CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-210/16

Nom:

Wirtschaftsakademie Schleswig-Holstein

Date:

5 juin 2018

Pays:

Allemagne

Lien:

Cliquer ici

Contexte

Wirtschaftsakademie offre des services de formation au moyen d’une page fan hébergée sur Facebook, qui permet entre autres aux administrateurs d'obtenir des données statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, fonctionnant au moyen de cookies. Par décision du 3 novembre 2011, l’ULD (autorité de contrôle compétente), a ordonné à Wirtschaftsakademie de désactiver la page fan qu’elle avait créée sur Facebook sous peine d’astreinte en cas de non-exécution dans le délai prescrit, au motif que ni Wirtschaftsakademie ni Facebook n’informaient les visiteurs de la page fan que ce dernier collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations.

Wirtschaftsakademie a introduit une réclamation contre cette décision, en faisant valoir, en substance, qu’elle n’était responsable, au regard du droit applicable à la protection des données, ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier. Par décision du 16 décembre 2011, l’ULD a rejeté cette réclamation en considérant que la responsabilité de Wirtschaftsakademie en tant que fournisseur de services était établie. Wirtschaftsakademie a introduit un recours contre cette décision devant le Verwaltungsgericht (tribunal administratif, Allemagne), qui a a annulé la décision attaquée.

L’Oberverwaltungsgericht (tribunal administratif supérieur, Allemagne) a rejeté l’appel introduit par l’ULD contre cet arrêt comme étant non fondé. L’ULD a alors introduit un recours en révision devant le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), qui est la juridiction de renvoi dans cette affaire.

Apport(s)
Responsabilité conjointe - Obligation que chaque responsable de traitement ait accès aux données et/ou participe de manière équivalente - Absence Extrait(s) pertinent(s)38. S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. 43. Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. Article(s) du RGPD Article 24 – Responsabilité du responsable du traitement Article 26 – Responsables conjoints du traitement Fait référence à > CJUE – Ryneš – C-212/13 > CJUE – Google Spain – C-131/12 Autres informations
Gestionnaire d’une page hébergée sur un réseau social (Facebook) - Responsabilité conjointe entre le gestionnaire et le fournisseur du service - Admission Extrait(s) pertinent(s)39. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46. 44. Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième questions que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social. Article(s) du RGPD Article 24 – Responsabilité du responsable du traitement Article 26 – Responsables conjoints du traitement Fait référence à > CJUE – Ryneš – C-212/13 > CJUE – Google Spain – C-131/12 Autres informations
Territorialité de la compétence d'une autorité de contrôle (directive 95/46) - Entreprise établie en dehors de l'Union et dans plusieurs Etats Membres - Compétence chaque autorité dans les Etats Membres dans lesquels l'entreprise est établie - Admission Extrait(s) pertinent(s)64. Au regard de ce qui précède, il convient de répondre aux troisième et quatrième questions que les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre. Article(s) du RGPD Article 3 – Champ d’application territorial Article 58 – Pouvoirs Fait référence à > CJUE – Google Spain – C-131/12 > CJUE – Weltimmo – C-230/14 Autres informations Cette décision est susceptible d'avoir été rendue obsolète par l'entrée en vigueur du RGPD et le mécanisme des autorités chef de file.
Territorialité de la compétence d'une autorité de contrôle (directive 95/46) - Compétence pour analyser les atteintes commises par un tiers ayant son siège dans un autre Etat Membre - Admission Extrait(s) pertinent(s)74. Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir. Article(s) du RGPD Article 3 – Champ d’application territorial Article 58 – Pouvoirs Fait référence à > CJUE – Schrems – C-362/14 Autres informations Cette décision est susceptible d'avoir été rendue obsolète par l'entrée en vigueur du RGPD et le mécanisme des autorités chef de file.