Traduction
C-40/17 - 21
Observations de la LDI NRW
Affaire C-40/17 *
Pièce déposée par :
Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Nom usuel de l’affaire :
FASHION ID
Date de dépôt :
16 mai 2017
[La]
Landesbeauftragte
für
Datenschutz
und
Informationsfreiheit Nordrhein-Westfalen (déléguée à la
protection des données et à la liberté de l’information de la
Rhénanie-du-Nord-Westphalie)
[omissis]
dans l’affaire
C-40/17
concernant la demande de décision préjudicielle de l’Oberlandesgericht
Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) du 19 janvier
2017 [omissis] dans la procédure
[omissis]
[à laquelle la juridiction de renvoi l’a associée]
présente les observations suivantes :
[Or. 2]
I. Observations préliminaires
La procédure au principal vise à savoir si le gestionnaire d’un site web est en
droit d’insérer le bouton « j’aime » d’un réseau social en « iframe » (cadre en
* Langue de procédure : l’allemand.
FR
AFFAIREC-40/17-21
ligne) sur son site, de manière à amener le navigateur d’un visiteur du site à
transmettre des données à caractère personnel au fournisseur de ce module, sans
que ce visiteur le sache ou qu’il y soit même pour quelque chose.
La transmission à des tiers, sans que les personnes concernées le sachent ou le
veuillent, des données qui se rapportent à elles, porte atteinte à leur droit à la
protection des données à caractère personnel visé à l’article 8 de la charte des
droits fondamentaux de l’Union européenne. Si les personnes concernées n’ont
pas donné leur consentement, le traitement des données n’est licite que si,
conformément au droit national, l’une des conditions prévues à l’article 7, sous b)
à sous d), de la directive 95/46 est remplie. Ces conditions sont toutes
caractérisées par la nécessité, c’est-à-dire que le traitement des données doit être
nécessaire pour l’objectif autorisé concerné. Cette nécessité fait défaut lorsque le
gestionnaire d’un site dispose de moyens servant tout aussi bien son intérêt (en
l’occurrence, celui d’utiliser le bouton de Facebook) sans porter une atteinte aussi
grande à la protection des données à caractère personnel. En l’espèce, ces moyens
sont disponibles sous la forme tant de la solution dite « en deux clics » que du
« bouton Shariff » (voir annexe 1 : Berger, D.,
Schützen und teilen, Social-Media-
Buttons datenschutzkonform nutzen, in c’t, 2014, p. 148 à 151). À la suite de la
mise en demeure que la partie demanderesse [, la Verbraucherzentrale NRW e.V.
(association Centrale des consommateurs de Rhénanie du Nord Westphalie),] lui a
adressée le 1er avril 2015, le gérant du site en cause, partie défenderesse dans la
procédure au principal, en fait déjà usage, ayant lié le bouton « j’aime » de
Facebook à l’application de la solution « en deux clics ». Ainsi, dans la procédure
au principal, il s’agit en fin de compte de l’intérêt que le fournisseur du module a
à ce que son bouton « j’aime » soit inséré en « iframe », à cette différence
essentielle en ce qui la concerne que, de cette façon, il obtient aussi des données
de personnes qui n’actionnent pas ce bouton « j’aime » et qui établissent donc un
contact avec lui à leur insu. [La Landesbeauftragte für Datenschutz] estime que
c’est ce qui explique l’intervention de Facebook Ireland Ltd. dans la procédure au
principal.
Par ailleurs, ayant considéré que l’intérêt des personnes concernées de décider
elles-mêmes de la révélation de leurs données à caractère personnel au fournisseur
du module prévalait, [la Landesbeauftragte für Datenschutz] a jusqu’à présent
conseillé aux organismes publics et aux organismes privés relevant de ses
attributions de ne pas insérer des modules sociaux en « iframe » sur leur site
[Or. 3] et d’utiliser au contraire des procédés respectueux de la protection des
données qui tiennent compte de la liberté de choix au sens précité : voir, pour un
point de vue correspondant des autorités allemandes de contrôle de la protection
des données du Bund et des Länder, la décision du Düsseldorfer Kreis [(groupe de
travail au sein des autorités précitées)] sur la « Datenschutz in sozialen
Netzwerken » (protection des données dans les réseaux sociaux) du 8 décembre
2011 (jointe en annexe 2 et consultable sur le site www.ldi.nrw.de de la
Landesbeauftragte für Datenschutz sous « Entschließungen und Beschlüsse »).
Les organismes que [la Landesbeauftragte für Datenschutz] a contrôlés ont suivi
2
FASHION ID
ce conseil jusqu’ici, de sorte qu’aucune injonction ni grief n’a dû intervenir en la
matière.
En outre, [la Landesbeauftragte für Datenschutz] a surtout été saisie de demandes
émanant de gestionnaires de sites web. Aucun cas ne s’est encore présenté dans
son ressort territorial requérant d’examiner le traitement des données réalisé par
le fournisseur du module lui-même. Les réclamations introduites auprès d’elle sur
les traitements des données réalisés par Facebook ont été et sont renvoyées au
Datenschutzbeauftragter Hamburg (délégué à la protection des données de
Hambourg) en raison de l’établissement allemand [de Facebook] à Hambourg
(Allemagne),
C’est dans ce contexte que [la Landesbeauftragte für Datenschutz] présente les
observations qui suivent sur certaines questions préjudicielles et motifs de
l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf).
II. Sur les faits
Au point 4 de la motivation, la juridiction de renvoi précise que le gestionnaire
d’un site web qui insère des contenus externes n’est pas à même d’influer sur les
informations que le navigateur de l’utilisateur transmet au fournisseur externe.
Cette affirmation n’est exacte que dans la mesure où les informations transmises
dépendent en partie de processus techniques et de paramètres du système que le
gestionnaire du site ne peut pas modifier (ni même, du reste, le fournisseur
externe).
Le gestionnaire du site est conscient cependant que, dans la mesure où il amorce
la consultation d’un contenu offert par un tiers, cela a tout au moins pour effet de
transmettre l’adresse IP au fournisseur externe. L’interface de programmation du
bouton « j’aime » prévoit que le gestionnaire du site transmette la page « à aimer »
comme paramètre. Un URL générique est utilisé pour ce faire (voir, à cet égard, la
section III, p. 7) afin d’agréger les accès aux différentes formes d’affichage du
même contenu, comme par exemple des pages optimisées pour différents types
d’équipements. Étant donné que les données d’identification de l’utilisateur
[Or. 4] sont transmises par la même occasion, il y a moyen, par là, d’enregistrer le
chemin qu’il a suivi sur le site web. Le gestionnaire du site a cependant la
possibilité d’étendre davantage l’application de l’URL générique et de
transmettre, par exemple, principalement l’URL de la page d’accueil. Les
« j’aime » ne sont alors plus comptés par page du site mais uniquement pour le
site web dans son ensemble, ce qui rend le profilage plus difficile puisque seuls
sont alors encore disponibles des paramètres techniques, tel le référent, qui sont
intrinsèquement plus imprécis.
Pour ce qui est du point 5 de la motivation de la décision de renvoi, il y a lieu
d’observer que le navigateur de l’utilisateur du site web ne transmet des cookies
que si, au préalable, les cookies correspondants ont été mis en place chez
l’utilisateur et sauvegardés sur son navigateur. Si, comme le recommande la
3
AFFAIREC-40/17-21
protection des données, l’utilisateur refuse l’installation des cookies dans son
navigateur ou veille du moins à leur effacement, par exemple, après chaque
session, il n’y a d’emblée aucune transmission de cookies à Facebook lors de la
consultation d’un site web contenant le bouton « j’aime ». Ils doivent d’abord, à
nouveau, être mis en place.
Pour ce qui est du point 10 de la motivation de la décision de renvoi, [la
Landesbeauftragte für Datenschutz] signale dans ce contexte que des données à
caractère personnel sont transmises au fournisseur du module, et ce au moins sous
la forme des adresses IP, peu importe que des cookies soient ou non transmis dans
le cas concret :
Il est possible, certes, que la question de savoir si des adresses IP « dynamiques »
constituent, à l’égard du gestionnaire d’un site, des données à caractère personnel
au sens de la directive 95/46 dépende d’autres conditions (voir arrêt du 19 octobre
2016, Breyer, C-582/14, EU:C:2016:779). Par sa décision du 16 mai 2017 dans
l’affaire VI ZR 135/13, non encore disponible dans sa version intégrale au
moment de la rédaction des présentes observations, le Bundesgerichtshof (Cour
fédérale de justice, Allemagne) a confirmé, selon son communiqué de presse
(annexe 3), que ces conditions étaient remplies et que, à l’égard du gestionnaire
d’un site, les adresses IP dynamiques constituaient également des données à
caractère personnel au sens de la directive 95/46.
De plus, eu égard au nombre élevé de pages consultées, il y a également parmi les
adresses IP utilisées concernées une proportion importante d’adresses IP
« statiques » qui, en tout cas lorsqu’il s’agit d’une utilisation unique, représentent
des données à caractère personnel en ce qu’elles sont attribuées de manière fixe à
un utilisateur déterminé à travers l’appareil qu’il utilise
[Or. 5] [voir
Landesgericht Frankfurt (tribunal régional de Francfort, Allemagne), décision du
10 juin 2016, affaire n° 2-03 O 364/15].
La question du caractère personnel des données transmises appelle donc une
réponse affirmative.
II. Sur la première question préjudicielle
Pour [la Landesbeauftragte für Datenschutz], il n’y a aucune objection à la
possibilité d’un recours collectif en droit national, en marge des mesures d’ordre
individuel prévues aux articles 22 et suivants de la directive 95/46.
III. Sur les deuxième et troisième questions préjudicielles
Pour la phase de traitement des données dans laquelle le navigateur de l’utilisateur
est amené à transmettre des données à caractère personnel (telles des adresses IP
statiques ou dynamiques, ainsi que les URL consultés) au serveur du fournisseur
du module, le gestionnaire du site web en cause est le responsable du traitement
4
FASHION ID
au sens de l’article 2, sous d), de la directive 95/46, parce c’est lui seul qui,
sciemment et volontairement, cause cette transmission. Dans cette mesure, il
influence aussi à lui seul cette phase du traitement des données. À cet égard, ce
qui importe n’est pas le fait que ce gestionnaire ait ou non traité lui-même les
données mais le fait qu’il a pris la décision relative à ce traitement. C’est ce qu’il
fait en se procurant le code programme du module de Facebook et en l’insérant
sur son site de sorte qu’à la consultation de celui-ci, des données déterminées
telles que les adresses IP et les URL consultés par l’utilisateur soient
automatiquement transmises au fournisseur du module.
Le fait qu’il existe des moyens de se défendre contre ces transmissions de données
en installant et configurant des modules de navigateur spéciaux n’enlève rien à
cette conclusion. La question qui se pose tout d’abord est celle de savoir qui
répond d’une opération qui a effectivement lieu et cette question ne se pose
généralement pas après celle de savoir si une tierce personne aurait eu les moyens
d’en empêcher le déroulement, à moins que cette personne y soit tenue
juridiquement ou qu’une pareille obligation de garantie lui incombe. En outre, la
plupart des utilisateurs ne sont pas au courant de ces moyens de défense et seuls
des internautes qui s’y connaissent sont en mesure de les installer. Le fait qu’il
existe des moyens
[Or. 6] de se prémunir contre un traitement des données n’entre
donc pas en considération pour savoir qui est le responsable du traitement.
Sur la question de la responsabilité prévue par la directive 95/46, [la
Landesbeauftragte für Datenschutz] reprend ci-après les observations qu’elle a
formulées dans la procédure d’appel, même si elles se réfèrent également en partie
aux dispositions nationales de transposition :
[début de la citation]
« Pour la détermination de l’“organisme responsable” et notamment de la question
de savoir s’il s’agit d’un traitement des données en sous-traitance, il y a lieu
d’appliquer les normes qui figurent dans le Bundesdatenschutzgesetz (loi fédérale
sur la protection des données ; ci-après le “BDSG”). La responsabilité du
gestionnaire d’un site web au titre de la protection des données obéit à l’article 3,
paragraphe 7, du BDSG, qui doit être interprété au sens de l’article 2, sous d), de
la directive 95/46. Dans la détermination de l’“organisme responsable”, il y a lieu
de tenir compte du principe selon lequel il ne peut y avoir aucune phase de
traitement des données dont personne ne répondrait (Dammann, in Simitis,
BDSG, 8e édition, article 3, point 224).
La phase du traitement des données à prendre en considération est celle de la
transmission des données, du navigateur du visiteur du site web à Facebook, avant
que ce visiteur ait actionné le bouton “j’aime”. Le visiteur ne répond pas de cette
transmission puisque, sans intervention de sa part et à son insu, son navigateur est
induit à communiquer les données à Facebook. Il n’a pris aucune part à la décision
concernant les finalités et les moyens du traitement au sens de l’article 2, sous d),
5
AFFAIREC-40/17-21
de la directive 95/46. Les moyens techniques éventuels de faire échec à cette
transmission n’enlèvent rien à ce constat.
Dans les circonstances du cas d’espèce, Facebook n’est pas davantage susceptible
d’être un “organisme responsable” de cette phase de traitement. Par le seul fait
qu’il met généralement le code programme du module à la disposition des
gestionnaires de sites web, Facebook n’interfère en rien sur la décision d’insérer
son application sur la page d’accueil. À la connaissance de [la Landesbeauftragte
für Datenschutz], le gestionnaire du site web en cause n’a, à l’égard de Facebook,
aucune obligation contractuelle d’insérer le module. Il n’est a fortiori pas
pensable, d’après les faits, que ce gestionnaire réalise un traitement en sous-
traitance pour Facebook. Facebook n’accomplit pas lui-même la collecte des
données puisqu’il ne se procure pas les données de l’utilisateur en cause de
[Or. 7] façon ciblée. C’est au contraire “sans sollicitation” de sa part que
Facebook obtient en l’espèce du gestionnaire les données en cause.
Seul ce gestionnaire est donc susceptible d’être un “organisme responsable”. La
phase de traitement des données dont il a à répondre est celle de la transmission
des données, du navigateur de l’utilisateur à Facebook, qu’il a induite par la
programmation de son site. Il a ainsi délibérément induit la transmission des
données et décidé si elle a (encore) lieu ou si elle doit cesser. [La
Landesbeauftragte für Datenschutz] estime que, dans une interprétation de l’article
3, paragraphe 4, sous 3), du BDSG conforme à la directive (article 2, sous d), cela
constitue une transmission de données par le gestionnaire du site web en cause à
Facebook :
Du fait de l’insertion du module en « Iframe », à la consultation du site il est porté
à la connaissance de Facebook, et de ce fait d’un tiers, qu’une personne titulaire
d’une adresse IP déterminée a consulté le site web du gestionnaire en cause. La
seule question qui pourrait se poser est de savoir si une “communication”
intervient ici car dans son acception courante une communication pourrait
supposer une possession antérieure [de l’information] par l’“organisme
responsable”. La transmission ne présuppose cependant en tout cas aucune
possession préalable propre de la personne physique quant aux données. Il suffit
au contraire que les données soient portées « du domaine de l’organisme
responsable », à la connaissance d’un tiers (Dammann, in Simitis, BDSG, 8e
édition, article 3, point 156). Il n’y a pas lieu de comprendre ce domaine dans un
sens spatial. Il s’agit plus exactement de la sphère d’influence effective. En
programmant les transferts de données qui se produisent subrepticement du
navigateur de l’utilisateur vers un fournisseur externe, le gestionnaire du site en
cause utilise effectivement le navigateur de l’utilisateur à des fins propres et
permet délibérément que des processus de traitement de données se produisent
afin que les données de l’utilisateur parviennent à Facebook. Ce gestionnaire
utilise les processus automatisés du navigateur de l’utilisateur comme un outil
pour porter les données à la connaissance de Facebook. Le fait qu’elles soient
techniquement portées à la connaissance de Facebook sans étape intermédiaire
dans le serveur du gestionnaire du site est donc finalement sans importance.
6
FASHION ID
Les données parviennent ainsi, de la sphère d’influence de l’exploitant du site en
cause, à celle de Facebook.
Le gestionnaire du site en cause détermine également à ce titre l’étendue précise
des données transmises : il transmet ainsi à Facebook non seulement les données
que l’on trouve habituellement dans une communication entre
[Or. 8] un
navigateur et un serveur Internet mais porte aussi à sa connaissance un
renseignement supplémentaire sur la consultation du site web du gestionnaire sous
la forme des URL génériques, c’est-à-dire les URL sans l’indication de paramètres
tels les chaînes de recherche ou les différentes options d’affichage pour les
appareils portables et les ordinateurs de bureau. De ce fait, en cas d’activation
ultérieure éventuelle du bouton “j’aime” par le visiteur, la transmission des
données est axée sur l’objectif poursuivi par le gestionnaire du site de
comptabiliser les “j’aime” obtenus par le site en cause.
Il y a, de ce fait, un traitement de données dont l’exploitant du site en cause doit
répondre, qui se fait sous la forme d’une transmission de données à Facebook.
Même à considérer que la présente opération de traitement des données ne répond
pas à la notion de “transmission de données” visée à l’article 3, paragraphe 4, sous
3), du BDSG, cela ne change rien, en fin de compte, à l’appréciation juridique. En
effet, de même qu’il ne peut exister aucune phase de traitement des données dont
personne ne répond (voir plus haut), il ne peut pas davantage y avoir d’utilisation
de données qui ne relève pas des exigences légales. C’est pourquoi l’article 2,
sous d), de la directive 95/46 prévoit que constitue un “traitement de données à
caractère personnel” toute opération “appliqué[e] à des données à caractère
personnel”. Les sortes de traitement spécifiées n’ont été énumérées ensuite qu’à
titre d’exemple (“telles que”) et elles n’ont donc pas été énumérées de façon
exhaustive. En dépit de différences dans les notions, le BDSG va dans le même
sens en définissant dans son article 3, paragraphe 5, le mot “utiliser” comme
“toute utilisation de données à caractère personnel pour autant qu’il ne s’agisse
pas d’un traitement”. Ainsi, même si la caractéristique de la “transmission” n’est
pas retenue, il y a en tout cas un traitement de données au sens de la directive
95/46 (“une utilisation” au sens du BDSG) dont la légitimité requiert soit un
fondement légal soit un consentement de la personne concernée. »
[fin de la citation]
La juridiction de renvoi a visiblement une approche critique de la question de la
responsabilité du gestionnaire du site. Dans les motifs de la demande de décision
préjudicielle consacrés à la question de la responsabilité (voir points 13 et 14), elle
établit des comparaisons avec la demande de décision préjudicielle dans l’affaire
C-210/16 sans prendre dûment en considération les différences que présentent les
circonstances qui ont entouré les deux affaires. Dans la demande de décision
préjudicielle
[Or. 9] du Bundesverwaltungsgericht (Cour administrative fédérale,
Allemagne) faisant l’objet de l’affaire C-210/16, il s’agit de l’injonction d’une
autorité allemande de contrôle imposant au gestionnaire d’un site de désactiver sa
7
AFFAIREC-40/17-21
page « fan » hébergée sur Facebook. Une différence déterminante par rapport à la
présente affaire est que, dans le cadre de l’utilisation d’une page fan, l’utilisateur
consulte sciemment dès le départ une page Facebook et sait, de ce fait, que
Facebook traite toutes les données liées à l’utilisation. En revanche, dans le cas
d’un module inséré sur un autre site web, l’utilisateur croit avant tout qu’il s’est
uniquement connecté au gestionnaire de ce site. L’insertion du bouton « j’aime »
sert, selon lui, à « partager » le site web avec d’autres au cas où ce site lui plaît. La
plupart des utilisateurs ignorent que, par la seule consultation du site, c’est-à-dire
sans qu’ils aient activé le bouton ni qu’ils se soient même parfois aperçu de sa
présence, des données (notamment leur adresse IP statique ou dynamique et les
informations sur la consultation du site) sont transmises au fournisseur du module.
Alors que l’utilisateur amorce lui-même la connexion entre son navigateur et le
serveur de Facebook quand il ouvre une page Facebook, dans la présente affaire
c’est uniquement au site du gestionnaire en cause que l’utilisateur se connecte tout
d’abord Si des données de l’utilisateur du site parviennent, au serveur de
Facebook, c’est dû au seul fait du gestionnaire du site.
Au point 14, la juridiction de renvoi observe à tort que qualifier le gestionnaire
d’un site web de « responsable du traitement » rend l’insertion de contenus
élaborés par des tiers pratiquement impossible parce que ce gestionnaire ne serait
pas en mesure contrôler le traitement des données qui s’opère chez le tiers. En
effet, le gestionnaire d’un site est en premier lieu responsable de ce dont il décide
lui-même, à savoir l’insertion du contenu d’un tiers (par exemple pour mettre un
contenu supplémentaire à la disposition de ses utilisateurs, tels un bulletin
météorologique actualisé ou une vidéo de « Youtube »). Il peut y avoir à cet
égard, selon le cas, un intérêt légitime au sens de l’article 7, sous f), de la directive
95/46 qui l’emporte sur des considérations tirées de la protection des données.
Dans le cadre de la mise en balance de ces intérêts, devront toutefois aussi être
prises en considération des questions comme celles de savoir quels sont les
traitements de données que le fournisseur externe compte effectuer d’après
sa propre politique d’utilisation des données, de savoir si le traitement de données
relève du champ d’application de la directive 95/46 ou s’opère dans un pays tiers
dont le niveau de la protection des données est
[Or. 10] comparable, ou de savoir
s’il y a déjà des réclamations visant des traitements de données illicites du
fournisseur externe, et cetera.
En conclusion, il y a lieu de retenir ce qui suit en ce qui concerne la deuxième
question préjudicielle :
La transmission de données au serveur du fournisseur du module est la condition
préalable du traitement des données qui intervient ultérieurement chez ce
fournisseur. Elle constitue une phase du traitement des données à apprécier de
manière autonome, en ce que, à travers elle, les données de l’utilisateur
aboutissent dans la sphère du fournisseur du module, en lui permettant de ce fait
de réaliser d’autres traitements de données. Du fait du gestionnaire du site, les
données de l’utilisateur sont ainsi exposées à de nouveaux risques. De surcroît,
8
FASHION ID
c’est le seul gestionnaire qui décide si cette transmission a lieu. Le fournisseur du
module Facebook n’en a aucune connaissance, car il n’enregistre pas le
téléchargement ou l’utilisation du code programme (voir point VI). Si le
gestionnaire du site en cause induit la transmission qui ouvre au fournisseur du
module la possibilité d’utiliser les données, c’est dans son propre intérêt étant
donné qu’il entend tirer profit de la fonction du bouton « j’aime » pour sa propre
publicité. De ce fait, il est le responsable du traitement de cette phase du
traitement au sens de l’article 2, sous d), de la directive 95/46.
Il n’y a dès lors pas lieu de répondre à la troisième question préjudicielle.
V. Sur la quatrième question préjudicielle
Conformément à l’article 7, sous f), de la directive 95/46, l’intérêt du responsable
et l’intérêt de celui à qui les données sont transmises peuvent tout autant être pris
en considération. La position exposée dans les présentes observations étant que le
gestionnaire du site est l’organisme responsable de l’insertion du contenu du tiers
et donc le responsable de la transmission des données au fournisseur du module,
c’est son intérêt qu’il faut prendre tout d’abord en considération. Eu égard au fait
qu’il existe aussi des moyens permettant d’éviter la transmission de données
contestée (voir, plus haut, point I), la transmission de données à Facebook n’est
pas nécessaire au sens de la disposition précitée.
Par ailleurs, l’intérêt que le fournisseur du module a, en tant que destinataire des
données, à suivre la navigation des personnes qui
[Or. 11] n’ont pas actionné le
module de Facebook n’apparaît pas comme un intérêt légitime pouvant justifier
l’utilisation des données. Le traitement des données ne peut dès lors être légitimé
que par le consentement.
VI. Sur la cinquième question préjudicielle
Pour les raisons qui suivent, c’est au responsable que le consentement devrait en
principe être donné :
– le responsable doit savoir si le traitement de données dont il répond fait l’objet
d’un consentement et connaître son étendue afin de pouvoir rester dans la
légalité ;
– la personne concernée doit savoir à l’égard de qui elle peut le cas échéant
révoquer son consentement, révocation dont le responsable doit tenir compte ;
– celui qui consent doit être informé utilement par le responsable, ce d’autant
que, selon l’article 10 de la directive 95/46, l’obligation de fournir les
informations incombe au responsable du traitement ou à son représentant ;
9
AFFAIREC-40/17-21
– le consentement doit être spécifique ; à cet effet, la personne du responsable qui
entend se prévaloir du consentement doit être connue de celui qui consent ;
– lors d’une vérification de l’autorité de contrôle, le responsable doit être en
mesure de lui donner les renseignements sur l’existence d’un consentement
(article 28, paragraphe 3, de la directive 95/46).
Ces conditions ne sont pas susceptibles d’être mises en œuvre dans le cas
d’espèce soumis à la Cour :
Les utilisateurs des pages offertes par le gestionnaire du site web n’ont pas tous eu
un contact préalable avec le gestionnaire du réseau social (le fournisseur du
module) ni tous consenti aux utilisations des données que ce réseau indique. La
transmission des données (y compris la possibilité pour Facebook d’installer un
cookie ou de le lire) du navigateur à Facebook a toutefois lieu, que les personnes
concernées soient ou non également des utilisateurs de Facebook ayant donné le
cas échéant leur consentement.
Au moment où le bouton « j’aime » est inséré, il n’existe aucun rapport juridique
ni même de rapport de pur fait entre le gestionnaire du site
[Or. 12] et le
fournisseur du module. En effet, Facebook met le module à la disposition de tout
gestionnaire de site web sans que celui-ci doive se faire enregistrer s’il l’emploie,
ainsi que le montre la capture d’écran qui suit :
(https://developers.facebook.com/docs/plugins/faqs ; [omissis] *)
Par conséquent, dans le cadre de l’obtention du consentement, le fournisseur du
module ne sait pas quels gestionnaires vont insérer son module. Il ne peut donc
* Ndt : la date de la capture d’écran de la traduction est le 13 juillet 2017, la mention omise est la date
(15 mai 2017) de la capture d’écran qui figure, en EN, dans l’original.
10
FASHION ID
pas donner des informations sur la personne du responsable. Les consentements
qu’il recueillerait éventuellement ne peuvent de ce fait pas être suffisamment
spécifiques.
Inversement, dans le cas d’espèce, le responsable ne peut pas davantage savoir
quels utilisateurs de son site ont émis auprès du fournisseur du module un
consentement juridiquement valable et ce à quoi ils ont consenti. De même, il n’y
a aucune garantie que le responsable soit informé d’une révocation éventuelle de
ce consentement.
[Or. 13]
Dans le présent cas d’espèce, le consentement devait donc être recueilli par le
gestionnaire du site lui-même.
Du reste, la juridiction de renvoi observe très justement que la partie défenderesse,
le gestionnaire du site web, n’a pas allégué que les visiteurs de son site avaient
consenti à l’égard de Facebook à la transmission de leurs données à Facebook. Il
en va de même pour les utilisateurs qui ont un compte Facebook. Une information
sur des modules effectuée le cas échéant à l’intention de ces derniers ne suffit pas
à cet égard, voir décision du Landgericht Düsseldorf (tribunal régional de
Düsseldorf, Allemagne), du 9 mars 2016, 12 O 151/15, point B.I.4, p. 17.
VII. Sur la sixième question préjudicielle
Il pourrait aller de soi que le gestionnaire d’un site web doive informer les
utilisateurs de son site des types de contenus de tiers qu’il y insère et des
transmissions de données qui sont réalisées à travers ceux-ci.
La question préjudicielle se rapporte toutefois probablement (aussi) à l’étendue
des informations que le gestionnaire du site doit donner. Il est difficile d’apprécier
dans quelle mesure celui-ci doit fournir des informations sur le traitement plus
poussé de données qui s’opère chez le fournisseur du module, sur l’ampleur
duquel il ne peut exercer aucune influence et qui ne lui est pas nécessairement
connue. Lorsque le module dont il s’agit est le bouton « j’aime » d’un réseau
social, comme en l’espèce, les choses se présentent de manière particulière en ce
que le gestionnaire du site attend du traitement des données par le gestionnaire du
réseau social des avantages propres tels que des effets de publicité, des
connaissances sur la perception de son site web, etc. Cette imbrication d’objectifs
du traitement des données milite nettement en faveur d’une certaine
coresponsabilité du gestionnaire du site dans le traitement de données qu’il a
rendu possible. Il aura dès lors, dans ce cadre, une obligation d’informer du
traitement de données réalisé chez le fournisseur du module. S’il ne peut pas avoir
une idée globale de ce traitement, il ne peut pas non plus se contenter d’insérer
sans plus de tels modules dans les pages qu’il offre (voir, à cet égard, décision du
Düsseldorfer Kreis précitée du 8 décembre 2011, p. 2, jointe en annexe 2, et,
également en ce sens, en raison d’une collaboration entre le gestionnaire d’un site
et le fournisseur d’un réseau publicitaire, Groupe de travail « Article 29 » sur la
11
AFFAIREC-40/17-21
protection des données,
Avis 2/2010 sur la publicité comportementale en ligne,
WP 171, 22 juin 2010, p. 13 à 15).
[Or. 14]
Toutefois, la question de l’étendue de l’obligation d’information n’a cependant
d’incidence que lorsque le traitement des données est licite. C’est pourquoi [la
Landesbeauftragte für Datenschutz] estime que cette question peut encore rester
en suspens.
Par ordre,
(sé)
Merger
Annexes :
1.
Berger, D.,
Schützen und teilen, Social-Media-Buttons datenschutzkonform
nutzen, in c’t 2014, p. 148 à 151
2.
Décision du Düsseldorfer Kreis sur la « Datenschutz in sozialen
Netzwerken » (protection des données dans les réseaux sociaux) du 8 décembre
2011
3.
Communiqué de presse du Bundesgerichtshof (Cour fédérale de justice,
Allemagne) n° 74/2017 du 16 mars 2017.
12