Le règlement sur la protection des données, on le sait, à augmenter la responsabilité des différents acteurs professionnels qui utilisent des données personnelles. Au cœur du dispositif, le responsable du traitement. Encore que l’arrêt de la Cour de justice du 5 juin 2018 ne soit pas intervenu en application de ce règlement mais de la directive 95/46 relative à la protection des personnes physiques, cette décision peut néanmoins nous apporter un éclairage sur la situation nouvelle après le 25 mai 2018.
L’importance de cet arrêt doit également être soulignée car rendu par la grande chambre de la Cour de justice de l’Union européenne
Cet arrêt intervient sur une question préjudicielle posée par l’autorité allemande de la protection des données du Land du Schleswig-Holstein dans un litige relatif aux données personnelles présentes sur la page Facebook d’un service de formation destinée aux particuliers aux entreprises. L’autorité allemande avait ordonné à l’organisme de formation de désactiver la page fan de son profil Facebook au motif que ni ce centre de formation ni Facebook n’informaient les visiteurs de la page fan que ce dernier collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.
Ce centre de formation introduit une réclamation contre cette décision devant cette autorité allemande de protection des données qui la rejette en considérant que ce centre de formation est responsable en tant que fournisseur de services au regard des dispositions de la loi allemande elle-même prise en application de la directive.
Le 9 octobre 2013, le tribunal administratif allemand annule la décision attaquée en considérant que l’administrateur d’une page fan sur Facebook n’est pas un organisme responsable au sens des dispositions légales.
En appel, le tribunal administratif supérieur allemand rejette le recours introduit par l’autorité allemande de la protection des données en retenant que le dispositif allemand prévoit un processus progressif, dont la première étape permet uniquement d’adopter des mesures visant à remédier aux infractions constatées lors du traitement de données. La mesure d’interdiction n’est envisageable que si une procédure de traitement de données est illicite dans sa globalité et que seule la suspension de cette procédure permet d’y remédier ce qui n’est pas le cas puisque Facebook aurait eu la possibilité de faire cesser les infractions alléguées.
La cour administrative supérieure saisie d’un pourvoi demande à la Cour de justice de déterminer le responsable de traitement selon différentes hypothèses.
3 enseignements de cet arrêt sont à souligner.
A) L’administrateur d’une page fan hébergé sur un réseau social est aussi responsable du traitement même s’il ne reçoit de Facebook des informations anonymisées
31 Cela étant, et afin de répondre aux questions posées, il y a lieu d’examiner si et dans quelle mesure l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, contribue, dans le cadre de cette page fan, à déterminer, conjointement avec Facebook Ireland et Facebook Inc., les finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut donc, lui aussi, être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46.
32 À cet égard, il apparaît que toute personne souhaitant créer une page fan sur Facebook conclut avec Facebook Ireland un contrat spécifique relatif à l’ouverture d’une telle page et souscrit, à ce titre, aux conditions d’utilisation de cette page, y compris à la politique en matière de cookies qui y est relative, ce qu’il appartient à la juridiction nationale de vérifier.
33 Ainsi qu’il ressort du dossier soumis à la Cour, les traitements de données en cause au principal sont essentiellement effectués moyennant le placement, par Facebook, sur l’ordinateur ou sur tout autre appareil des personnes ayant visité la page fan, de cookies visant à stocker des informations sur les navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés. Il en ressort également que, en pratique, Facebook reçoit, enregistre et traite les informations stockées dans les cookies notamment lorsqu’une personne visite « les services Facebook, les services proposés par d’autres compagnies Facebook et des services proposés par d’autres entreprises qui utilisent les services Facebook ». En outre, d’autres entités, telles que les partenaires de Facebook ou même des tiers, « sont susceptibles d’utiliser des cookies sur les services Facebook pour [proposer des services directement à ce réseau social] ainsi qu’aux entreprises qui font de la publicité sur Facebook ».
34 Ces traitements de données à caractère personnel visent notamment à permettre, d’une part, à Facebook d’améliorer son système de publicité qu’il diffuse à travers son réseau et, d’autre part, à l’administrateur de la page fan d’obtenir des statistiques établies par Facebook à partir des visites de cette page, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage.
35 Or, si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook.
36 Dans ce cadre, il ressort des indications soumises à la Cour que la création d’une page fan sur Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page fan. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook. Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page.
37 En particulier, l’administrateur de la page fan peut demander à obtenir – et donc que soient traitées – des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres d’intérêt de son audience cible ainsi que des informations concernant les achats et le comportement d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le plus, de même que des données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations.
38 S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées.
39 Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.
40 En effet, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel.
41 Au demeurant, il importe de souligner que les pages fan hébergées sur Facebook peuvent être visitées également par des personnes qui ne sont pas utilisateurs de Facebook et qui ne disposent donc pas d’un compte utilisateur sur ce réseau social. Dans ce cas, la responsabilité de l’administrateur de la page fan à l’égard du traitement des données à caractère personnel de ces personnes apparaît encore plus importante, car la simple consultation de la page fan par des visiteurs déclenche automatiquement le traitement de leurs données à caractère personnel.
42 Dans ces conditions, la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46.
43 Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.
44 Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième questions que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social
B) Le responsable du traitement établi sur le territoire de plusieurs états membres doit assurer le respect pour chacun de ses établissements des obligations prévues par le droit national applicable
51 La question de savoir quel droit national s’applique au traitement des données à caractère personnel est régie par l’article 4 de la directive 95/46. Aux termes du paragraphe 1, sous a), de cet article, chaque État membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre. Cette disposition précise que, si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable.
52 Il découle ainsi d’une lecture combinée de cette disposition et de l’article 28, paragraphes 1 et 3, de la directive 95/46 que, lorsque le droit national de l’État membre dont relève l’autorité de contrôle est applicable en vertu de l’article 4, paragraphe 1, sous a), de celle-ci, en raison du fait que le traitement en cause est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre, cette autorité de contrôle peut exercer l’ensemble des pouvoirs qui lui sont conférés par ce droit à l’égard de cet établissement, et ce indépendamment du point de savoir si le responsable du traitement dispose d’établissements également dans d’autres États membres.
53 Ainsi, afin de déterminer si une autorité de contrôle est fondée, dans des circonstances telles que celles au principal, à exercer à l’égard d’un établissement situé sur le territoire de l’État membre dont elle relève les pouvoirs qui lui sont conférés par le droit national, il y a lieu de vérifier si les deux conditions posées par l’article 4, paragraphe 1, sous a), de la directive 96/46 sont réunies, à savoir, d’une part, s’il s’agit d’un « établissement du responsable du traitement », au sens de cette disposition, et, d’autre part, si ledit traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la même disposition.
54 S’agissant, en premier lieu, de la condition selon laquelle le responsable du traitement de données à caractère personnel doit disposer d’un établissement sur le territoire de l’État membre dont relève l’autorité de contrôle concernée, il importe de rappeler que, selon le considérant 19 de la directive 95/46, l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable et que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante (arrêt du 1er octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 28 et jurisprudence citée).
55 En l’occurrence, il est constant que Facebook Inc., en tant que responsable du traitement de données à caractère personnel, conjointement avec Facebook Ireland, dispose d’un établissement stable en Allemagne, à savoir Facebook Germany, situé à Hambourg, et que cette dernière société exerce réellement et effectivement des activités dans ledit État membre. De ce fait, elle constitue un établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.
56 S’agissant, en second lieu, de la condition selon laquelle le traitement de données à caractère personnel doit être effectué « dans le cadre des activités » de l’établissement concerné, il y a lieu de rappeler, tout d’abord, que, au vu de l’objectif poursuivi par la directive 95/46, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, l’expression « dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation restrictive (arrêt du 1er octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 25 et jurisprudence citée).
57 Ensuite, il importe de souligner que l’article 4, paragraphe 1, sous a), de la directive 95/46 exige non pas qu’un tel traitement soit effectué « par » l’établissement concerné lui‑même, mais uniquement qu’il le soit « dans le cadre des activités » de celui‑ci (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 52).
58 En l’occurrence, il ressort de la décision de renvoi ainsi que des observations écrites déposées par Facebook Ireland que Facebook Germany est chargée de la promotion et de la vente d’espaces publicitaires et se livre à des activités destinées aux personnes résidant en Allemagne.
59 Ainsi qu’il a été rappelé aux points 33 et 34 du présent arrêt, le traitement de données à caractère personnel en cause au principal, effectué par Facebook Inc. conjointement avec Facebook Ireland et qui consiste en la collecte de telles données par l’intermédiaire de cookies installés sur les ordinateurs ou sur tout autre appareil des visiteurs des pages fan hébergées sur Facebook, a notamment pour objectif de permettre à ce réseau social d’améliorer son système de publicité afin de mieux cibler les communications qu’il diffuse.
60 Or, comme l’a relevé M. l’avocat général au point 94 de ses conclusions, étant donné, d’une part, qu’un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent et, d’autre part, que l’établissement de Facebook situé en Allemagne est destiné à assurer, dans cet État membre, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par Facebook, les activités de cet établissement doivent être considérées comme étant indissociablement liées au traitement de données à caractère personnel en cause au principal, dont Facebook Inc. est le responsable conjointement avec Facebook Ireland. Partant, un tel traitement doit être regardé comme étant effectué dans le cadre des activités d’un établissement du responsable du traitement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46 (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, points 55 et 56).
61 Il s’ensuit que, le droit allemand étant, en vertu de l’article 4, paragraphe 1, sous a), de la directive 95/46, applicable au traitement des données à caractère personnel en cause au principal, l’autorité de contrôle allemande était compétente, conformément à l’article 28, paragraphe 1, de cette directive, pour appliquer ce droit audit traitement.
62 Par conséquent, cette autorité de contrôle était compétente, aux fins d’assurer le respect, sur le territoire allemand, des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant l’article 28, paragraphe 3, de la directive 95/46.
63 Il convient encore de préciser que la circonstance, mise en exergue par la juridiction de renvoi dans sa troisième question, selon laquelle les stratégies décisionnelles quant à la collecte et au traitement de données personnelles relatives à des personnes résidant sur le territoire de l’Union sont prises par une société mère établie dans un pays tiers, telle que, en l’occurrence, Facebook Inc., n’est pas de nature à remettre en cause la compétence de l’autorité de contrôle relevant du droit d’un État membre à l’égard d’un établissement, situé sur le territoire de ce même État, du responsable du traitement desdites données.
64 Au regard de ce qui précède, il convient de répondre aux troisième et quatrième questions que les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre.
C) Les autorités de contrôle nationale ne sont pas tenues d’appliquer les mêmes solutions que celles des autres autorités de contrôle d’autres états membres dans la même situation.
9 En outre, si, en vertu de l’article 28, paragraphe 6, second alinéa, de la directive 95/46, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile, cette même directive ne prévoit aucun critère de priorité régissant l’intervention des autorités de contrôle les unes par rapport aux autres ni ne prescrit l’obligation pour une autorité de contrôle d’un État membre de se conformer à la position exprimée, le cas échéant, par l’autorité de contrôle d’un autre État membre.
70 Ainsi, rien n’oblige une autorité de contrôle dont la compétence est reconnue en vertu de son droit national à faire sienne la solution retenue par une autre autorité de contrôle dans une situation analogue.
71 À cet égard, il importe de rappeler que, les autorités nationales de contrôle étant, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux et à l’article 28 de la directive 95/46, chargées du contrôle du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, chacune d’entre elles est donc investie de la compétence de vérifier si un traitement de données à caractère personnel sur le territoire de l’État membre dont elle relève respecte les exigences posées par la directive 95/46 (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 47).
72 L’article 28 de la directive 95/46 s’appliquant, par sa nature même, à tout traitement de données à caractère personnel, même en présence d’une décision d’une autorité de contrôle d’un autre État membre, une autorité de contrôle, saisie par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doit examiner, en toute indépendance, si le traitement de ces données respecte les exigences posées par ladite directive (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 57).
73 Il s’ensuit que, en l’occurrence, en vertu du système établi par la directive 95/46, l’ULD était habilitée à apprécier, de manière autonome par rapport aux évaluations effectuées par l’autorité de contrôle irlandaise, la légalité du traitement de données en cause au principal.
74 Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.
Le droit dit par la Cour de justice sur ces différentes questions
1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.
2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.
3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.