This is an HTML version of an attachment to the Freedom of Information request 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.

 
Traduction  
C-40/17 - 14 
Observations de l’Autriche 
Affaire C-40/17 * 
Pièce déposée par :  
République d’Autriche 
Nom usuel de l’affaire :  
FASHION ID 
Date de dépôt :  
4 mai 2017 
 
à MM. les président et membres de la Cour 
OBSERVATIONS ÉCRITES DE LA RÉPUBLIQUE D’AUTRICHE 
 présentées au titre de l’article 23 du protocole sur le statut de la Cour de justice de 
l’Union européenne 
dans 
L’AFFAIRE C-40/17 
La République d’Autriche présente les observations suivantes sur la demande de 
décision  préjudicielle  que  l’Oberlandesgericht  Düsseldorf  (cour  d’appel  de 
Düsseldorf, Allemagne) a adressée à la Cour par décision du 19 janvier 2017 : 
I. 
Questions préjudicielles 

L’Oberlandesgericht  Düsseldorf  (Allemagne)  a  posé  à  la  Cour  les  questions 
préjudicielles suivantes en interprétation du droit de l’Union : 
1. 
Le  régime  des  articles 22,  23  et  24  de  la  directive  95/46/CE  du  Parlement 
européen  et  du  Conseil,  du  24 octobre  1995,  relative  à  la  protection  des 
personnes  physiques  à  l’égard  du  traitement  des  données  à  caractère 
personnel  et  à  la  libre  circulation  de  ces  données  (JO  1995,  L 281,  p. 31) 
s’oppose-t-il  à  une  réglementation  nationale  qui,  en  marge  des  pouvoirs 
d’intervention  des  autorités  de  protection  des  données  et  des  actions  en 

 
*  Langue de procédure : l’allemand. 
FR   

AFFAIRE C-40/17-14 
justice  de  la  personne  concernée,  habilite,  en  cas  d’atteintes,  des 
associations d’utilité publique de défense des intérêts des consommateurs à 
agir contre l’auteur d’une atteinte ? 

Si la première question appelle une réponse négative :  
2. 
Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un 
code  programme  permettant  au  navigateur  de  l’utilisateur  de  solliciter  des 
contenus  d’un  tiers  et  de  transmettre  à  cet  effet  au  tiers  des  données  à 
caractère  personnel,  celui  qui  fait  l’insertion  est-il  « responsable  du 
traitement »  au  sens  de  l’article 2,  sous  d),  de  la  directive  95/46/CE  du 
Parlement  européen  et  du  Conseil,  du  24 octobre  1995,  relative  à  la 
protection  des  personnes  physiques  à  l’égard  du  traitement  des  données  à 
caractère  personnel  et  à  la  libre  circulation  de  ces  données  (JO  1995, 
L 281,  p. 31)  lorsqu’il  ne  peut  avoir  lui-même  aucune  influence  sur  ce 
processus de traitement des données ?
 [Or. 2]  
3. 
Si  la  deuxième  question  appelle  une  réponse  négative :  l’article 2,  sous  d), 
de la directive 95/46/CE relative à la protection des personnes physiques à 
l’égard  du  traitement  des  données  à  caractère  personnel  et  à  la  libre 
circulation  de  ces  données  doit-il  être  interprété  en  ce  sens  qu’il  régit 
exhaustivement  la  responsabilité  en  ce  sens  qu’il  s’oppose  à  la  mise  en 
cause  sur  le  plan  civil  d’un  tiers  qui  n’est  certes  pas  « responsable  du 
traitement »  mais  est  à  l’origine  du  processus  de  traitement  des  données 
sans avoir d’influence sur celui-ci ? 

4. 
Dans  un  contexte  comme  celui  de  l’espèce,  quel  est  l’« intérêt  légitime »  à 
prendre  en  compte  dans  la  mise  en  balance  à  faire  au  titre  de  l’article 7, 
sous f), de la directive 95/46/CE ? Est-ce l’intérêt d’insérer des contenus de 
tiers ou est-ce l’intérêt du tiers ? 

5. 
Dans  un  contexte  comme  celui  de  l’espèce,  à  qui  doit  être  donné  le 
consentement  visé  à  l’article 7,  sous  a),  et  à  l’article 2,  sous  h),  de  la 
directive 95/46/CE ? 

6. 
L’obligation d’informer la personne concernée en vertu de l’article 10 de la 
directive  95/46/CE  dans  une  situation  telle  que  celle  qui  se  présente  en 
l’espèce  pèse–t–elle  également  sur  le  gestionnaire  du  site  qui  a  inséré  le 
contenu  d’un  tiers  et  est  ainsi  à  l’origine  du  traitement  des  données  à 
caractère personnel fait par un tiers ?  

II. 
Analyse juridique 
1. 
Sur la première question 

L’article 22  de  la  directive  95/46/CE  du  Parlement  européen  et  du  Conseil,  du 
24 octobre  1995,  relative  à  la  protection  des  personnes  physiques  à  l’égard  du 

 

FASHION ID 
traitement  des  données  à  caractère  personnel  et  à  la  libre  circulation  de  ces 
données (JO 1995, L 281, p. 31, ci-après la « directive 95/46 ») impose aux États 
membres de permettre en dernier ressort à toute personne d’introduire un recours 
juridictionnel  en  cas  de  violation  de  ses  droits  à  la  protection  des  données. 
L’article 23  de  la  même  directive  énonce  en  outre  l’obligation  pour  les  États 
membres  de  prévoir  que  toute  personne  ayant  subi  un  dommage  du  fait  d’un 
traitement  illicite  de  données  a  le  droit  de  solliciter  du  responsable  de  ce 
traitement  de  données  la  réparation  du  préjudice  subi,  pour  autant  qu’une  faute 
soit  imputable  à  ce  dernier.  En  tout  état  de  cause,  en  vertu  de  l’article 24  de  la 
directive  précitée,  il  incombe  aux  États  membres  de  prendre  les  mesures 
appropriées pour assurer sa pleine application. 

En revanche, la directive 95/46 ne contient aucune disposition relative à la faculté 
des organisations de protection des consommateurs de représenter des particuliers 
concernés ou  à la  faculté de telles organisation, en l’absence d’un mandat donné 
par  des  particuliers  concernés,  [Or. 3]  d’agir,  dans  l’intérêt  de  la  protection  des 
consommateurs, contre les atteintes à la protection des données commises par des 
personnes  responsables  lorsque  ces  atteintes  concernent  un  nombre  important  de 
consommateurs.  La  République  d’Autriche  estime  qu’il  n’existe  toutefois  aucun 
motif  de  considérer  que  des  dispositions  de  droit  national  habilitant  des 
organisations au sens précité à introduire des actions ou des recours collectifs ne 
contribuent pas efficacement à assurer la pleine application de la directive 95/46.  

Pour  ce  qui  est  de  la  voie  de  droit  spécifique  de  l’action  en  cessation,  le  texte 
intéressant  les  habilitations  d’organisations  de  protection  des  consommateurs  en 
général que l’on relèvera est la directive 2009/22/CE du Parlement européen et du 
Conseil du 23 avril 2009 relative aux actions en cessation en matière de protection 
des  intérêts  des  consommateurs  (JO  2009,  L 110,  p. 30,  ci-après  la 
« directive 2009/22 »).  Cette  directive  harmonise  les  règles  des  États  membres 
relatives  aux  actions  en cessation  (transfrontalières)  visant  à  protéger  les  intérêts 
des  consommateurs  introduites  par  des  organisations  de  protection  des 
consommateurs  ou  des  organismes  publics  indépendants  comparables.  En  outre, 
l’étendue des intérêts des consommateurs qui sont protégés est davantage précisée 
à  l’annexe I  de  la  directive.  Cette  annexe  énumère  les  directives  sectorielles  qui 
prévoient  la  possibilité  d’introduire  une  action  en  cessation.  Certes,  la  directive 
95/46 n’est pas reprise dans l’annexe I de la directive 2009/22. Cela ne s’explique 
toutefois  pas  par  le  fait  que  la  directive  95/46  ne  vise  pas  à  protéger  les  intérêts 
des consommateurs dans le « marché intérieur » (voir à cet égard les considérants 
3,  5  et  8  de  la  directive 95/46)  mais  simplement  par  la  circonstance  que  cette 
directive  n’est  pas  axée  sur  les  actions  en  cessation  mais  sur  la  voie  de  droit 
spécifique  de  la  réclamation  adressée  à  (aux)  (l’)  autorité(s)  de  contrôle  de  la 
protection  des  données.  Les  dispositions  de  droit  matériel  qui  sont  par  ailleurs 
contenues  dans  la  directive  95/46,  par  exemple  sous  la  forme  de  principes  de  la 
protection  des  données  ou  d’obligations  de  transparence,  sont  assurément  de  la 
plus  haute  importance  pour  la  protection  des  intérêts  des  consommateurs, 
notamment dans le domaine du commerce en ligne. 


AFFAIRE C-40/17-14 

À titre de conclusion intermédiaire, il convient donc de retenir que la circonstance 
que  l’annexe I  de  la  directive  2009/22  ne  mentionne  pas  la  directive  95/46  ne 
permet  en  aucun  cas  de  conclure  que  le  droit  de  l’Union  n’admet  pas  le 
mécanisme  des  « recours  introduits  par  des  associations »  dans  le  contexte  de  la 
protection des données. Ce point de vue est clairement confirmé par le règlement 
(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la 
protection  des  personnes  physiques  à  l’égard  du  traitement  des  données  à 
caractère  personnel  et  à  la  libre  circulation  de  ces  données,  et  abrogeant  la 
directive  95/46/CE  (règlement  général  sur  la  protection  des  données)  (JO  2016, 
L 119,  p. 1)  lequel  [Or. 4]  remplacera  la  directive  95/46  à  partir  du  mois  de 
mai 2018 :  en  vertu  de  l’article 80,  paragraphe 2,  de  ce  règlement,  les  États 
membres peuvent reconnaître la qualité pour agir aux associations de défense des 
consommateurs  en  matière  de  protection  des  données  indépendamment  d’un 
quelconque mandat conféré par les personnes concernées. 

Cela  étant,  on  relèvera  sur  ce  thème  la  directive  2005/29/CE  du  Parlement 
européen  et  du  Conseil  du  11 mai  2005  relative  aux  pratiques  commerciales 
déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et 
modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE 
et  2002/65/CE  du  Parlement  européen  et  du  Conseil  et  le  règlement  (CE) 
no 2006/2004  du  Parlement  européen  et  du  Conseil  (« directive  sur  les  pratiques 
commerciales 
déloyales ») 
(JO 
2005, 
L 149, 
p. 22, 
ci-après 
la 
« directive 2005/29 »)  visée  dans  l’annexe I  de  la  directive  2009/22.  L’existence 
d’une  pratique  commerciale  déloyale  peut  être  déterminée  sur  la  base  des 
articles 5 et  suivants  de la directive 2005/29, lus en combinaison  avec  l’annexe I 
de  la  directive.  Sont  notamment  déloyales  les  pratiques  commerciales 
« agressives ».  Conformément  à  l’article 5,  paragraphe 4,  sous  b),  lu  en 
combinaison  avec  l’article 5,  paragraphe 5,  et  l’annexe I,  no 26,  de  la  directive 
2005/29,  une  pratique  commerciale  est  agressive,  par  exemple,  lorsqu’une 
personne  se  livre  à  des  sollicitations  répétées  et  non  souhaitées  par  téléphone, 
télécopieur, courrier électronique ou tout autre outil de communication à distance. 
Dans  ce  contexte,  la  directive  95/46  est  expressément  visée  en  tant  que  texte  de 
référence  pour  déterminer  l’existence  d’une  pratique  commerciale  agressive  au 
sens précité. Cela tend à démontrer que la violation intentionnelle de dispositions 
de  la  directive  95/46  dans  la  relation  entre  une  entreprise  et  un  consommateur, 
pour  autant  qu’elle  ait  une  influence  déterminante  sur  une  décision  commerciale 
du  consommateur,  doit  en  fin  de  compte  être  considérée  comme  une  pratique 
commerciale déloyale au sens de l’article 5 de la directive 2005/29. 

Dans le cas d’espèce, il s’agit plus précisément d’une pratique commerciale qui a 
pour objectif l’utilisation, manifestement sans consentement, des données de tous 
les  utilisateurs  du  site  Internet  (en  ce  compris  les  « clients  non  membres  de 
Facebook »)  à  des  fins  de  publicité  ciblée  (« targeted  advertisement »).  À  cet 
égard, les visiteurs du site Internet ne peuvent pas déceler que leurs données sont 
utilisées  même  lorsqu’ils  ne  cliquent  pas  sur  le  bouton  « j’aime ».  Une  telle 
utilisation  des  données  pourrait  avoir  pour  conséquence  de  défavoriser  les 
entreprises dont le modèle commercial a pour objet la publicité ciblée (« targeted 

 

FASHION ID 
advertisement »)  fondée  sur  le  consentement  licite  et  transparent  des  utilisateurs. 
Dès lors que, dans le cas d’espèce, à tout le moins certaines personnes concernées 
pourraient  donc  également  recevoir  des  « publicités  non  sollicitées »,  il  semble 
qu’il y ait une pratique commerciale déloyale au sens de l’annexe I, no 26, de la 
directive 2005/29. [Or. 5]  

En outre, il convient de relever que, dans l’affaire préjudicielle (C-191/15) la Cour 
n’a  émis,  dans  le  contexte  d’une  question  spécifique  de  protection  des  données 
(à savoir  l’interprétation  de  l’article 4,  paragraphe 1,  sous  a),  de  la 
directive 95/46),  aucun  doute  sur  la  qualité  pour  agir  de  l’organisation  de 
protection  des  consommateurs  impliquée  à  l’époque  dans  la  procédure  au 
principal  (à  savoir  le  Verein  für  Konsumenteninformation  (l’Association 
autrichienne  pour  l’information  des  consommateurs))  (voir  arrêt  du 
28 juillet 2016,  Verein  für  Konsumenteninformation  (C-191/15,  EU:C:2016:612, 
points 72 et suivants)). 

En  conclusion,  la  République  d’Autriche  soutient  donc  que  l’on  ne  peut  déduire 
des articles 22 à 24 de la directive 95/46 que ceux-ci s’opposent à ce que des États 
membres  reconnaissent  (actuellement)  la  qualité  pour  agir  dans  des  actions  en 
justice (civiles) au titre d’autres règles juridiques. 
2. 
Sur la deuxième question 
10  En  vertu  de  la  définition  du  responsable  du  traitement  des  données  figurant  à 
l’article 2,  sous  d),  première  phrase,  de  la  directive  95/46,  doit  être  considéré 
comme responsable du traitement des données toute personne physique ou morale, 
autorité publique, service ou tout autre organisme  (premier élément) qui, seul ou 
conjointement  avec  d’autres  (troisième  élément*),  détermine  les  finalités  et  les 
moyens  du  traitement  de  données  à  caractère  personnel  (deuxième  élément).  On 
vérifiera la réalité de ces éléments, en prenant également en compte les éléments 
et  circonstances  de  fait  de  l’espèce  (voir  Avis 1/2010  sur  les  notions  de 
« responsable  du  traitement »  et  de  « sous-traitant »  adopté  par  le  Groupe  de 
travail  « article 29 »  sur  la  protection  des  données  le  16 février  2010,  WP  169, 
p. 9). 
11  Dans  le  cas  d’espèce,  la  décision  concrète  de  collecter  les  données  à  caractère 
personnel des utilisateurs du site Internet est initialement prise par le propriétaire 
du  site  Internet  en  installant  le  « module  relatif  au  bouton  ‘j’aime’ »  (« Like-
Button Plug-In »). Il convient cependant d’avoir égard au fait que le gestionnaire 
du  site  Internet  conclut  avec  Facebook  un  accord  sur  l’installation  de  ce  module 
(voir à cet égard : https ://de-de.facebook.com/legal/terms*) ou a déjà conclu un tel 
 
*Ndt. :  Dans  la  version  allemande de cette disposition, les deuxième et troisième éléments sont cités 
dans l’ordre inverse. 
*Ndt. :  La  version  française  du  site  Internet  est  disponible  à  l’adresse  suivante :  https ://fr-
fr.facebook.com/legal/terms.  


AFFAIRE C-40/17-14 
accord  à  la  faveur  de  la  création  de  son  compte  Facebook  en  acceptant  les 
conditions  d’utilisation.  À  cet  égard,  il  n’est  pas  nécessaire  de  déterminer  si 
Facebook n’a donné son accord à l’installation du code logiciel relatif au bouton 
« j’aime » – et a donc également participé à la décision de traiter les données des 
visiteurs d’un site  Internet – qu’au moment  où il a renvoyé le  code, après que le 
propriétaire  du  site  Internet  a  cliqué  sur  le  « Get  Code »,  ou  déjà  auparavant,  au 
moment  où  la  convention  d’utilisation  a  été  conclue.  En  tout  état  de  cause,  le 
gestionnaire du site et Facebook [Or. 6] décident, par la suite, conjointement des 
finalités et des moyens du traitement des données dès lors que le gestionnaire du 
site  Internet  accepte  l’ « offre »  relative  au  module  gratuit  de  Facebook 
(aux conditions définies par Facebook).  
12  Il  découle  de  ce  qui  précède  que,  dans  le  cas  d’espèce,  il  y  a  en  réalité  deux 
responsables  du  traitement  des  données  qui,  par  des  manifestations  de  volonté 
concordantes,  décident  conjointement  de  traiter  les  données  et  de  déterminer  les 
finalités et les moyens dudit traitement. 
3. 
Sur la troisième question 
13  Il ressort de la réponse à la deuxième question que, dans des circonstances telles 
que celles de l’espèce (à savoir l’insertion d’un module d’un tiers dans son propre 
site  Internet),  celui  qui  n’effectue  pas  le  traitement  des  données  (au  moyen  du 
module)  à  proprement  parler  mais  ne  fait  que  « rendre  possible »  celui-ci  doit 
également être considéré comme responsable au sens de l’article 2, sous d), de la 
directive 95/46.  
14  La  question  de  l’attribution  des  rôles  (de  responsables)  doit  toutefois  être 
distinguée de la question de la responsabilité pour les dommages nés du traitement 
en  cause.  La  qualité  de  « responsable »  n’emporte  pas  automatiquement 
responsabilité  pour  les  dommages  dans  le  cas  d’espèce.  Il  suffit  pour  s’en 
convaincre  de  se  reporter  à  l’article 23,  paragraphe 2,  de  la  directive  95/46.  Il 
découle de cette disposition que les États membres peuvent exonérer partiellement 
ou totalement le responsable du traitement s’il prouve que le fait qui a provoqué le 
dommage  ne  lui  est  pas  imputable.  En  outre,  il  découle  de  l’article 23, 
paragraphe 1, de la directive 95/46 qu’une personne concernée qui est lésée doit, à 
tout le moins initialement, pouvoir faire valoir son droit à indemnisation contre le 
responsable si le traitement générateur du dommage lui est au moins partiellement 
imputable.  Le  point  de  savoir  si  et  dans  quelle  mesure  la  demande 
d’indemnisation  de  la  personne  concernée  pourra  être  accueillie  dépend  des 
modalités  du  régime  de  responsabilité  en  droit  interne.  C’est  ainsi  que  des  États 
membres  pourraient  même  définir  une  responsabilité  solidaire  dans  laquelle  la 
personne  concernée  ne  pourrait  se  voir  opposer  de  responsabilité  seulement 
partielle. À l’inverse, il découle toutefois de l’article 23 de la directive 95/46 qu’il 
n’existe  aucune  obligation  pour  les  États  membres  de  prévoir  une  responsabilité 
des  tiers  n’ayant  pas  directement  participé  au  traitement,  lesquels  [Or. 7]  ne 
participent  d’aucune  manière  à  la  décision  relative  au  traitement  des  données  à 
caractère personnel en cause. 

 

FASHION ID 
4. 
Sur la quatrième question 
15  Cette  question  concerne  la  base  légale  du  traitement  des  données  résultant  de 
l’insertion  d’un  module  dans  un  site  Internet  (étranger).  Concrètement,  l’on 
considère  à  cet  égard  que  l’insertion  du  module,  de  même  que  le  traitement  de 
données  qui  en  résulte,  peut  être  fondé  sur  l’article 7,  sous  f),  de  la 
directive 95/46.  Dans  l’application  de  cette  disposition,  il  convient  de  mettre  en 
balance  les  intérêts  légitimes  de  la  personne  responsable  en  vertu  du  droit  de  la 
protection des données (en l’espèce, le gestionnaire du site Internet et  Facebook) 
et des personnes recevant éventuellement les données (« annonceurs recourant à la 
publicité ciblée »  (« Zielgruppenwerber »)), d’une part, et  l’intérêt  des personnes 
concernées  (en  l’espèce,  les  visiteurs  du  site  Internet)  au  respect  de  leur  droit 
fondamental à la protection des données, de leur vie privée et au respect de la vie 
privée et familiale, d’autre part. 
16  Le  gestionnaire  du  site  Internet  (en  tant  que  responsable  dans  le  régime  de 
protection  des  données)  peut  éventuellement  avoir  intérêt,  semble–t–il,  à  attirer 
l’attention sur sa présence sur Facebook et à se livrer dans un deuxième temps à 
un  marketing  relationnel  de  recommandation  par  des  « j’aime »  et  des 
« je partage » à ce titre. Facebook pourrait, pour sa part, avoir un intérêt à générer 
des  recettes  par  des  « publicités  ciblées »  (« targeted  advertisement »)  afin  de 
financer les « Services Facebook » gratuits. 
17  S’agissant  de  l’utilisation  des  données  des  « utilisateurs  de  Facebook  non-
inscrits »  (« nicht  registrierter  Facebook-User »),  il  convient  de  relever  que, 
en l’espèce, Facebook ne peut, par nature, pas avoir un intérêt légitime au sens de 
l’article 7,  sous  f),  de  la  directive 95/46  à  financer  les  « Services  Facebook » 
gratuits dès lors que la catégorie d’utilisateurs visée  n’a précisément  pas  recours 
aux services gratuits. 
5. 
Sur la cinquième question 
18  Cette question envisage le cas de figure dans lequel le traitement des données, tel 
que celui dans l’affaire au principal, est fondé sur le consentement de la personne 
concernée en application de l’article 7, sous a), de la directive 95/46. Dans le cas 
d’espèce,  le  consentement  doit  se  rapporter  au  traitement  lui-même  (module)  et 
aux  éventuelles  transmissions  (par  exemple,  aux  « annonceurs  recourant  à  la 
publicité ciblée » (« Zielgruppenwerber »)). Le consentement doit être donné à la 
[Or. 8]  personne  responsable  du  traitement.  Si  l’on  suit  l’analyse  faite  plus  haut 
dans le cadre de la deuxième question, le gestionnaire du site Internet et Facebook 
sont  conjointement  responsables  dans  le  régime  de  la  protection  des  données. 
Ratione  temporis,  le  consentement  doit  être  donné  dès  avant  la  collecte  des 
données en cause (voir Document no 2/2013 énonçant des lignes directrices sur le 
recueil du consentement pour le dépôt de cookies, adopté le 2 octobre 2013 par le 
Groupe de travail « article 29 » sur la protection des données, WP 208, p. 4). 


AFFAIRE C-40/17-14 
6. 
Sur la sixième question 
19  Il ressort de l’article 10 de la directive 95/46 que l’obligation de fournir certaines 
informations  à  la  personne  auprès  de  laquelle  se  fait  la  collecte  des  données  à 
caractère  personnel  incombe  au  responsable  du  traitement  ou  à  son  représentant. 
Si  on  admet  l’analyse  proposée  dans  le  cadre  de  la  deuxième  question,  suivant 
laquelle tant le gestionnaire du site Internet que Facebook doivent être considérés 
comme  responsables  dans  le  régime  de  la  protection  des  données,  l’obligation 
visée à l’article 10 de la directive 95/46 incombe à ces deux personnes. 
III. 
Proposition de réponse aux questions préjudicielles 
20  Compte  tenu  de  ce  qui  précède,  la  République  d’Autriche  propose  de  répondre 
comme  suit  aux  questions  préjudicielles  posées  par  l’Oberlandesgericht 
Düsseldorf (Allemagne) :  
1. 
Le régime des articles 22, 23 et 24 de la directive 95/46 ne s’oppose pas à 
une réglementation nationale qui, en marge des pouvoirs d’intervention des 
autorités de protection des données et des actions en justice de la personne 
concernée, habilite, en cas d’atteintes, des associations d’utilité publique de 
défense  des  intérêts  des  consommateurs  à  agir  contre  l’auteur d’une 
atteinte. 

2. 
Dans  le  cas  où  quelqu’un  insère  un  code  programme  dans  le  site  Internet 
qu’il  gère  permettant  au  navigateur  de  l’utilisateur  consultant  ce  site  de 
solliciter  des  contenus  d’un  tiers  et  de  transmettre  à  cet  effet  au  tiers  des 
données  à  caractère  personnel,  celui  qui  fait  l’insertion  est,  conjointement 
avec  le  tiers  qui  met  à  disposition  le  code  programme,  « responsable  du 
traitement »  au  sens  de  l’article 2,  sous  d),  de  la  directive  95/46  même 
lorsqu’il  ne  peut  avoir  lui-même  aucune  influence  sur  le  processus  de 
traitement des données résultant de l’insertion dudit code programme. 

3. 
L’article 2,  sous  d),  de  la  directive  95/46  ne  contient  aucune  disposition 
relative à la responsabilité civile du responsable ou de tiers mais définit qui 
doit être considéré comme « responsable » du traitement  des données  dans 
le  régime  de  la  protection  des  données.  La
  [Or. 9]  qualité  de  responsable 
doit  toutefois  être  distinguée  de  la  question  de  la  responsabilité  pour  des 
éventuels  dommages  nés  du  traitement.  C’est  l’article 23  et  non  l’article 2, 
sous d), de la directive 95/46 qui fixe le cadre pour l’adoption de régimes de 
responsabilité par les États membres. 

4. 
Il  convient  dans  le  cas  d’espèce  de  prendre  en  compte  l’intérêt  du 
gestionnaire  du  site  Internet  qui  effectue  l’insertion,  celui  de  Facebook, 
ainsi  que  celui  des  « annonceurs  recourant  à  la  publicité  ciblée » 
(« Zielgruppenwerbern »)  en  tant  qu’« intérêts  légitimes »  au  sens  de 
l’article 7, sous f), de la directive 95/46. 


 

FASHION ID 
5. 
Dans  un  contexte  comme  celui  de  l’espèce,  le  consentement  visé  à 
l’article 7,  sous  a),  et  à  l’article 2,  sous  h),  de  la  directive  95/46  doit  être 
donné tant au gestionnaire du site Internet qu’à Facebook. 

6. 
L’obligation d’informer la personne concernée au titre de l’article 10 de la 
directive 95/46 dans une situation telle que celle qui se présente en l’espèce 
pèse également sur le gestionnaire du site qui a inséré le contenu d’un tiers 
et est ainsi à l’origine du traitement des données à caractère personnel fait 
par un tiers.  

Vienne, le 4 mai 2017 
pour la République d’Autriche : 
Dr. Christine PESENDORFER