Nom usuel de l’affaire :
FASHION ID
Date de dépôt :
4 mai 2017
à MM. les président et membres de la Cour
OBSERVATIONS ÉCRITES DE LA RÉPUBLIQUE D’AUTRICHE
présentées au titre de l’article 23 du protocole sur le statut de la Cour de justice de
l’Union européenne
dans
L’AFFAIRE C-40/17
La République d’Autriche présente les observations suivantes sur la demande de
décision préjudicielle que l’Oberlandesgericht Düsseldorf (cour d’appel de
Düsseldorf, Allemagne) a adressée à la Cour par décision du 19 janvier 2017 :
I.
Questions préjudicielles
1
L’Oberlandesgericht Düsseldorf (Allemagne) a posé à la Cour les questions
préjudicielles suivantes en interprétation du droit de l’Union :
1.
Le régime des articles 22, 23 et 24 de la directive 95/46/CE du Parlement
européen et du Conseil, du 24 octobre 1995, relative à la protection des
personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)
s’oppose-t-il à une réglementation nationale qui, en marge des pouvoirs
d’intervention des autorités de protection des données et des actions en
* Langue de procédure : l’allemand.
FR
AFFAIRE C-40/17-14
justice de la personne concernée, habilite, en cas d’atteintes, des
associations d’utilité publique de défense des intérêts des consommateurs à
agir contre l’auteur d’une atteinte ?
Si la première question appelle une réponse négative :
2.
Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un
code programme permettant au navigateur de l’utilisateur de solliciter des
contenus d’un tiers et de transmettre à cet effet au tiers des données à
caractère personnel, celui qui fait l’insertion est-il « responsable du
traitement » au sens de l’article 2, sous d), de la directive 95/46/CE du
Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données (JO 1995,
L 281, p. 31) lorsqu’il ne peut avoir lui-même aucune influence sur ce
processus de traitement des données ? [Or. 2]
3.
Si la deuxième question appelle une réponse négative : l’article 2, sous d),
de la directive 95/46/CE relative à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données doit-il être interprété en ce sens qu’il régit
exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en
cause sur le plan civil d’un tiers qui n’est certes pas « responsable du
traitement » mais est à l’origine du processus de traitement des données
sans avoir d’influence sur celui-ci ?
4.
Dans un contexte comme celui de l’espèce, quel est l’« intérêt légitime » à
prendre en compte dans la mise en balance à faire au titre de l’article 7,
sous f), de la directive 95/46/CE ? Est-ce l’intérêt d’insérer des contenus de
tiers ou est-ce l’intérêt du tiers ?
5.
Dans un contexte comme celui de l’espèce, à qui doit être donné le
consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la
directive 95/46/CE ?
6.
L’obligation d’informer la personne concernée en vertu de l’article 10 de la
directive 95/46/CE dans une situation telle que celle qui se présente en
l’espèce pèse–t–elle également sur le gestionnaire du site qui a inséré le
contenu d’un tiers et est ainsi à l’origine du traitement des données à
caractère personnel fait par un tiers ?
II.
Analyse juridique
1.
Sur la première question
2
L’article 22 de la directive 95/46/CE du Parlement européen et du Conseil, du
24 octobre 1995, relative à la protection des personnes physiques à l’égard du
2
FASHION ID
traitement des données à caractère personnel et à la libre circulation de ces
données (JO 1995, L 281, p. 31, ci-après la « directive 95/46 ») impose aux États
membres de permettre en dernier ressort à toute personne d’introduire un recours
juridictionnel en cas de violation de ses droits à la protection des données.
L’article 23 de la même directive énonce en outre l’obligation pour les États
membres de prévoir que toute personne ayant subi un dommage du fait d’un
traitement illicite de données a le droit de solliciter du responsable de ce
traitement de données la réparation du préjudice subi, pour autant qu’une faute
soit imputable à ce dernier. En tout état de cause, en vertu de l’article 24 de la
directive précitée, il incombe aux États membres de prendre les mesures
appropriées pour assurer sa pleine application.
3
En revanche, la directive 95/46 ne contient aucune disposition relative à la faculté
des organisations de protection des consommateurs de représenter des particuliers
concernés ou à la faculté de telles organisation, en l’absence d’un mandat donné
par des particuliers concernés,
[Or. 3] d’agir, dans l’intérêt de la protection des
consommateurs, contre les atteintes à la protection des données commises par des
personnes responsables lorsque ces atteintes concernent un nombre important de
consommateurs. La République d’Autriche estime qu’il n’existe toutefois aucun
motif de considérer que des dispositions de droit national habilitant des
organisations au sens précité à introduire des actions ou des recours collectifs ne
contribuent pas efficacement à assurer la pleine application de la directive 95/46.
4
Pour ce qui est de la voie de droit spécifique de l’action en cessation, le texte
intéressant les habilitations d’organisations de protection des consommateurs en
général que l’on relèvera est la directive 2009/22/CE du Parlement européen et du
Conseil du 23 avril 2009 relative aux actions en cessation en matière de protection
des intérêts des consommateurs (JO 2009, L 110, p. 30, ci-après la
« directive 2009/22 »). Cette directive harmonise les règles des États membres
relatives aux actions en cessation (transfrontalières) visant à protéger les intérêts
des consommateurs introduites par des organisations de protection des
consommateurs ou des organismes publics indépendants comparables. En outre,
l’étendue des intérêts des consommateurs qui sont protégés est davantage précisée
à l’annexe I de la directive. Cette annexe énumère les directives sectorielles qui
prévoient la possibilité d’introduire une action en cessation. Certes, la directive
95/46 n’est pas reprise dans l’annexe I de la directive 2009/22. Cela ne s’explique
toutefois pas par le fait que la directive 95/46 ne vise pas à protéger les intérêts
des consommateurs dans le « marché intérieur » (voir à cet égard les considérants
3, 5 et 8 de la directive 95/46) mais simplement par la circonstance que cette
directive n’est pas axée sur les actions en cessation mais sur la voie de droit
spécifique de la réclamation adressée à (aux) (l’) autorité(s) de contrôle de la
protection des données. Les dispositions de droit matériel qui sont par ailleurs
contenues dans la directive 95/46, par exemple sous la forme de principes de la
protection des données ou d’obligations de transparence, sont assurément de la
plus haute importance pour la protection des intérêts des consommateurs,
notamment dans le domaine du commerce en ligne.
3
AFFAIRE C-40/17-14
5
À titre de conclusion intermédiaire, il convient donc de retenir que la circonstance
que l’annexe I de la directive 2009/22 ne mentionne pas la directive 95/46 ne
permet en aucun cas de conclure que le droit de l’Union n’admet pas le
mécanisme des « recours introduits par des associations » dans le contexte de la
protection des données. Ce point de vue est clairement confirmé par le règlement
(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données, et abrogeant la
directive 95/46/CE (règlement général sur la protection des données) (JO 2016,
L 119, p. 1) lequel
[Or. 4] remplacera la directive 95/46 à partir du mois de
mai 2018 : en vertu de l’article 80, paragraphe 2, de ce règlement, les États
membres peuvent reconnaître la qualité pour agir aux associations de défense des
consommateurs en matière de protection des données indépendamment d’un
quelconque mandat conféré par les personnes concernées.
6
Cela étant, on relèvera sur ce thème la directive 2005/29/CE du Parlement
européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales
déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et
modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE
et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE)
no 2006/2004 du Parlement européen et du Conseil (« directive sur les pratiques
commerciales
déloyales »)
(JO
2005,
L 149,
p. 22,
ci-après
la
« directive 2005/29 ») visée dans l’annexe I de la directive 2009/22. L’existence
d’une pratique commerciale déloyale peut être déterminée sur la base des
articles 5 et suivants de la directive 2005/29, lus en combinaison avec l’annexe I
de la directive. Sont notamment déloyales les pratiques commerciales
« agressives ». Conformément à l’article 5, paragraphe 4, sous b), lu en
combinaison avec l’article 5, paragraphe 5, et l’annexe I, no 26, de la directive
2005/29, une pratique commerciale est agressive, par exemple, lorsqu’une
personne se livre à des sollicitations répétées et non souhaitées par téléphone,
télécopieur, courrier électronique ou tout autre outil de communication à distance.
Dans ce contexte, la directive 95/46 est expressément visée en tant que texte de
référence pour déterminer l’existence d’une pratique commerciale agressive au
sens précité. Cela tend à démontrer que la violation intentionnelle de dispositions
de la directive 95/46 dans la relation entre une entreprise et un consommateur,
pour autant qu’elle ait une influence déterminante sur une décision commerciale
du consommateur, doit en fin de compte être considérée comme une pratique
commerciale déloyale au sens de l’article 5 de la directive 2005/29.
7
Dans le cas d’espèce, il s’agit plus précisément d’une pratique commerciale qui a
pour objectif l’utilisation, manifestement sans consentement, des données de tous
les utilisateurs du site Internet (en ce compris les « clients non membres de
Facebook ») à des fins de publicité ciblée (« targeted advertisement »). À cet
égard, les visiteurs du site Internet ne peuvent pas déceler que leurs données sont
utilisées même lorsqu’ils ne cliquent pas sur le bouton « j’aime ». Une telle
utilisation des données pourrait avoir pour conséquence de défavoriser les
entreprises dont le modèle commercial a pour objet la publicité ciblée (« targeted
4
FASHION ID
advertisement ») fondée sur le consentement licite et transparent des utilisateurs.
Dès lors que, dans le cas d’espèce, à tout le moins certaines personnes concernées
pourraient donc également recevoir des « publicités non sollicitées », il semble
qu’il y ait une pratique commerciale déloyale au sens de l’annexe I, no 26, de la
directive 2005/29.
[Or. 5]
8
En outre, il convient de relever que, dans l’affaire préjudicielle (C-191/15) la Cour
n’a émis, dans le contexte d’une question spécifique de protection des données
(à savoir l’interprétation de l’article 4, paragraphe 1, sous a), de la
directive 95/46), aucun doute sur la qualité pour agir de l’organisation de
protection des consommateurs impliquée à l’époque dans la procédure au
principal (à savoir le Verein für Konsumenteninformation (l’Association
autrichienne pour l’information des consommateurs)) (voir arrêt du
28 juillet 2016, Verein für Konsumenteninformation (C-191/15, EU:C:2016:612,
points 72 et suivants)).
9
En conclusion, la République d’Autriche soutient donc que l’on ne peut déduire
des articles 22 à 24 de la directive 95/46 que ceux-ci s’opposent à ce que des États
membres reconnaissent (actuellement) la qualité pour agir dans des actions en
justice (civiles) au titre d’autres règles juridiques.
2.
Sur la deuxième question
10 En vertu de la définition du responsable du traitement des données figurant à
l’article 2, sous d), première phrase, de la directive 95/46, doit être considéré
comme responsable du traitement des données toute personne physique ou morale,
autorité publique, service ou tout autre organisme (premier élément) qui, seul ou
conjointement avec d’autres (troisième élément*), détermine les finalités et les
moyens du traitement de données à caractère personnel (deuxième élément). On
vérifiera la réalité de ces éléments, en prenant également en compte les éléments
et circonstances de fait de l’espèce (voir Avis 1/2010 sur les notions de
« responsable du traitement » et de « sous-traitant » adopté par le Groupe de
travail « article 29 » sur la protection des données le 16 février 2010, WP 169,
p. 9).
11 Dans le cas d’espèce, la décision concrète de collecter les données à caractère
personnel des utilisateurs du site Internet est initialement prise par le propriétaire
du site Internet en installant le « module relatif au bouton ‘j’aime’ » (« Like-
Button Plug-In »). Il convient cependant d’avoir égard au fait que le gestionnaire
du site Internet conclut avec Facebook un accord sur l’installation de ce module
(voir à cet égard : https ://de-de.facebook.com/legal/terms*) ou a déjà conclu un tel
*Ndt. : Dans la version allemande de cette disposition, les deuxième et troisième éléments sont cités
dans l’ordre inverse.
*Ndt. : La version française du site Internet est disponible à l’adresse suivante :
https ://fr-
fr.facebook.com/legal/terms.
5
AFFAIRE C-40/17-14
accord à la faveur de la création de son compte Facebook en acceptant les
conditions d’utilisation. À cet égard, il n’est pas nécessaire de déterminer si
Facebook n’a donné son accord à l’installation du code logiciel relatif au bouton
« j’aime » – et a donc également participé à la décision de traiter les données des
visiteurs d’un site Internet – qu’au moment où il a renvoyé le code, après que le
propriétaire du site Internet a cliqué sur le « Get Code », ou déjà auparavant, au
moment où la convention d’utilisation a été conclue. En tout état de cause, le
gestionnaire du site et Facebook
[Or. 6] décident, par la suite, conjointement des
finalités et des moyens du traitement des données dès lors que le gestionnaire du
site Internet accepte l’ « offre » relative au module gratuit de Facebook
(aux conditions définies par Facebook).
12 Il découle de ce qui précède que, dans le cas d’espèce, il y a en réalité deux
responsables du traitement des données qui, par des manifestations de volonté
concordantes, décident conjointement de traiter les données et de déterminer les
finalités et les moyens dudit traitement.
3.
Sur la troisième question
13 Il ressort de la réponse à la deuxième question que, dans des circonstances telles
que celles de l’espèce (à savoir l’insertion d’un module d’un tiers dans son propre
site Internet), celui qui n’effectue pas le traitement des données (au moyen du
module) à proprement parler mais ne fait que « rendre possible » celui-ci doit
également être considéré comme responsable au sens de l’article 2, sous d), de la
directive 95/46.
14 La question de l’attribution des rôles (de responsables) doit toutefois être
distinguée de la question de la responsabilité pour les dommages nés du traitement
en cause. La qualité de « responsable » n’emporte pas automatiquement
responsabilité pour les dommages dans le cas d’espèce. Il suffit pour s’en
convaincre de se reporter à l’article 23, paragraphe 2, de la directive 95/46. Il
découle de cette disposition que les États membres peuvent exonérer partiellement
ou totalement le responsable du traitement s’il prouve que le fait qui a provoqué le
dommage ne lui est pas imputable. En outre, il découle de l’article 23,
paragraphe 1, de la directive 95/46 qu’une personne concernée qui est lésée doit, à
tout le moins initialement, pouvoir faire valoir son droit à indemnisation contre le
responsable si le traitement générateur du dommage lui est au moins partiellement
imputable. Le point de savoir si et dans quelle mesure la demande
d’indemnisation de la personne concernée pourra être accueillie dépend des
modalités du régime de responsabilité en droit interne. C’est ainsi que des États
membres pourraient même définir une responsabilité solidaire dans laquelle la
personne concernée ne pourrait se voir opposer de responsabilité seulement
partielle. À l’inverse, il découle toutefois de l’article 23 de la directive 95/46 qu’il
n’existe aucune obligation pour les États membres de prévoir une responsabilité
des tiers n’ayant pas directement participé au traitement, lesquels
[Or. 7] ne
participent d’aucune manière à la décision relative au traitement des données à
caractère personnel en cause.
6
FASHION ID
4.
Sur la quatrième question
15 Cette question concerne la base légale du traitement des données résultant de
l’insertion d’un module dans un site Internet (étranger). Concrètement, l’on
considère à cet égard que l’insertion du module, de même que le traitement de
données qui en résulte, peut être fondé sur l’article 7, sous f), de la
directive 95/46. Dans l’application de cette disposition, il convient de mettre en
balance les intérêts légitimes de la personne responsable en vertu du droit de la
protection des données (en l’espèce, le gestionnaire du site Internet et Facebook)
et des personnes recevant éventuellement les données (« annonceurs recourant à la
publicité ciblée » (« Zielgruppenwerber »)), d’une part, et l’intérêt des personnes
concernées (en l’espèce, les visiteurs du site Internet) au respect de leur droit
fondamental à la protection des données, de leur vie privée et au respect de la vie
privée et familiale, d’autre part.
16 Le gestionnaire du site Internet (en tant que responsable dans le régime de
protection des données) peut éventuellement avoir intérêt, semble–t–il, à attirer
l’attention sur sa présence sur Facebook et à se livrer dans un deuxième temps à
un marketing relationnel de recommandation par des « j’aime » et des
« je partage » à ce titre. Facebook pourrait, pour sa part, avoir un intérêt à générer
des recettes par des « publicités ciblées » (« targeted advertisement ») afin de
financer les « Services Facebook » gratuits.
17 S’agissant de l’utilisation des données des « utilisateurs de Facebook non-
inscrits » (« nicht registrierter Facebook-User »), il convient de relever que,
en l’espèce, Facebook ne peut, par nature, pas avoir un intérêt légitime au sens de
l’article 7, sous f), de la directive 95/46 à financer les « Services Facebook »
gratuits dès lors que la catégorie d’utilisateurs visée n’a précisément pas recours
aux services gratuits.
5.
Sur la cinquième question
18 Cette question envisage le cas de figure dans lequel le traitement des données, tel
que celui dans l’affaire au principal, est fondé sur le consentement de la personne
concernée en application de l’article 7, sous a), de la directive 95/46. Dans le cas
d’espèce, le consentement doit se rapporter au traitement lui-même (module) et
aux éventuelles transmissions (par exemple, aux « annonceurs recourant à la
publicité ciblée » (« Zielgruppenwerber »)). Le consentement doit être donné à la
[Or. 8] personne responsable du traitement. Si l’on suit l’analyse faite plus haut
dans le cadre de la deuxième question, le gestionnaire du site Internet et Facebook
sont conjointement responsables dans le régime de la protection des données.
Ratione temporis, le consentement doit être donné dès avant la collecte des
données en cause (voir Document no 2/2013 énonçant des lignes directrices sur le
recueil du consentement pour le dépôt de cookies, adopté le 2 octobre 2013 par le
Groupe de travail « article 29 » sur la protection des données, WP 208, p. 4).
7
AFFAIRE C-40/17-14
6.
Sur la sixième question
19 Il ressort de l’article 10 de la directive 95/46 que l’obligation de fournir certaines
informations à la personne auprès de laquelle se fait la collecte des données à
caractère personnel incombe au responsable du traitement ou à son représentant.
Si on admet l’analyse proposée dans le cadre de la deuxième question, suivant
laquelle tant le gestionnaire du site Internet que Facebook doivent être considérés
comme responsables dans le régime de la protection des données, l’obligation
visée à l’article 10 de la directive 95/46 incombe à ces deux personnes.
III.
Proposition de réponse aux questions préjudicielles
20 Compte tenu de ce qui précède, la République d’Autriche propose de répondre
comme suit aux questions préjudicielles posées par l’Oberlandesgericht
Düsseldorf (Allemagne) :
1.
Le régime des articles 22, 23 et 24 de la directive 95/46 ne s’oppose pas à
une réglementation nationale qui, en marge des pouvoirs d’intervention des
autorités de protection des données et des actions en justice de la personne
concernée, habilite, en cas d’atteintes, des associations d’utilité publique de
défense des intérêts des consommateurs à agir contre l’auteur d’une
atteinte.
2.
Dans le cas où quelqu’un insère un code programme dans le site Internet
qu’il gère permettant au navigateur de l’utilisateur consultant ce site de
solliciter des contenus d’un tiers et de transmettre à cet effet au tiers des
données à caractère personnel, celui qui fait l’insertion est, conjointement
avec le tiers qui met à disposition le code programme, « responsable du
traitement » au sens de l’article 2, sous d), de la directive 95/46 même
lorsqu’il ne peut avoir lui-même aucune influence sur le processus de
traitement des données résultant de l’insertion dudit code programme.
3.
L’article 2, sous d), de la directive 95/46 ne contient aucune disposition
relative à la responsabilité civile du responsable ou de tiers mais définit qui
doit être considéré comme « responsable » du traitement des données dans
le régime de la protection des données. La [Or. 9] qualité de responsable
doit toutefois être distinguée de la question de la responsabilité pour des
éventuels dommages nés du traitement. C’est l’article 23 et non l’article 2,
sous d), de la directive 95/46 qui fixe le cadre pour l’adoption de régimes de
responsabilité par les États membres.
4.
Il convient dans le cas d’espèce de prendre en compte l’intérêt du
gestionnaire du site Internet qui effectue l’insertion, celui de Facebook,
ainsi que celui des « annonceurs recourant à la publicité ciblée »
(« Zielgruppenwerbern ») en tant qu’« intérêts légitimes » au sens de
l’article 7, sous f), de la directive 95/46.
8
FASHION ID
5.
Dans un contexte comme celui de l’espèce, le consentement visé à
l’article 7, sous a), et à l’article 2, sous h), de la directive 95/46 doit être
donné tant au gestionnaire du site Internet qu’à Facebook.
6.
L’obligation d’informer la personne concernée au titre de l’article 10 de la
directive 95/46 dans une situation telle que celle qui se présente en l’espèce
pèse également sur le gestionnaire du site qui a inséré le contenu d’un tiers
et est ainsi à l’origine du traitement des données à caractère personnel fait
par un tiers.
Vienne, le 4 mai 2017
pour la République d’Autriche :
Dr. Christine PESENDORFER
9