Ceci est une version HTML d'une pièce jointe de la demande d'accès à l'information 'Written observations in Case C-18/18 (Glawischnig-Piesczek)'.

 
Traduction  
C-40/17 - 21 
Observations de la LDI NRW 
Affaire C-40/17 * 
Pièce déposée par : 
Landesbeauftragte  für  Datenschutz  und  Informationsfreiheit 
Nordrhein-Westfalen 
Nom usuel de l’affaire : 
FASHION ID 
Date de dépôt : 
16 mai 2017 
 
[La] 
Landesbeauftragte 
für 
Datenschutz 
und 
Informationsfreiheit  Nordrhein-Westfalen  (déléguée  à  la 
protection des données et à la liberté de l’information de la 
Rhénanie-du-Nord-Westphalie) 
[omissis] 
dans l’affaire 
C-40/17 
concernant  la  demande  de  décision  préjudicielle  de  l’Oberlandesgericht 
Düsseldorf  (tribunal  régional  supérieur  de  Düsseldorf,  Allemagne)  du  19  janvier 
2017 [omissis] dans la procédure 
[omissis] 
[à laquelle la juridiction de renvoi l’a associée] 
présente les observations suivantes : [Or. 2] 
I. Observations préliminaires 
La  procédure  au  principal  vise  à    savoir  si  le  gestionnaire  d’un  site  web  est  en 
droit  d’insérer  le  bouton  « j’aime »  d’un  réseau  social  en  « iframe »  (cadre  en 
 
*  Langue de procédure : l’allemand. 
FR   

AFFAIREC-40/17-21 
ligne)  sur  son  site,  de  manière  à  amener  le  navigateur  d’un  visiteur  du  site  à 
transmettre  des  données  à  caractère  personnel  au  fournisseur  de  ce  module,  sans 
que ce visiteur le sache ou qu’il y soit même pour quelque chose. 
La  transmission  à  des  tiers,  sans  que  les  personnes  concernées  le  sachent  ou  le 
veuillent,  des  données  qui  se  rapportent  à  elles,  porte  atteinte  à  leur  droit  à  la 
protection  des  données  à  caractère  personnel  visé  à  l’article  8  de  la  charte  des 
droits  fondamentaux  de  l’Union  européenne.  Si  les  personnes  concernées  n’ont 
pas  donné  leur  consentement,  le  traitement  des  données  n’est  licite  que  si, 
conformément au droit national, l’une des conditions prévues à l’article 7, sous b) 
à  sous  d),  de  la  directive  95/46  est  remplie.  Ces  conditions  sont  toutes 
caractérisées par la nécessité, c’est-à-dire que le traitement des données doit être 
nécessaire pour l’objectif autorisé concerné. Cette nécessité fait défaut lorsque le 
gestionnaire  d’un  site  dispose    de  moyens  servant  tout  aussi  bien  son  intérêt  (en 
l’occurrence, celui d’utiliser le bouton de Facebook) sans porter une atteinte aussi 
grande à la protection des données à caractère personnel. En l’espèce, ces moyens 
sont  disponibles  sous  la  forme  tant  de  la  solution  dite  « en  deux  clics »  que  du 
« bouton Shariff » (voir annexe 1 : Berger, D., Schützen und teilen, Social-Media-
Buttons  datenschutzkonform  nutzen
,  in  c’t,  2014,  p. 148  à  151).  À  la  suite  de  la 
mise en demeure que la partie demanderesse [, la Verbraucherzentrale NRW e.V. 
(association Centrale des consommateurs de Rhénanie du Nord Westphalie),] lui a 
adressée  le  1er  avril  2015,  le  gérant  du  site  en  cause,  partie  défenderesse  dans  la 
procédure  au  principal,  en  fait  déjà  usage,  ayant  lié  le  bouton  « j’aime »  de 
Facebook à l’application de la solution « en deux clics ». Ainsi, dans la procédure 
au principal, il s’agit en fin de compte de l’intérêt que le fournisseur du module a 
à  ce  que  son  bouton  « j’aime »  soit  inséré  en  « iframe »,  à  cette  différence 
essentielle en ce qui la concerne que, de cette façon, il obtient aussi des données 
de personnes qui n’actionnent pas ce bouton « j’aime » et qui établissent donc un 
contact  avec  lui  à  leur  insu.  [La  Landesbeauftragte  für  Datenschutz]  estime  que 
c’est ce qui explique l’intervention de Facebook Ireland Ltd. dans la procédure au 
principal. 
Par  ailleurs,  ayant  considéré  que  l’intérêt  des  personnes  concernées  de  décider 
elles-mêmes de la révélation de leurs données à caractère personnel au fournisseur 
du  module  prévalait,  [la  Landesbeauftragte  für  Datenschutz]  a  jusqu’à  présent 
conseillé  aux  organismes  publics  et  aux  organismes  privés  relevant  de  ses 
attributions  de  ne  pas  insérer  des  modules  sociaux  en  « iframe »  sur  leur  site 
[Or. 3]  et  d’utiliser  au  contraire  des  procédés  respectueux  de  la  protection  des 
données qui tiennent compte de la liberté de choix au sens précité : voir, pour un 
point de vue correspondant  des  autorités allemandes de contrôle de la protection 
des données du Bund et des Länder, la décision du Düsseldorfer Kreis [(groupe de 
travail  au  sein  des  autorités  précitées)]  sur  la  « Datenschutz  in  sozialen 
Netzwerken »  (protection  des  données  dans  les  réseaux  sociaux)  du  8  décembre 
2011  (jointe  en  annexe  2  et  consultable  sur  le  site  www.ldi.nrw.de  de  la 
Landesbeauftragte  für  Datenschutz  sous  « Entschließungen  und  Beschlüsse »). 
Les  organismes  que  [la Landesbeauftragte  für  Datenschutz]  a  contrôlés  ont  suivi 

 

FASHION ID 
ce conseil jusqu’ici, de sorte qu’aucune injonction ni grief n’a dû intervenir en la 
matière. 
En outre, [la Landesbeauftragte für Datenschutz] a surtout été saisie de demandes 
émanant  de  gestionnaires  de  sites  web.  Aucun  cas  ne  s’est  encore  présenté  dans 
son ressort territorial   requérant d’examiner le traitement des données réalisé par 
le fournisseur du module lui-même. Les réclamations introduites auprès d’elle sur 
les  traitements  des  données  réalisés  par  Facebook  ont  été  et  sont  renvoyées  au 
Datenschutzbeauftragter  Hamburg  (délégué  à  la  protection  des  données  de 
Hambourg)  en  raison  de  l’établissement  allemand  [de  Facebook]  à  Hambourg 
(Allemagne), 
C’est  dans  ce  contexte  que  [la  Landesbeauftragte  für  Datenschutz]  présente  les 
observations  qui  suivent  sur    certaines  questions  préjudicielles  et  motifs  de 
l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf). 
II. Sur les faits 
Au  point  4  de  la  motivation,  la  juridiction  de  renvoi  précise  que  le  gestionnaire 
d’un site web qui insère des contenus externes n’est pas à même d’influer sur les 
informations  que  le  navigateur  de  l’utilisateur  transmet  au  fournisseur  externe. 
Cette affirmation n’est  exacte que dans la mesure où les informations transmises 
dépendent  en  partie  de  processus  techniques  et  de  paramètres  du  système  que  le 
gestionnaire  du  site  ne  peut  pas  modifier  (ni  même,  du  reste,  le  fournisseur 
externe). 
Le gestionnaire du site est conscient cependant que, dans la mesure où il  amorce 
la consultation d’un contenu offert par un tiers, cela a tout au moins pour effet de 
transmettre l’adresse  IP  au fournisseur externe. L’interface de programmation du 
bouton « j’aime » prévoit que le gestionnaire du site transmette la page « à aimer » 
comme paramètre. Un URL générique est utilisé pour ce faire (voir, à cet égard, la 
section  III,  p. 7)  afin  d’agréger  les  accès  aux  différentes  formes  d’affichage  du 
même  contenu,  comme  par  exemple  des  pages  optimisées  pour  différents  types 
d’équipements.  Étant  donné  que  les  données  d’identification  de  l’utilisateur 
[Or. 4] sont transmises par la même occasion, il y a moyen, par là, d’enregistrer le 
chemin  qu’il  a  suivi  sur  le  site  web.  Le  gestionnaire  du  site  a  cependant  la 
possibilité  d’étendre  davantage  l’application  de  l’URL  générique  et  de 
transmettre,  par  exemple,  principalement  l’URL  de  la  page  d’accueil.  Les 
« j’aime »  ne  sont  alors  plus  comptés  par  page  du  site  mais  uniquement  pour  le 
site  web  dans  son  ensemble,  ce  qui  rend  le  profilage  plus  difficile  puisque  seuls 
sont  alors  encore  disponibles  des  paramètres  techniques,  tel  le  référent,  qui  sont 
intrinsèquement plus imprécis. 
Pour  ce  qui  est  du  point  5  de  la  motivation  de  la  décision  de  renvoi,  il  y  a  lieu 
d’observer que le navigateur de l’utilisateur du site web ne transmet des cookies 
que  si,  au  préalable,  les  cookies  correspondants  ont  été  mis  en  place  chez 
l’utilisateur  et  sauvegardés  sur  son  navigateur.  Si,  comme  le  recommande    la 


AFFAIREC-40/17-21 
protection  des  données,  l’utilisateur  refuse  l’installation  des  cookies  dans  son 
navigateur  ou  veille  du  moins  à  leur  effacement,  par  exemple,  après  chaque 
session, il n’y a d’emblée aucune transmission de cookies à Facebook lors de la 
consultation d’un site web contenant le bouton  « j’aime ».  Ils doivent d’abord, à 
nouveau, être mis en place. 
Pour  ce  qui  est  du  point  10  de  la  motivation  de  la  décision  de  renvoi,  [la 
Landesbeauftragte  für  Datenschutz]  signale  dans  ce  contexte  que  des  données  à 
caractère personnel sont transmises au fournisseur du module, et ce au moins sous 
la forme des adresses IP, peu importe que des cookies soient ou non transmis dans 
le cas concret : 
Il est possible, certes, que la question de savoir si des adresses IP « dynamiques » 
constituent, à l’égard du gestionnaire  d’un site, des données à caractère personnel 
au sens de la directive 95/46 dépende d’autres conditions (voir arrêt du 19 octobre 
2016,  Breyer,  C-582/14,  EU:C:2016:779).  Par  sa  décision  du  16  mai  2017  dans 
l’affaire  VI  ZR  135/13,  non  encore  disponible  dans  sa  version  intégrale  au 
moment  de  la  rédaction  des  présentes  observations,  le  Bundesgerichtshof  (Cour 
fédérale  de  justice,  Allemagne)  a  confirmé,  selon  son  communiqué  de  presse 
(annexe  3),  que  ces  conditions  étaient  remplies  et  que,  à  l’égard  du  gestionnaire 
d’un  site,  les  adresses  IP  dynamiques  constituaient  également  des  données  à 
caractère personnel au sens de la directive 95/46. 
De plus, eu égard au nombre élevé de pages consultées, il y a également parmi les 
adresses  IP  utilisées  concernées  une  proportion  importante  d’adresses  IP 
« statiques » qui, en tout cas lorsqu’il s’agit d’une utilisation unique, représentent 
des données à caractère personnel en ce qu’elles sont attribuées de manière fixe à 
un  utilisateur  déterminé  à  travers  l’appareil  qu’il  utilise  [Or. 5]  [voir 
Landesgericht  Frankfurt  (tribunal  régional de Francfort,  Allemagne), décision  du 
10 juin 2016, affaire n° 2-03 O 364/15]. 
La  question  du  caractère  personnel  des  données  transmises  appelle  donc  une 
réponse affirmative. 
II. Sur la première question préjudicielle 
Pour  [la  Landesbeauftragte  für  Datenschutz],  il  n’y  a  aucune  objection  à  la 
possibilité d’un recours collectif en droit national, en marge des mesures d’ordre 
individuel prévues aux articles 22 et suivants de la directive 95/46. 
III. Sur les deuxième et troisième questions préjudicielles 
Pour la phase de traitement des données dans laquelle le navigateur de l’utilisateur 
est amené à transmettre des données à caractère personnel (telles des adresses IP 
statiques ou dynamiques, ainsi que les URL consultés) au serveur du fournisseur 
du module, le gestionnaire  du site web en cause est le responsable du traitement 

 

FASHION ID 
au  sens  de  l’article  2,  sous  d),  de  la  directive  95/46,  parce  c’est  lui  seul  qui, 
sciemment  et  volontairement,  cause  cette  transmission.  Dans  cette  mesure,  il 
influence  aussi  à  lui  seul  cette  phase  du  traitement  des  données.  À  cet  égard,  ce 
qui  importe  n’est  pas  le  fait  que  ce  gestionnaire    ait  ou  non  traité  lui-même  les 
données mais le fait qu’il a pris la décision relative à ce traitement. C’est ce qu’il 
fait  en  se  procurant  le  code  programme  du  module  de  Facebook  et  en  l’insérant 
sur  son  site  de  sorte  qu’à  la  consultation  de  celui-ci,  des  données  déterminées 
telles  que  les  adresses  IP  et  les  URL  consultés  par  l’utilisateur  soient 
automatiquement transmises au fournisseur du module. 
Le fait qu’il existe des moyens de se défendre contre ces transmissions de données 
en  installant  et  configurant  des  modules  de  navigateur  spéciaux  n’enlève  rien  à 
cette  conclusion.  La  question  qui  se  pose  tout  d’abord  est  celle  de  savoir  qui 
répond  d’une  opération  qui  a  effectivement  lieu  et  cette  question  ne  se  pose 
généralement pas après celle de savoir si une tierce personne aurait eu les moyens 
d’en  empêcher  le  déroulement,  à  moins  que  cette  personne  y  soit  tenue 
juridiquement ou qu’une pareille obligation de garantie lui incombe. En outre, la 
plupart des utilisateurs ne sont pas au courant de ces  moyens de défense et seuls 
des internautes qui s’y connaissent sont en mesure de les installer.   Le fait qu’il 
existe des moyens [Or. 6] de se prémunir contre un traitement des données n’entre 
donc pas en considération pour savoir qui est le responsable du traitement. 
Sur  la  question  de  la  responsabilité  prévue  par  la  directive  95/46,  [la 
Landesbeauftragte  für  Datenschutz]  reprend  ci-après  les  observations  qu’elle  a 
formulées dans la procédure d’appel, même si elles se réfèrent également en partie 
aux dispositions nationales de transposition : 
[début de la citation] 
« Pour la détermination de l’“organisme responsable” et notamment de la question 
de  savoir  s’il  s’agit  d’un  traitement  des  données  en  sous-traitance,  il  y  a  lieu 
d’appliquer les normes qui figurent dans le Bundesdatenschutzgesetz (loi fédérale 
sur  la  protection  des  données ;  ci-après  le  “BDSG”).  La  responsabilité  du 
gestionnaire d’un site web au titre de la protection des données obéit à l’article 3, 
paragraphe 7, du BDSG, qui doit être interprété au sens de l’article 2, sous d), de 
la directive 95/46. Dans la détermination de l’“organisme responsable”, il y a lieu 
de  tenir  compte  du  principe  selon  lequel  il  ne  peut  y  avoir  aucune  phase  de 
traitement  des  données  dont  personne  ne  répondrait  (Dammann,  in  Simitis, 
BDSG, 8e édition, article 3, point 224). 
La  phase  du  traitement  des  données  à  prendre  en  considération  est  celle  de  la 
transmission des données, du navigateur du visiteur du site web à Facebook, avant 
que ce visiteur ait actionné le bouton “j’aime”. Le visiteur ne répond pas de cette 
transmission puisque, sans intervention de sa part et à son insu, son navigateur est 
induit à communiquer les données à Facebook. Il n’a pris aucune part à la décision 
concernant les finalités et les moyens du traitement au sens de l’article 2, sous d), 


AFFAIREC-40/17-21 
de  la  directive  95/46.  Les  moyens  techniques  éventuels  de  faire  échec  à  cette 
transmission n’enlèvent rien à ce constat. 
Dans les circonstances du cas d’espèce, Facebook n’est pas davantage susceptible 
d’être  un  “organisme  responsable”  de  cette  phase  de  traitement.  Par  le  seul  fait 
qu’il  met  généralement  le  code  programme  du  module  à  la  disposition  des 
gestionnaires  de  sites  web,  Facebook  n’interfère  en rien sur la décision d’insérer 
son application sur la page d’accueil. À la connaissance de [la Landesbeauftragte 
für Datenschutz], le gestionnaire du site web en cause n’a, à l’égard de Facebook, 
aucune  obligation  contractuelle  d’insérer  le  module.  Il  n’est  a  fortiori  pas 
pensable,  d’après  les  faits,  que  ce  gestionnaire    réalise  un  traitement  en  sous-
traitance  pour  Facebook.  Facebook  n’accomplit  pas  lui-même  la  collecte  des 
données  puisqu’il  ne  se  procure  pas  les  données  de  l’utilisateur  en  cause  de 
[Or. 7]  façon  ciblée.  C’est  au  contraire  “sans  sollicitation”  de  sa  part  que 
Facebook obtient en l’espèce du gestionnaire  les données en cause. 
Seul  ce  gestionnaire est  donc susceptible d’être  un  “organisme responsable”.  La 
phase de traitement des  données dont  il a à répondre est  celle de la transmission 
des  données,  du  navigateur  de  l’utilisateur  à  Facebook,  qu’il  a  induite  par  la 
programmation  de  son  site.  Il  a  ainsi  délibérément  induit  la  transmission  des 
données  et  décidé  si  elle  a  (encore)  lieu  ou  si  elle  doit  cesser.  [La 
Landesbeauftragte für Datenschutz] estime que, dans une interprétation de l’article 
3, paragraphe 4, sous 3), du BDSG conforme à la directive (article 2, sous d), cela 
constitue une transmission de données par le gestionnaire du site web en cause à 
Facebook : 
Du fait de l’insertion du module en « Iframe », à la consultation du site il est porté 
à la connaissance de  Facebook, et  de ce fait  d’un tiers, qu’une personne titulaire 
d’une adresse  IP déterminée  a consulté le site  web du gestionnaire en cause.  La 
seule  question  qui  pourrait  se  poser  est  de  savoir  si  une  “communication” 
intervient  ici  car  dans  son  acception  courante  une  communication  pourrait 
supposer  une  possession  antérieure  [de  l’information]  par  l’“organisme 
responsable”.  La  transmission  ne  présuppose  cependant  en  tout  cas  aucune 
possession  préalable propre de la personne physique quant  aux données.  Il  suffit 
au  contraire  que  les  données  soient  portées    « du  domaine  de  l’organisme 
responsable »,  à  la  connaissance  d’un  tiers  (Dammann,  in  Simitis,  BDSG,  8e 
édition, article 3, point 156). Il n’y a pas lieu de comprendre ce domaine dans un 
sens  spatial.  Il  s’agit  plus  exactement  de  la  sphère  d’influence  effective.  En 
programmant  les  transferts  de  données  qui  se  produisent  subrepticement  du 
navigateur  de  l’utilisateur  vers  un  fournisseur  externe,  le  gestionnaire  du  site  en 
cause  utilise  effectivement  le  navigateur  de  l’utilisateur  à  des  fins  propres  et 
permet  délibérément  que  des  processus  de  traitement  de  données  se  produisent 
afin  que  les  données  de  l’utilisateur  parviennent  à  Facebook.  Ce  gestionnaire 
utilise  les  processus  automatisés  du  navigateur  de  l’utilisateur  comme  un  outil 
pour  porter  les  données  à  la  connaissance  de  Facebook.  Le  fait  qu’elles  soient 
techniquement  portées  à  la  connaissance  de  Facebook  sans  étape  intermédiaire 
dans le serveur du gestionnaire du site est donc finalement sans importance. 

 

FASHION ID 
Les données parviennent ainsi, de la sphère d’influence de l’exploitant du site en 
cause, à celle de Facebook. 
Le gestionnaire du site en cause détermine  également à ce titre l’étendue précise 
des données transmises : il transmet ainsi à Facebook non seulement les données 
que  l’on  trouve  habituellement  dans  une  communication  entre  [Or. 8]  un 
navigateur  et  un  serveur  Internet  mais  porte  aussi  à  sa  connaissance  un 
renseignement supplémentaire sur la consultation du site web du gestionnaire sous 
la forme des URL génériques, c’est-à-dire les URL sans l’indication de paramètres 
tels  les  chaînes  de  recherche  ou  les  différentes  options  d’affichage  pour  les 
appareils  portables  et  les  ordinateurs  de  bureau.  De  ce  fait,  en  cas  d’activation 
ultérieure  éventuelle  du  bouton  “j’aime”  par  le  visiteur,  la  transmission  des 
données  est  axée  sur  l’objectif  poursuivi  par  le  gestionnaire  du  site  de 
comptabiliser les  “j’aime” obtenus par le site en cause. 
Il  y a, de ce fait, un traitement de données dont l’exploitant du site en cause doit 
répondre, qui se fait sous la forme d’une transmission de données à Facebook. 
Même à considérer que la présente opération de traitement des données ne répond 
pas à la notion de “transmission de données” visée à l’article 3, paragraphe 4, sous 
3), du BDSG, cela ne change rien, en fin de compte, à l’appréciation juridique. En 
effet, de même qu’il ne peut exister aucune phase de traitement des données dont 
personne ne répond (voir plus haut), il ne peut pas davantage y avoir d’utilisation 
de  données  qui  ne  relève  pas  des    exigences  légales.  C’est  pourquoi  l’article  2, 
sous  d),  de  la  directive  95/46  prévoit  que  constitue  un  “traitement  de  données  à 
caractère  personnel”  toute  opération  “appliqué[e]  à  des  données  à  caractère 
personnel”.  Les  sortes  de  traitement  spécifiées  n’ont  été  énumérées  ensuite  qu’à 
titre  d’exemple  (“telles  que”)  et  elles  n’ont  donc  pas  été  énumérées  de  façon 
exhaustive.  En  dépit  de  différences  dans  les  notions,  le  BDSG  va  dans  le  même 
sens  en  définissant  dans  son  article  3,  paragraphe  5,  le  mot  “utiliser”  comme 
“toute  utilisation  de  données  à  caractère  personnel  pour  autant  qu’il  ne  s’agisse 
pas d’un traitement”. Ainsi, même si la caractéristique de la “transmission” n’est 
pas  retenue,  il  y  a  en  tout  cas  un  traitement  de  données  au  sens  de  la  directive 
95/46  (“une  utilisation”  au  sens  du  BDSG)  dont  la  légitimité  requiert  soit  un 
fondement légal soit un consentement de la personne concernée. » 
[fin de la citation] 
La juridiction de renvoi  a visiblement  une approche critique de  la question de la 
responsabilité du gestionnaire du site. Dans les motifs de la demande de décision 
préjudicielle consacrés à la question de la responsabilité (voir points 13 et 14), elle 
établit des comparaisons avec la demande de décision préjudicielle dans l’affaire 
C-210/16 sans prendre dûment en considération les différences que présentent les 
circonstances  qui  ont  entouré  les  deux  affaires.  Dans  la  demande  de  décision 
préjudicielle [Or. 9] du  Bundesverwaltungsgericht  (Cour administrative fédérale, 
Allemagne)  faisant  l’objet  de  l’affaire  C-210/16,  il  s’agit  de  l’injonction  d’une 
autorité allemande de contrôle imposant au gestionnaire d’un site de désactiver sa 


AFFAIREC-40/17-21 
page « fan » hébergée sur Facebook. Une différence déterminante par rapport à la 
présente affaire est que, dans le cadre de l’utilisation d’une page fan, l’utilisateur 
consulte  sciemment  dès  le  départ  une  page  Facebook  et  sait,  de  ce  fait,  que 
Facebook  traite  toutes  les  données  liées  à  l’utilisation.  En  revanche,  dans  le  cas 
d’un module inséré sur un autre site web, l’utilisateur croit avant tout qu’il s’est 
uniquement connecté au gestionnaire de ce site. L’insertion du bouton  « j’aime » 
sert, selon lui, à « partager » le site web avec d’autres au cas où ce site lui plaît. La 
plupart des utilisateurs ignorent que, par la seule consultation du site, c’est-à-dire 
sans  qu’ils  aient  activé  le  bouton  ni  qu’ils  se  soient  même  parfois  aperçu  de  sa 
présence,  des  données  (notamment  leur  adresse  IP  statique  ou  dynamique  et  les 
informations sur la consultation du site) sont transmises au fournisseur du module. 
Alors  que  l’utilisateur  amorce  lui-même  la  connexion  entre  son  navigateur  et  le 
serveur de  Facebook quand il ouvre  une page  Facebook,  dans la présente affaire 
c’est uniquement au site du gestionnaire en cause que l’utilisateur se connecte tout 
d’abord  Si  des  données  de  l’utilisateur  du  site  parviennent,  au  serveur  de 
Facebook, c’est dû au seul fait du gestionnaire du site. 
Au  point  14,  la  juridiction  de  renvoi  observe  à  tort  que  qualifier  le  gestionnaire 
d’un  site  web  de  « responsable  du  traitement »  rend  l’insertion  de  contenus 
élaborés par des tiers pratiquement impossible parce que ce gestionnaire  ne serait 
pas  en  mesure  contrôler  le  traitement  des  données  qui  s’opère  chez  le  tiers.  En 
effet, le gestionnaire d’un site est en premier lieu responsable de ce dont il décide 
lui-même, à savoir l’insertion du contenu d’un tiers (par exemple pour mettre un 
contenu  supplémentaire  à  la  disposition  de  ses  utilisateurs,  tels  un  bulletin 
météorologique  actualisé  ou  une  vidéo  de  « Youtube »).  Il  peut  y  avoir  à  cet 
égard, selon le cas, un intérêt légitime au sens de l’article 7, sous f), de la directive 
95/46  qui  l’emporte  sur  des  considérations  tirées  de  la  protection  des  données.  
Dans  le  cadre  de  la  mise  en  balance  de  ces  intérêts,  devront  toutefois  aussi  être 
prises  en  considération  des  questions  comme  celles  de  savoir  quels  sont  les 
traitements  de  données  que  le  fournisseur  externe  compte  effectuer  d’après 
sa propre politique d’utilisation des données, de savoir si le traitement de données 
relève du champ d’application de la directive 95/46 ou s’opère dans un pays tiers 
dont le niveau de la protection des données est [Or. 10] comparable, ou de savoir 
s’il  y  a  déjà  des  réclamations  visant  des  traitements  de  données  illicites  du 
fournisseur externe, et cetera. 
En conclusion, il y a lieu de retenir ce qui suit en ce qui concerne la deuxième 
question préjudicielle : 

La transmission de données au serveur du fournisseur du module est la condition 
préalable  du  traitement  des  données  qui  intervient  ultérieurement  chez  ce 
fournisseur.  Elle  constitue  une  phase  du  traitement  des  données  à  apprécier  de 
manière  autonome,  en  ce  que,  à  travers  elle,  les  données  de  l’utilisateur 
aboutissent dans la sphère du fournisseur du module, en lui permettant de ce fait 
de  réaliser  d’autres  traitements  de  données.  Du  fait  du  gestionnaire  du  site,  les 
données  de  l’utilisateur  sont  ainsi  exposées  à  de  nouveaux  risques.  De  surcroît, 

 

FASHION ID 
c’est le seul gestionnaire qui décide si cette transmission a lieu. Le fournisseur du 
module  Facebook  n’en  a  aucune  connaissance,  car  il  n’enregistre  pas  le 
téléchargement  ou  l’utilisation  du  code  programme  (voir  point  VI).  Si  le 
gestionnaire  du  site  en  cause  induit  la  transmission  qui  ouvre  au  fournisseur  du 
module  la  possibilité  d’utiliser  les  données,  c’est  dans  son  propre  intérêt  étant 
donné qu’il entend tirer profit de la fonction du bouton « j’aime » pour sa propre 
publicité.  De  ce  fait,  il  est  le  responsable  du  traitement  de  cette  phase  du 
traitement au sens de l’article 2, sous d), de la directive 95/46. 
Il n’y a dès lors pas lieu de répondre à la troisième question préjudicielle. 
V. Sur la quatrième question préjudicielle 
Conformément à l’article 7, sous f), de la directive 95/46, l’intérêt du responsable 
et l’intérêt de celui à qui les données sont transmises peuvent tout autant être pris 
en considération. La position exposée dans les présentes observations étant que le 
gestionnaire du site est l’organisme responsable de l’insertion du contenu du tiers 
et donc le responsable de la transmission des données au fournisseur du module, 
c’est son intérêt qu’il faut prendre tout d’abord en considération. Eu égard au fait 
qu’il  existe  aussi  des  moyens  permettant  d’éviter  la  transmission  de  données 
contestée (voir, plus  haut,  point I), la transmission de données à  Facebook n’est 
pas nécessaire au sens de la disposition précitée. 
Par ailleurs, l’intérêt que le fournisseur du module a, en tant que destinataire des 
données,  à  suivre  la  navigation  des  personnes  qui  [Or. 11]  n’ont  pas  actionné  le 
module  de  Facebook  n’apparaît  pas  comme  un  intérêt  légitime  pouvant  justifier 
l’utilisation des données. Le traitement des données ne peut dès lors être légitimé 
que par le consentement. 
VI. Sur la cinquième question préjudicielle  
Pour les raisons qui suivent, c’est au responsable que le consentement devrait en 
principe être donné : 
–  le responsable doit savoir si le traitement de données dont il répond fait l’objet 
d’un  consentement  et  connaître  son  étendue    afin  de  pouvoir  rester  dans  la 
légalité ; 
–  la  personne  concernée  doit  savoir  à  l’égard  de  qui  elle  peut  le  cas  échéant 
révoquer son consentement, révocation dont le responsable doit tenir compte ; 
–  celui  qui  consent  doit  être  informé  utilement  par  le  responsable,  ce  d’autant 
que,  selon  l’article  10  de  la  directive  95/46,  l’obligation  de  fournir  les 
informations incombe au responsable du traitement ou à son représentant ; 



AFFAIREC-40/17-21 
–  le consentement doit être spécifique ; à cet effet, la personne du responsable qui 
entend se prévaloir du consentement doit être connue de celui qui consent ; 
–  lors  d’une  vérification  de  l’autorité  de  contrôle,  le  responsable  doit  être  en 
mesure  de  lui  donner  les  renseignements  sur  l’existence  d’un  consentement 
(article 28, paragraphe 3, de la directive 95/46). 
Ces  conditions  ne  sont  pas  susceptibles  d’être  mises  en  œuvre    dans  le  cas 
d’espèce soumis à la Cour : 
Les utilisateurs des pages offertes par le gestionnaire du site web n’ont pas tous eu 
un  contact  préalable  avec  le  gestionnaire  du  réseau  social  (le  fournisseur  du 
module)  ni  tous  consenti  aux  utilisations  des  données  que  ce  réseau  indique.  La 
transmission  des  données  (y  compris  la  possibilité  pour  Facebook  d’installer  un 
cookie ou de le lire) du navigateur à Facebook a toutefois lieu, que les personnes 
concernées soient  ou non  également  des utilisateurs de  Facebook  ayant  donné le 
cas échéant leur consentement. 
Au moment où le bouton « j’aime » est inséré, il n’existe aucun rapport juridique 
ni  même  de  rapport  de  pur  fait  entre  le  gestionnaire  du  site  [Or. 12]  et  le 
fournisseur du module. En effet, Facebook met le module à la disposition de tout 
gestionnaire de site web sans que celui-ci doive se faire enregistrer s’il l’emploie, 
ainsi que le montre la capture d’écran qui suit : 
 
(https://developers.facebook.com/docs/plugins/faqs ; [omissis] *) 
Par  conséquent,  dans  le  cadre  de  l’obtention  du  consentement,  le  fournisseur  du 
module  ne  sait  pas  quels  gestionnaires  vont  insérer  son  module.  Il  ne  peut  donc 
 
* Ndt : la date de la capture d’écran de la traduction est le 13 juillet 2017, la mention omise est la date 
(15 mai 2017) de la capture d’écran qui figure, en EN, dans l’original. 
10 
 

FASHION ID 
pas  donner  des  informations  sur  la  personne  du  responsable.  Les  consentements 
qu’il  recueillerait  éventuellement  ne  peuvent  de  ce  fait  pas  être  suffisamment 
spécifiques. 
Inversement,  dans  le  cas  d’espèce,  le  responsable  ne  peut  pas  davantage  savoir 
quels  utilisateurs  de  son  site  ont  émis  auprès  du  fournisseur  du  module  un 
consentement juridiquement valable et ce à quoi ils ont consenti. De même, il n’y 
a aucune garantie que le responsable soit informé d’une révocation éventuelle de 
ce consentement. [Or. 13] 
Dans  le  présent  cas  d’espèce,  le  consentement  devait  donc  être  recueilli  par  le 
gestionnaire du site lui-même. 
Du reste, la juridiction de renvoi observe très justement que la partie défenderesse, 
le  gestionnaire  du  site  web,  n’a  pas  allégué  que  les  visiteurs  de  son  site  avaient 
consenti à l’égard de Facebook à la transmission de leurs données à Facebook. Il 
en va de même pour les utilisateurs qui ont un compte Facebook. Une information 
sur des modules effectuée le cas échéant à l’intention de ces derniers ne suffit pas 
à  cet  égard,  voir  décision  du  Landgericht  Düsseldorf  (tribunal  régional  de 
Düsseldorf, Allemagne), du 9 mars 2016, 12 O 151/15, point B.I.4, p. 17. 
VII. Sur la sixième question préjudicielle 
Il  pourrait  aller  de  soi  que  le  gestionnaire  d’un  site  web  doive  informer  les 
utilisateurs  de  son  site  des  types  de  contenus  de  tiers  qu’il  y  insère  et  des 
transmissions de données qui sont réalisées à travers ceux-ci. 
La  question  préjudicielle  se  rapporte  toutefois  probablement  (aussi)  à  l’étendue 
des informations que le gestionnaire du site doit donner. Il est difficile d’apprécier 
dans  quelle  mesure  celui-ci  doit  fournir  des  informations  sur  le  traitement  plus 
poussé  de  données  qui  s’opère  chez  le  fournisseur  du  module,  sur  l’ampleur 
duquel  il  ne  peut  exercer  aucune  influence  et  qui  ne  lui  est  pas  nécessairement 
connue.  Lorsque  le  module  dont  il  s’agit  est  le  bouton  « j’aime »  d’un  réseau 
social, comme en l’espèce, les choses se présentent de manière particulière en ce 
que le gestionnaire du site attend du traitement des données par le gestionnaire du 
réseau  social  des  avantages  propres  tels  que  des  effets  de  publicité,  des 
connaissances sur la perception de son site web, etc. Cette imbrication d’objectifs 
du  traitement  des  données  milite  nettement  en  faveur  d’une  certaine 
coresponsabilité  du  gestionnaire  du  site  dans  le  traitement  de  données  qu’il  a 
rendu  possible.  Il  aura  dès  lors,  dans  ce  cadre,  une  obligation  d’informer  du 
traitement de données réalisé chez le fournisseur du module. S’il ne peut pas avoir 
une  idée  globale  de  ce  traitement,  il  ne  peut  pas  non  plus  se  contenter  d’insérer 
sans plus de tels modules dans les pages qu’il offre (voir, à cet égard, décision du 
Düsseldorfer  Kreis  précitée  du  8  décembre  2011,  p. 2,  jointe  en  annexe  2,  et, 
également en ce sens, en raison d’une collaboration entre le gestionnaire d’un site 
et  le  fournisseur  d’un  réseau  publicitaire,  Groupe  de  travail  « Article  29 »  sur  la 
11 

AFFAIREC-40/17-21 
protection  des  données,  Avis  2/2010  sur  la  publicité  comportementale  en  ligne
WP 171, 22 juin 2010, p. 13 à 15). [Or. 14] 
Toutefois,  la  question  de  l’étendue  de  l’obligation  d’information  n’a  cependant 
d’incidence  que  lorsque  le  traitement  des  données  est  licite.  C’est  pourquoi  [la 
Landesbeauftragte  für  Datenschutz]  estime  que  cette  question  peut  encore  rester 
en suspens. 
Par ordre, 
(sé) 
Merger 
Annexes : 
1. 
Berger,  D.,  Schützen  und  teilen,  Social-Media-Buttons  datenschutzkonform 
nutzen, in c’t 2014, p. 148 à 151 
2. 
Décision  du  Düsseldorfer  Kreis  sur  la  « Datenschutz  in  sozialen 
Netzwerken »  (protection  des  données  dans  les  réseaux  sociaux)  du  8  décembre 
2011  
3. 
Communiqué  de  presse  du  Bundesgerichtshof  (Cour  fédérale  de  justice, 
Allemagne) n° 74/2017 du 16 mars 2017. 
12