Language of document : ECLI:EU:C:2017:796

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. YVES BOT

présentées le 24 octobre 2017 (1)

Affaire C210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contre

Wirtschaftsakademie Schleswig-Holstein GmbH,

en présence de

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

[demande de décision préjudicielle formée par le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne)]

« Renvoi préjudiciel – Directive 95/46/CE – Articles 2, 4 et 28 – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – Injonction visant à désactiver une page fan sur le réseau social Facebook – Notion de “responsable du traitement” – Responsabilité de l’administrateur d’une page fan – Responsabilité conjointe – Droit national applicable – Étendue des pouvoirs d’intervention des autorités de contrôle »






1.        La présente demande de décision préjudicielle porte sur l’interprétation de l’article 2, sous d), de l’article 4, paragraphe 1, de l’article 17, paragraphe 2, ainsi que de l’article 28, paragraphes 3 et 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (2), telle que modifiée par le règlement (CE) n° 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003 (3).

2.        Cette demande a été présentée dans le cadre d’un litige opposant la Wirtschaftsakademie Schleswig-Holstein GmbH, une société de droit privé spécialisée dans le domaine de l’éducation (ci‑après la « Wirtschaftsakademie »), à la Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, autorité régionale de protection des données de Schleswig-Holstein (ci‑après l’« ULD »), au sujet de la légalité d’une injonction prononcée par cette dernière à l’encontre de la Wirtschaftsakademie lui demandant de désactiver une « page fan » (Fanpage) hébergée sur le site de Facebook Ireland Ltd.

3.        Cette injonction est motivée par la prétendue violation de dispositions du droit allemand transposant la directive 95/46, notamment en raison du fait que les visiteurs d’une page fan ne sont pas avertis de ce que leurs données à caractère personnel font l’objet d’une collecte par le réseau social Facebook (ci-après « Facebook ») grâce à des cookies qui sont déposés sur leur disque dur, cette collecte étant effectuée aux fins d’établir des statistiques d’audience destinées à l’administrateur de cette page et de permettre la diffusion par Facebook de publicités ciblées.

4.        La toile de fond de la présente affaire est constituée par le phénomène du « webtracking », qui consiste à observer et à analyser les comportements des utilisateurs d’Internet à des fins commerciales et de marketing. Ce webtracking permet notamment d’identifier les centres d’intérêt des utilisateurs d’Internet à partir de l’observation de leurs comportements de navigation. On parle alors de « webtracking comportemental ». Ce dernier se fait généralement grâce à l’utilisation de cookies.

5.        Ces cookies sont des fichiers témoins qui sont enregistrés sur l’ordinateur de l’internaute dès qu’il consulte un site web.

6.        Le webtracking est utilisé notamment dans le but d’optimiser et de configurer de manière plus effective un site web. Il permet également aux publicitaires de s’adresser de manière ciblée aux différents segments du public.

7.        Selon la définition qu’en donne le groupe de travail « Article 29 » sur la protection des données (4) dans son avis 2/2010, du 22 juin 2010, consacré à la publicité comportementale en ligne (5), « [l]a publicité comportementale est une forme de publicité qui repose sur l’observation du comportement des individus au fil du temps. Elle vise à étudier les caractéristiques de ce comportement à travers leurs actions (visites successives de sites, interactions, mots clés, production de contenu en ligne, etc.) pour établir un profil spécifique et proposer aux personnes concernées des publicités adaptées à leurs centres d’intérêt ainsi déduits » (6). Pour arriver à ce résultat, des informations provenant du navigateur et de l’équipement terminal de l’utilisateur doivent être collectées puis exploitées. La principale technique de traçage permettant de suivre les utilisateurs sur Internet repose sur les « cookies traceurs » (7). Ainsi, « [l]a publicité comportementale utilise les informations collectées sur le comportement de navigation d’un internaute, comme les pages visitées ou les recherches effectuées, pour sélectionner les publicités qui lui seront présentées » (8).

8.        Le traçage des comportements de navigation permet également de fournir aux exploitants de sites web des statistiques d’audience relatives aux personnes consultant ces sites.

9.        La collecte et l’exploitation de données à caractère personnel aux fins d’établir des statistiques d’audience et de diffuser des publicités ciblées doivent répondre à certaines conditions pour être conformes aux règles de protection des données à caractère personnel issues de la directive 95/46. En particulier, ces traitements ne peuvent intervenir sans une information et un accord préalables des personnes concernées.

10.      L’examen de cette conformité suppose toutefois de résoudre préalablement plusieurs questions relatives à la définition de ce que constitue un responsable du traitement, à la détermination du droit national applicable et à celle de l’autorité compétente pour exercer ses pouvoirs d’intervention.

11.      La question relative à l’identification du responsable du traitement devient particulièrement épineuse dans une situation où un opérateur économique décide non pas d’installer sur son site web les outils nécessaires à l’établissement de statistiques d’audience et à la diffusion de publicités ciblées, mais de faire appel à un réseau social tel que Facebook en ouvrant une page fan afin de bénéficier d’outils similaires.

12.      Les questions relatives à la détermination du droit national applicable et à celle de l’autorité compétente pour exercer ses pouvoirs d’intervention deviennent également complexes lorsque le traitement des données à caractère personnel en cause fait intervenir plusieurs entités situées tant en dehors de l’Union européenne qu’à l’intérieur de celle-ci.

13.      À l’heure où les autorités de contrôle de plusieurs États membres ont décidé, au cours de ces derniers mois, d’infliger des amendes à Facebook en raison de la violation de règles relatives à la protection des données de ses usagers (9), l’affaire sous examen va permettre à la Cour de préciser l’étendue des pouvoirs d’intervention dont dispose une autorité de contrôle telle que l’ULD à l’égard d’un traitement de données à caractère personnel qui implique la participation de plusieurs acteurs.

14.      Afin de bien saisir les enjeux juridiques de la présente affaire, il convient d’emblée de décrire le cadre factuel du litige au principal.

I.      Les faits du litige au principal et les questions préjudicielles

15.      La Wirtschaftsakademie offre des services de formation au moyen d’une page fan hébergée sur le site du réseau social Facebook.

16.      Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook notamment par des particuliers ou des entreprises. Pour ce faire, l’administrateur de la page fan doit s’enregistrer auprès de Facebook et peut ainsi utiliser la plateforme aménagée par ce dernier pour se présenter aux utilisateurs de ce réseau social et placer des communications en tous genres, en vue notamment de développer une activité commerciale.

17.      Les administrateurs de pages fan peuvent obtenir des statistiques d’audience à l’aide de l’outil « Facebook Insights » mis gratuitement à leur disposition par Facebook dans le cadre des conditions d’utilisation non modifiables. Ces statistiques sont élaborées par Facebook et personnalisées par l’administrateur d’une page fan à l’aide de différents critères qu’il peut sélectionner, tels que l’âge ou le sexe. Lesdites statistiques fournissent ainsi des informations anonymes sur les caractéristiques et les habitudes des personnes ayant consulté les pages fan, permettant aux administrateurs de ces pages de mieux cibler leur communication.

18.      Afin d’établir de telles statistiques d’audience, au moins un cookie comportant un numéro ID unique, qui est actif pendant deux ans, est sauvegardé par Facebook sur le disque dur de la personne ayant consulté la page fan. Le numéro ID, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté et traité au moment de l’ouverture des pages Facebook.

19.      Par décision du 3 novembre 2011, l’ULD a ordonné à la Wirtschaftsakademie, conformément à l’article 38, paragraphe 5, première phrase, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données, ci-après le « BDSG ») (10), de désactiver la page fan qu’elle avait créée sur Facebook à l’adresse Internet suivante : https://www.facebook.com/wirtschaftsakademie, sous peine d’astreinte en cas de non-exécution dans le délai prescrit, au motif que ni la Wirtschaftsakademie ni Facebook n’informaient les visiteurs de la page fan que ce dernier collectait leurs données à caractère personnel à l’aide de cookies et qu’il traitait ensuite ces données. La Wirtschaftsakademie a introduit une réclamation contre cette décision dans laquelle elle a fait valoir, en substance, qu’elle n’était responsable, au regard du droit à la protection des données applicable, ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier.

20.      Par décision du 16 décembre 2011, l’ULD a rejeté cette réclamation en considérant que la responsabilité de la Wirtschaftsakademie en tant que fournisseur de services était établie en application de l’article 3, paragraphe 3, point 4, et de l’article 12, paragraphe 1, du Telemediengesetz (loi sur les médias électroniques) (11). En créant la page fan, la Wirtschaftsakademie apporterait également une contribution active et volontaire à la collecte de données à caractère personnel par Facebook, dont elle profiterait grâce à des statistiques concernant les utilisateurs mises à disposition par ce réseau social.

21.      La Wirtschaftsakademie a alors introduit un recours à l’encontre de cette décision devant le Verwaltungsgericht (tribunal administratif, Allemagne) en faisant valoir que les opérations de traitement des données par Facebook ne sauraient lui être imputées et qu’elle n’aurait pas non plus chargé Facebook, au sens de l’article 11 du BDSG (12), d’effectuer un traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. La Wirtschaftsakademie considère ainsi que l’ULD s’est retournée à tort contre elle et non directement contre Facebook.

22.      Par un arrêt du 9 octobre 2013, le Verwaltungsgericht (tribunal administratif) a annulé la décision attaquée en faisant valoir, en substance, que l’administrateur d’une page fan sur Facebook n’est pas un « organisme responsable » au sens de l’article 3, paragraphe 7, du BDSG (13) et que la Wirtschaftsakademie ne pouvait donc pas être destinataire d’une mesure prise au titre de l’article 38, paragraphe 5, du BDSG.

23.      L’Oberverwaltungsgericht (tribunal administratif supérieur, Allemagne) a ensuite rejeté l’appel de l’ULD contre cet arrêt comme non fondé en considérant, en substance, que l’interdiction du traitement des données énoncée dans la décision attaquée était illégale, dans la mesure où l’article 38, paragraphe 5, deuxième phrase, du BDSG prévoit un processus progressif, dont la première étape permet uniquement d’adopter des mesures visant à remédier aux infractions constatées lors du traitement de données. Une interdiction immédiate du traitement de données ne serait envisageable que si une procédure de traitement de données est illicite dans sa globalité et que seule la suspension de cette procédure permet d’y remédier. Or, selon l’Oberverwaltungsgericht (tribunal administratif supérieur), tel ne serait pas le cas en l’espèce, dès lors que Facebook aurait bien la possibilité de faire cesser les infractions alléguées par l’ULD.

24.      L’injonction serait également illégale au motif que la requérante ne serait pas un organisme responsable au sens de l’article 3, paragraphe 7, du BDSG, s’agissant des données collectées par Facebook à l’occasion de l’administration de la page fan, et qu’une injonction au titre de l’article 38, paragraphe 5, du BDSG ne pourrait être prononcée qu’à l’encontre d’un tel organisme. En l’espèce, seul Facebook déciderait de la finalité et des moyens relatifs à la collecte et au traitement des données à caractère personnel utilisées pour la fonction « Facebook Insights ». La requérante, quant à elle, ne recevrait que des informations statistiques rendues anonymes.

25.      L’article 38, paragraphe 5, du BDSG n’autoriserait pas d’injonctions à l’encontre de tiers. La responsabilité dite « indirecte » (« Störerhaftung ») sur Internet, développée par la jurisprudence des juridictions civiles, ne serait pas transposable aux prérogatives de puissance publique. Même si l’article 38, paragraphe 5, du BDSG ne nomme pas expressément le destinataire de l’injonction d’interdiction, il résulterait de l’économie, de l’objet et de l’esprit de cette réglementation, ainsi que de sa genèse, que le destinataire ne peut être que l’organisme responsable.

26.      Par son recours en Revision, introduit devant le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), l’ULD fait valoir, entre autres, une violation de l’article 38, paragraphe 5, du BDSG et invoque plusieurs erreurs procédurales commises par la juridiction d’appel. Elle considère que l’infraction commise par la Wirtschaftsakademie tient au fait qu’elle a chargé un fournisseur inapproprié, car non respectueux du droit applicable à la protection des données – en l’espèce Facebook Ireland –, de la réalisation, de l’hébergement et de la maintenance d’un site Internet. L’injonction de désactivation viserait ainsi à remédier à cette infraction commise par la Wirtschaftsakademie en ce qu’elle lui interdirait de continuer à utiliser l’infrastructure de Facebook comme base technique de son site Internet.

27.      La juridiction de renvoi considère que, concernant la collecte et le traitement des données des personnes consultant la page fan par l’intervenante au principal, à savoir Facebook Ireland, la Wirtschaftsakademie n’est pas « l’organisme qui collecte, traite ou utilise des données à caractère personnel pour son compte ou par l’intermédiaire d’autrui en sous-traitance », au sens de l’article 3, paragraphe 7, du BDSG, ou l’« organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel », au sens de l’article 2, sous d), de la directive 95/46. Certes, par sa décision de créer une page fan sur la plateforme exploitée par l’intervenante au principal ou par sa société mère (en l’espèce Facebook Inc., USA), la Wirtschaftsakademie offrirait objectivement à l’intervenante au principal la possibilité d’installer des cookies lors de l’ouverture de cette page fan et de collecter des données par ce biais. Cette décision ne permettrait toutefois pas à la Wirtschaftsakademie d’influencer, de guider, de modeler ou encore de contrôler la nature et l’étendue du traitement des données des utilisateurs de sa page fan par l’intervenante au principal. Les conditions d’utilisation de la page fan ne conféreraient pas non plus à la Wirtschaftsakademie des droits d’intervention ou de contrôle. Les conditions d’utilisation fixées unilatéralement par l’intervenante au principal ne seraient pas le résultat d’un processus de négociation et ne donneraient pas non plus le droit à la Wirtschaftsakademie d’interdire à l’intervenante au principal de collecter et de traiter les données des utilisateurs de la page fan.

28.      La juridiction de renvoi admet que la définition juridique du « responsable du traitement » énoncée à l’article 2, sous d), de la directive 95/46 doit être, en principe, interprétée de manière extensive, dans l’intérêt d’une protection efficace du droit à la vie privée. Toutefois, la Wirtschaftsakademie ne répondrait pas à cette définition dans la mesure où elle n’a aucune influence en droit ou en fait sur les modalités du traitement des données à caractère personnel qui est effectué par l’intervenante au principal sous sa propre responsabilité et en toute indépendance. À cet égard, serait insuffisante la circonstance que la Wirtschaftsakademie peut objectivement tirer profit de la fonction « Facebook Insights » exploitée par l’intervenante au principal au motif que des données rendues anonymes lui sont transmises en vue de l’utilisation de sa page fan.

29.      Selon la juridiction de renvoi, la Wirtschaftsakademie ne pourrait pas non plus être considérée comme responsable d’un traitement de données en sous-traitance, au sens de l’article 11 du BDSG ainsi que de l’article 2, sous e) et de l’article 17, paragraphes 2 et 3, de la directive 95/46.

30.      Cette juridiction considère qu’une clarification s’impose concernant le point de savoir si, et à quelles conditions, les pouvoirs de contrôle et d’intervention des autorités de surveillance en matière de protection des données peuvent être exercés uniquement à l’encontre du « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46 ou s’il est possible de retenir la responsabilité d’un organisme qui n’est pas le responsable du traitement des données, selon la définition résultant de cette même disposition, au titre du choix effectué par cet organisme d’avoir recours à Facebook pour son offre d’informations.

31.      Dans cette dernière hypothèse, la juridiction de renvoi se demande si une telle responsabilité pourrait être fondée sur une application par analogie des obligations de choix et de contrôle résultant de l’article 17, paragraphe 2, de la directive 95/46 dans le cadre d’un traitement de données en sous-traitance.

32.      Afin d’être en mesure de statuer sur la légalité de l’injonction prononcée en l’espèce, la juridiction de renvoi estime qu’il est également nécessaire de clarifier certains points relatifs à la compétence des autorités de contrôle et à l’étendue de leurs pouvoirs d’intervention.

33.      En particulier, la juridiction de renvoi s’interroge sur la répartition des compétences entre les autorités de contrôle dans le cas où une société mère, telle que Facebook Inc., dispose de plusieurs établissements sur le territoire de l’Union et que les missions attribuées à ces établissements au sein du groupe sont différentes.

34.      La juridiction de renvoi rappelle, à cet égard, que la Cour a jugé, dans son arrêt du 13 mai 2014, Google Spain et Google (14), que « l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre » (15). La juridiction de renvoi se demande si ce rattachement à un établissement tel que Facebook Germany GmbH, qui est, selon les informations contenues dans la décision de renvoi, chargé de la promotion et de la vente d’espaces publicitaires et d’autres activités de marketing destinées aux habitants d’Allemagne, est transposable, aux fins de l’applicabilité de la directive 95/46 et de la détermination de l’autorité de contrôle compétente, à une situation dans laquelle une filiale établie dans un autre État membre (en l’espèce l’Irlande) intervient en tant que « responsable du traitement » sur l’ensemble du territoire de l’Union.

35.      S’agissant des destinataires d’une mesure prise en application de l’article 28, paragraphe 3, de la directive 95/46, la juridiction de renvoi relève que la mesure d’injonction prise à l’encontre de la Wirtschaftsakademie pourrait relever d’une erreur d’appréciation et, par conséquent, être illégale s’il pouvait être remédié aux atteintes alléguées par l’ULD au droit à la protection des données applicable par une mesure dirigée directement contre la filiale Facebook Germany qui est établie en Allemagne.

36.      La juridiction de renvoi note également que l’ULD considère qu’elle n’est pas liée par les constatations et les appréciations du Data Protection Commissioner (autorité de contrôle en matière de protection des données, Irlande), lequel, selon les indications fournies par la Wirtschaftsakademie et par l’intervenante au principal, n’aurait pas contesté le traitement de données à caractère personnel en cause au principal. Cette juridiction souhaite dès lors savoir, d’une part, si une telle appréciation autonome par l’ULD est admise et, d’autre part, si l’article 28, paragraphe 6, seconde phrase, de la directive 95/46 imposait à l’ULD de demander à l’autorité de contrôle en matière de protection des données, eu égard à la divergence d’appréciation entre ces deux autorités de contrôle quant à la conformité du traitement de données en cause au principal aux les règles issues de la directive 95/46, d’exercer ses pouvoirs à l’encontre de Facebook Ireland.

37.      Dans ces conditions, le Bundesverwaltungsgericht (Cour administrative fédérale) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      L’article 2, sous d), de la directive 95/46 doit-il être interprété en ce sens qu’il régit de manière définitive et exhaustive la responsabilité en cas d’atteinte à la protection des données, ou peut-on encore, dans le cadre des “mesures appropriées” visées à l’article 24 de [cette directive] et des “pouvoirs effectifs d’intervention” visés à l’article 28, paragraphe 3, deuxième tiret, de [celle-ci], en présence de fournisseurs d’informations en cascade, retenir la responsabilité d’un organisme qui n’est pas le responsable du traitement des données au sens de l’article 2, sous d), de [ladite directive] au titre du choix d’un administrateur pour son offre d’informations ?

2)      Résulte-t-il, a contrario, de l’obligation des États membres découlant de l’article 17, paragraphe 2, de la directive 95/46 d’exiger, dans le traitement des données en sous-traitance, que le responsable du traitement “[choisisse] un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer”, qu’il n’existe, dans le cadre d’autres utilisations n’impliquant aucun traitement de données en sous-traitance au sens de l’article 2, sous e), de [cette directive], aucune obligation de faire un choix rigoureux, et que celle-ci ne [puisse] pas non plus être instituée sur le fondement du droit national ?

3)      Lorsqu’une société mère établie en dehors de l’Union dispose d’établissements juridiquement indépendants (filiales) dans différents États membres, l’autorité de contrôle d’un État membre (en l’espèce l’Allemagne) est-elle également habilitée, en vertu de l’article 4 et de l’article 28, paragraphe 6, de la directive 95/46, à exercer les pouvoirs dont elle est investie conformément à l’article 28, paragraphe 3, de [celle-ci] à l’encontre de l’établissement situé sur son territoire, si cet établissement assure uniquement la promotion et la vente d’espaces publicitaires ainsi que d’autres mesures de marketing destinées aux habitants de cet État membre, alors que l’établissement indépendant (filiale) établi dans un autre État membre (en l’espèce l’Irlande) a, en vertu de la répartition des missions au sein du groupe, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel sur l’ensemble du territoire de l’Union et donc également dans l’autre État membre (en l’espèce l’Allemagne), si la décision relative au traitement des données est en fait prise par la société mère ?

4)      L’article 4, paragraphe 1, et l’article 28, paragraphe 3, de la directive 95/46 doivent-ils être interprétés en ce sens que, lorsque le responsable du traitement possède un établissement sur le territoire d’un État membre (en l’espèce l’Irlande), et qu’il existe un autre établissement juridiquement indépendant sur le territoire d’un autre État membre (en l’espèce l’Allemagne), lequel est chargé, entre autres, de la vente d’espaces publicitaires, et dont l’activité est destinée aux habitants de cet État, l’autorité de contrôle compétente dans cet autre État membre (en l’espèce l’Allemagne) peut prendre des mesures et des injonctions en vue de mettre en œuvre le droit applicable à la protection des données, y compris à l’encontre de l’autre établissement qui n’est pas responsable du traitement des données d’après la répartition des missions et responsabilités au sein du groupe (en l’espèce l’Allemagne), ou les mesures et injonctions ne doivent-elles, dans ce cas, être prises que par l’autorité de contrôle de l’État membre (en l’espèce l’Irlande) sur le territoire duquel l’organisme responsable au sein du groupe a son siège ?

5)      L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent-ils être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre (en l’espèce l’Allemagne) met en cause une personne ou un organisme exerçant ses activités sur son territoire en application de l’article 28, paragraphe 3, de [cette directive] en raison du choix non rigoureux d’un tiers impliqué dans le processus de traitement des données (en l’espèce Facebook), au motif que ce tiers a enfreint le droit applicable à la protection des données, l’autorité de contrôle intervenante (en l’espèce l’Allemagne) est liée par l’appréciation au regard du droit applicable à la protection des données émanant de l’autorité de contrôle de l’autre État membre, dans lequel le tiers responsable du traitement des données a son établissement (en l’espèce l’Irlande), en ce sens qu’elle n’est pas habilitée à émettre une appréciation juridique divergente, ou l’autorité de contrôle intervenante (en l’espèce l’Allemagne) peut-elle examiner de manière autonome la légalité du traitement des données effectué par le tiers établi dans un autre État membre (en l’espèce l’Irlande) à titre incident ?

6)      Dans l’hypothèse où l’autorité de contrôle intervenante (en l’espèce l’Allemagne) [serait] habilitée à effectuer un contrôle autonome : l’article 28, paragraphe 6, deuxième phrase, de la directive 95/46 doit-il être interprété en ce sens que cette autorité de contrôle ne peut exercer les pouvoirs effectifs d’intervention dont elle est investie conformément à l’article 28, paragraphe 3, de [cette] directive à l’encontre d’une personne ou d’un organisme établis sur son territoire au titre de leur part de responsabilité dans les atteintes à la protection des données commises par le tiers établi dans un autre État membre que si elle a préalablement appelé l’autorité de contrôle de cet autre État membre (en l’espèce l’Irlande) à exercer ses pouvoirs ? »

II.    Notre analyse

38.      Il convient de préciser que les questions préjudicielles posées par la juridiction de renvoi ne sont pas relatives au point de savoir si le traitement de données à caractère personnel sur lequel portent les reproches formulés par l’ULD, à savoir la collecte et l’exploitation des données des personnes consultant des pages fan sans que ces personnes en soient préalablement informées, est contraire ou non aux règles issues de la directive 95/46.

39.      Selon les explications fournies par la juridiction de renvoi, la légalité de l’injonction soumise à son appréciation dépend des éléments suivants. De son point de vue, il convient, tout d’abord, de déterminer si l’ULD était fondée à exercer ses pouvoirs d’intervention à l’encontre d’une personne n’ayant pas la qualité de responsable du traitement au sens de l’article 2, sous d), de la directive 95/46. Ensuite, la juridiction de renvoi considère que la légalité de l’injonction dépend également des points de savoir si l’ULD était compétente pour agir à l’égard du traitement de données à caractère personnel en cause au principal, si le fait de ne pas avoir adressé son injonction à Facebook Germany plutôt qu’à la Wirtschaftsakademie ne constituerait pas une erreur d’appréciation, et enfin si l’ULD n’aurait pas commis une autre erreur d’appréciation en enjoignant à la Wirtschaftsakademie de fermer sa page fan alors qu’elle aurait dû préalablement demander à l’autorité de contrôle en matière de protection des données d’exercer ses pouvoirs à l’encontre de Facebook Ireland.

A.      Sur les première et deuxième questions préjudicielles

40.      Par ses première et deuxième questions préjudicielles, qu’il convient selon nous d’examiner ensemble, la juridiction de renvoi demande, en substance, à la Cour de dire pour droit si l’article 17, paragraphe 2, l’article 24 et l’article 28, paragraphe 3, deuxième tiret, de la directive 95/46 doivent être interprétés en ce sens qu’ils permettent aux autorités de contrôle d’exercer leurs pouvoirs d’intervention à l’encontre d’un organisme qui ne peut pas être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d), de cette même directive, mais qui pourrait malgré tout être tenu responsable en cas d’atteinte aux règles relatives à la protection des données à caractère personnel en raison du choix effectué par cet organisme d’avoir recours à un réseau social tel que Facebook pour diffuser son offre d’informations.

41.      Ces questions reposent sur la prémisse selon laquelle la Wirtschaftsakademie ne constitue pas un « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46. C’est pourquoi cette juridiction souhaite savoir si une mesure d’injonction telle que celle en cause au principal peut être dirigée contre une personne ne répondant pas aux critères fixés par cette disposition.

42.      Nous considérons, cependant, que cette prémisse est erronée. En effet, la Wirtschaftsakademie doit, à notre avis, être considérée comme étant responsable conjointe de la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook.

43.      On entend par « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46 « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (16).

44.      Le responsable du traitement joue un rôle fondamental dans le cadre du système mis en place par la directive 95/46 et son identification est dès lors essentielle. En effet, cette directive prévoit que le responsable du traitement est débiteur d’un certain nombre d’obligations destinées à assurer la protection des données à caractère personnel (17). Ce rôle fondamental a été mis en exergue par la Cour dans son arrêt du 13 mai 2014, Google Spain et Google (18). Celle-ci a en effet jugé que le responsable du traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement de données en cause satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment leur droit au respect de la vie privée, puisse effectivement être réalisée (19).

45.      Il ressort également de la jurisprudence de la Cour que cette notion doit être définie de manière large afin d’assurer une protection efficace et complète des personnes concernées (20).

46.      Le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données. Comme l’indique le groupe de travail « Article 29 », « [l]a notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle » (21).

47.      En tant que concepteurs de ce traitement, c’est bien, à nos yeux, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland, qui en ont déterminé à titre principal les objectifs et les modalités.

48.      Plus précisément, Facebook Inc. a mis au point le modèle économique général conduisant à ce que la collecte de données à caractère personnel lors de la consultation de pages fan puis l’exploitation de ces données puissent permettre, d’une part, la diffusion de publicités personnalisées et, d’autre part, l’établissement de statistiques d’audience à destination des administrateurs de ces pages.

49.      En outre, il ressort des pièces du dossier que Facebook Ireland est désignée par Facebook Inc. comme étant chargée du traitement des données à caractère personnel au sein de l’Union. Selon les explications fournies par Facebook Ireland, les modalités de fonctionnement du réseau social peuvent connaître certaines adaptations dans l’Union (22).

50.      Par ailleurs, s’il est constant que toute personne résidant sur le territoire de l’Union et désirant utiliser Facebook est tenue de conclure, lors de son inscription, un contrat avec Facebook Ireland, il convient de relever que, dans le même temps, les données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union sont, en tout ou en partie, transférées vers des serveurs appartenant à Facebook Inc., situés sur le territoire des États-Unis, où elles font l’objet d’un traitement (23).

51.      Compte tenu de l’implication de Facebook Inc. et, s’agissant plus particulièrement de l’Union, de Facebook Ireland dans la détermination des finalités et des moyens du traitement de données à caractère personnel en cause au principal, ces deux entités doivent, au vu des éléments dont nous disposons, être considérées comme étant responsables conjointement de ce traitement. Il y a lieu, à cet égard, de relever que l’article 2, sous d), de la directive 95/46 prévoit expressément la possibilité d’une telle responsabilité conjointe. Comme indiqué par la juridiction de renvoi elle-même, il incombera, en dernier lieu, à cette dernière de clarifier les structures décisionnelles et de traitement des données internes au groupe Facebook pour déterminer qui sont le ou les établissements responsables du traitement au sens de l’article 2, sous d), de la directive 95/46 (24).

52.      À la responsabilité conjointe de Facebook Inc. et de Facebook Ireland doit s’ajouter, à notre avis, en ce qui concerne la phase du traitement que constitue la collecte de données à caractère personnel par Facebook (25), celle d’un administrateur d’une page fan tel que la Wirtschaftsakademie.

53.      Un administrateur d’une page fan est, certes, avant tout un utilisateur de Facebook, auquel il fait appel pour bénéficier de ses outils et profiter ainsi d’une meilleure visibilité. Ce constat n’est toutefois pas de nature à exclure qu’il puisse également être considéré comme responsable de la phase du traitement de données à caractère personnel qui fait l’objet du litige au principal, à savoir la collecte de telles données par Facebook.

54.      S’agissant du point de savoir si l’administrateur d’une page fan « détermine » les finalités et les moyens du traitement, il convient de vérifier si cet administrateur exerce une influence de droit ou de fait sur ces finalités et ces moyens. Cet élément de la définition permet de considérer que le responsable du traitement n’est pas celui qui effectue le traitement des données à caractère personnel, mais celui qui en détermine les moyens et les finalités.

55.      En ayant recours à Facebook pour diffuser son offre d’informations, l’administrateur de la page fan adhère au principe de la mise en œuvre d’un traitement des données à caractère personnel des visiteurs de sa page aux fins de l’établissement de statistiques d’audience (26). Même s’il n’est bien entendu pas le concepteur de l’outil « Facebook Insights », cet administrateur, en y ayant recours, prend part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page.

56.      En effet, d’une part, ce traitement ne pourrait pas intervenir sans la décision préalable de l’administrateur d’une page fan de créer et d’exploiter celle-ci sur le réseau social Facebook. En rendant possible le traitement des données à caractère personnel des utilisateurs de la page fan, le gestionnaire de cette page adhère au système mis en place par Facebook. Il acquiert ainsi une meilleure visibilité sur le profil des utilisateurs de sa page fan et permet, dans le même temps, à Facebook de mieux cibler la publicité diffusée dans le cadre de ce réseau social. En acceptant les moyens et les finalités du traitement des données à caractère personnel, tels qu’ils sont prédéfinis par Facebook, le gestionnaire de la page fan doit être considéré comme participant à leur détermination. Par ailleurs, tout comme l’administrateur d’une page fan exerce ainsi une influence déterminante sur le déclenchement du traitement de données à caractère personnel des personnes qui consultent cette page, il dispose également du pouvoir de faire cesser ce traitement en fermant sa page fan.

57.      D’autre part, bien que les finalités et les modalités de l’outil « Facebook Insights » en tant que tel soient définies de façon générale par Facebook Inc. conjointement avec Facebook Ireland, l’administrateur d’une page fan a la possibilité d’influer sur la mise en œuvre concrète de cet outil en définissant les critères à partir desquels les statistiques d’audience sont établies. Lorsque Facebook invite l’administrateur d’une page fan à créer ou à modifier l’audience de sa page, il lui indique qu’il fera de son mieux pour montrer cette page aux personnes qui comptent le plus pour lui. L’administrateur d’une page fan peut, à l’aide de filtres, définir une audience personnalisée, ce qui lui permet non seulement d’affiner le groupe de personnes à destination duquel des informations relatives à son offre commerciale seront diffusées, mais surtout de designer les catégories de personnes qui vont faire l’objet d’une collecte de leurs données à caractère personnel par Facebook. Ainsi, en déterminant l’audience qu’il souhaite toucher, l’administrateur d’une page fan identifie par la même occasion quel public cible est susceptible de faire l’objet d’une collecte puis d’une exploitation de ses données à caractère personnel par Facebook. En plus d’être l’élément déclencheur d’un traitement de telles données lorsqu’il crée une page fan, l’administrateur de cette page joue dès lors un rôle prépondérant dans la mise en œuvre de ce traitement par Facebook. Il prend part, de la sorte, à la détermination des moyens et des finalités dudit traitement en exerçant sur celui-ci une influence de fait.

58.      Nous déduisons de ce qui précède que, dans des circonstances telles que celles du litige au principal, un administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable de la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page.

59.      Cette conclusion se trouve renforcée par le constat selon lequel un administrateur d’une page fan tel que la Wirtschaftsakademie, d’une part, et des fournisseurs de services tels que Facebook Inc. et Facebook Ireland, d’autre part, poursuivent chacun des finalités étroitement liées. La Wirtschaftsakademie veut obtenir des statistiques d’audience à des fins de gestion de la promotion de son activité et, pour les obtenir, un traitement de données à caractère personnel est nécessaire. Ce même traitement permettra également à Facebook de mieux cibler la publicité qu’il diffuse à travers son réseau.

60.      Il convient, dès lors, de rejeter une interprétation qui serait tirée exclusivement des clauses et des conditions du contrat conclu entre la Wirtschaftsakademie et Facebook Ireland. En effet, le partage des tâches indiqué contractuellement ne peut fournir qu’un indice concernant le rôle réel des parties au contrat dans la mise en œuvre d’un traitement de données à caractère personnel. Autrement, ces parties pourraient attribuer artificiellement la responsabilité du traitement à l’une d’elles. Cela vaut d’autant plus dans une situation où les conditions générales sont préparées à l’avance par le réseau social et ne sont pas négociables. Il ne saurait donc être considéré que celui qui peut seulement adhérer ou refuser le contrat ne peut pas être un responsable du traitement. À partir du moment où ce même cocontractant a conclu l’accord librement, il peut toujours être un responsable du traitement au vu de son influence concrète sur les moyens et les finalités de ce traitement.

61.      Ainsi, le fait que le contrat et ses conditions générales soient préparés par un prestataire de services et que l’opérateur qui a recours aux prestations offertes par ce prestataire n’ait pas accès aux données n’exclut pas qu’il puisse être considéré comme un responsable du traitement, dès lors qu’il a librement accepté les clauses contractuelles, assumant de ce fait une totale responsabilité en ce qui concerne ces dernières (27). À l’instar du groupe de travail « Article 29 », il convient également de reconnaître qu’un éventuel déséquilibre du rapport de forces entre le fournisseur et le preneur du service ne fait pas obstacle à ce que ce dernier puisse être qualifié de « responsable du traitement » (28).

62.      Par ailleurs, pour qu’une personne puisse être considérée comme un responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46, il n’est pas nécessaire que cette personne dispose d’un pouvoir de contrôle complet sur tous les aspects du traitement. Comme le gouvernement belge l’a indiqué à juste titre lors de l’audience, un tel contrôle existe de moins en moins en pratique. De plus en plus, les traitements ont une nature complexe, en ce sens qu’il s’agit de plusieurs traitements distincts impliquant plusieurs parties exerçant elles-mêmes différents degrés de contrôle. Par conséquent, l’interprétation privilégiant l’existence d’un pouvoir de contrôle complet sur tous les aspects du traitement est susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel.

63.      Les faits à l’origine de l’arrêt du 13 mai 2014, Google Spain et Google (29), en constituent une illustration. En effet, dans cette affaire, il était question d’une situation impliquant des fournisseurs d’informations en cascade, dans laquelle différentes parties exerçaient chacune une influence distincte sur le traitement. Dans cette affaire, la Cour a refusé d’interpréter de façon restrictive la notion de « responsable du traitement ». Elle a considéré que l’exploitant du moteur de recherche devait, « en tant que personne déterminant les finalités et les moyens de [son] activité[,] assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 » (30). La Cour a, par ailleurs, évoqué la possibilité d’une responsabilité conjointe de l’exploitant du moteur de recherche et des éditeurs de sites web (31).

64.      À l’instar du gouvernement belge, nous estimons que l’interprétation large de la notion de « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46, qui doit, selon nous, prévaloir dans le cadre de la présente affaire, est de nature à éviter les abus. En effet, il suffirait sinon pour une entreprise de recourir aux services d’un tiers pour se soustraire à ses obligations en matière de protection des données à caractère personnel. En d’autres termes, il ne faut pas, selon nous, faire de distinction entre l’entreprise qui dote son site Internet d’outils analogues à ceux proposés par Facebook et celle qui adhère au réseau social Facebook pour profiter des outils offerts par ce dernier. Il convient ainsi de garantir que les opérateurs économiques qui ont recours à un service d’hébergement de leur page Internet ne puissent pas se soustraire à leur responsabilité en se soumettant aux conditions générales d’un prestataire de services. En outre, comme ce même gouvernement l’a indiqué lors de l’audience, il n’est pas déraisonnable d’attendre des entreprises qu’elles soient diligentes au moment de choisir leur fournisseur de services.

65.      Nous sommes donc d’avis que le fait pour un administrateur d’une page fan d’utiliser la plateforme offerte par Facebook et de bénéficier des services y afférents ne l’exonère pas de ses obligations en matière de protection des données à caractère personnel. Nous observons, à cet égard, que, si la Wirtschaftsakademie avait ouvert un site Internet en dehors de Facebook en mettant en œuvre un outil analogue à « Facebook Insights » pour établir des statistiques d’audience, elle serait considérée comme le responsable du traitement qui est nécessaire en vue d’établir de telles statistiques. À notre avis, un tel opérateur économique ne devrait pas être dispensé de respecter les règles de protection des données à caractère personnel issues de la directive 95/46 au seul motif qu’il utilise la plateforme de réseau social Facebook pour promouvoir ses activités. Comme l’indique à juste titre la juridiction de renvoi elle-même, un fournisseur d’informations ne doit pas pouvoir s’exonérer, par le choix d’un fournisseur d’infrastructures déterminé, des obligations que lui impose le droit applicable à la protection des données à l’égard des utilisateurs de son offre d’informations, et qu’il aurait à remplir s’il s’agissait d’un simple fournisseur de contenu (32). Une interprétation contraire créerait un risque de contournement des règles relatives à la protection des données à caractère personnel.

66.      Il convient également, à notre avis, de ne pas créer de distinction artificielle entre la situation en cause dans le cadre de la présente affaire et celle en cause dans le cadre de l’affaire C-40/17, Fashion ID (33).

67.      Cette dernière affaire concerne la situation dans laquelle le gestionnaire d’un site web insère dans son site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) d’un fournisseur externe (c’est-à-dire Facebook), qui entraîne une transmission de données à caractère personnel de l’ordinateur de l’utilisateur du site web au fournisseur externe.

68.      Dans le cadre du litige ayant donné lieu à cette affaire, une association de protection des consommateurs reproche à la société Fashion ID d’avoir, en insérant dans son site web le module « j’aime » fourni par le réseau social Facebook, permis à ce dernier d’avoir accès aux données à caractère personnel des utilisateurs de ce site, sans leur consentement et en violation des obligations d’information prévues par les dispositions relatives à la protection des données à caractère personnel. Se pose alors le problème de savoir si, étant donné que Fashion ID permet à Facebook d’accéder aux données à caractère personnel des utilisateurs de son site Internet, cette société peut ou non être qualifiée de « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46.

69.      Nous n’identifions pas, à cet égard, de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant d’un site web qui intègre le code d’un fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking.

70.      Les plugins sociaux permettent aux exploitants de sites web d’utiliser certains services de réseaux sociaux sur leurs propres sites web afin d’accroître la visibilité de ces derniers, par exemple en intégrant à leur site le bouton « j’aime » de Facebook. Comme les administrateurs de pages fan, les exploitants de sites web intégrant des plugins sociaux peuvent bénéficier du service « Facebook Insights » afin d’obtenir des informations statistiques précises sur les utilisateurs de leur site.

71.      À l’instar de ce qui se produit en cas de consultation d’une page fan, la consultation d’un site web contenant un plugin social va déclencher une transmission de données à caractère personnel vers le fournisseur concerné.

72.      À notre avis, dans un tel contexte et comme l’administrateur d’une page fan, un gestionnaire de site web contenant un plugin social, dans la mesure où il exerce une influence de fait sur la phase du traitement relative à la transmission de données à caractère personnel à Facebook, devrait être qualifié de « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46 (34).

73.      Nous ajoutons que, comme l’indique à juste titre le gouvernement belge, le constat selon lequel la Wirtschaftsakademie agit comme un responsable conjoint du traitement lorsqu’elle décide de recourir aux services de Facebook pour son offre d’informations n’enlève rien aux obligations qui pèsent sur Facebook Inc. et sur Facebook Ireland en leur qualité de responsables du traitement. Il est clair, en effet, que ces deux entités exercent une influence déterminante sur les finalités et les moyens du traitement de données à caractère personnel qui intervient dans le cadre de la consultation d’une page fan et qu’elles utilisent également pour leurs propres finalités et intérêts.

74.      Cependant, la reconnaissance d’une responsabilité conjointe des administrateurs de pages fan pour la phase du traitement consistant dans la collecte de données à caractère personnel par Facebook contribue à assurer une protection plus complète des droits dont disposent les personnes qui consultent ce type de pages. Par ailleurs, le fait d’associer de façon active les administrateurs de pages fan au respect des règles de protection des données à caractère personnel en les désignant comme responsables du traitement est de nature, par un effet induit, à inciter la plateforme de réseau social elle-même à se mettre en conformité avec de telles règles.

75.      Il convient également de préciser que l’existence d’une responsabilité conjointe ne signifie pas une responsabilité sur un pied d’égalité. Au contraire, les différents responsables du traitement peuvent être impliqués dans un traitement de données à caractère personnel à différents stades et à différents degrés (35).

76.      Selon le groupe de travail « Article 29 », « [l]a possibilité d’une responsabilité pluraliste tient compte du nombre croissant de situations dans lesquelles différentes parties agissent en tant que responsables du traitement. L’évaluation de cette coresponsabilité doit être calquée sur celle de la responsabilité “unique”, en adoptant une approche concrète et pratique, pour établir si les finalités et les éléments essentiels des moyens sont déterminés par plus d’une partie. La participation des parties à la détermination des finalités et des moyens de traitement dans le cadre d’une coresponsabilité peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale » (36). En effet, « lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci). Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données » (37).

77.      Il découle de ce qui précède que, selon nous, l’administrateur d’une page fan sur le réseau social Facebook doit être considéré comme étant, aux côtés de Facebook Inc. et de Facebook Ireland, responsable du traitement des données à caractère personnel qui est effectué en vue de l’établissement de statistiques d’audience relatives à cette page.

B.      Sur les troisième et quatrième questions préjudicielles

78.      Par ses troisième et quatrième questions préjudicielles, qu’il convient, à notre avis, d’examiner ensemble, la juridiction de renvoi souhaite obtenir de la Cour des précisions quant à l’interprétation de l’article 4, paragraphe 1, sous a), et de l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 dans une situation où une société mère établie en dehors de l’Union, telle que Facebook Inc., fournit des services relatifs à un réseau social sur le territoire de l’Union par l’intermédiaire de plusieurs établissements. Parmi ces établissements, l’un est désigné par la société mère comme étant le responsable du traitement des données à caractère personnel sur le territoire de l’Union (Facebook Ireland) et l’autre assure la promotion et la vente d’espaces publicitaires ainsi que des activités de marketing destinées aux habitants d’Allemagne (Facebook Germany). Dans cette configuration, la juridiction de renvoi souhaite savoir, d’une part, si l’autorité de contrôle allemande est habilitée à exercer ses pouvoirs d’intervention visant à ce que le traitement des données à caractère personnel litigieux soit interrompu et, d’autre part, à l’encontre de quel établissement de tels pouvoirs peuvent être exercés.

79.      En réponse aux doutes émis par l’ULD et par le gouvernement italien sur la recevabilité des troisième et quatrième questions préjudicielles, nous relevons que le Bundesverwaltungsgericht (Cour administrative fédérale) explique dans sa décision de renvoi qu’elle a besoin d’éclaircissements sur ces points afin de pouvoir statuer sur la légalité de l’injonction en cause au principal. En particulier, cette juridiction fait valoir que la mesure d’injonction prise à l’encontre de la Wirtschaftsakademie pourrait relever d’une erreur d’appréciation et, par conséquent, être illégale s’il pouvait être remédié aux atteintes alléguées par l’ULD au droit à la protection des données applicable par une mesure dirigée directement contre la filiale Facebook Germany qui est établie en Allemagne (38). Cette réflexion de la juridiction de renvoi permet, à notre avis, de bien saisir les raisons pour lesquelles celle-ci pose à la Cour les troisième et quatrième questions préjudicielles. Eu égard à la présomption de pertinence qui s’attache aux demandes de renvoi préjudiciel (39), nous proposons par conséquent à la Cour de répondre à ces questions.

80.      Aux termes de l’article 4 de la directive 95/46, intitulé « Droit national applicable » :

« 1.      Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

a)      le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable

[...] »

81.      Dans son avis 8/2010, du 16 décembre 2010, sur le droit applicable (40), le groupe de travail « Article 29 » évoque l’application de l’article 4, paragraphe 1, sous a), de la directive 95/46 dans la situation suivante : « Une plateforme de réseau social a son siège dans un pays tiers et un établissement dans un État membre. L’établissement définit et applique les politiques relatives au traitement des données à caractère personnel concernant les résidents de l’[Union]. Le réseau social cible activement les résidents de tous les États membres de l’[Union], qui représentent une part importante de ses clients et de ses recettes. Il installe également des cookies sur les ordinateurs des utilisateurs dans l’[Union]. Dans ce cas, conformément à l’article 4, paragraphe 1, [sous] a), [de la directive 95/46,] le droit applicable en matière de protection des données est celui de l’État membre de l’[Union] sur le territoire duquel l’entreprise est établie. Peu importe que le réseau social recoure ou non à des moyens situés sur le territoire d’autres États membres, puisque tous les traitements sont effectués dans le cadre des activités de l’établissement unique et que la directive exclut l’application cumulée des points a) et c) de l’article 4, paragraphe 1[, de cette directive] » (41). Le groupe de travail « Article 29 » précise également que, « en application de l’article 28, paragraphe 6, [de ladite directive,] l’autorité de contrôle de l’État membre sur le territoire duquel le réseau social est établi est tenue de coopérer avec les autres autorités de contrôle, par exemple pour traiter les demandes ou les réclamations émanant de résidents d’autres États membres de l’[Union] » (42).

82.      Le cas de figure exposé au point précédent ne pose guère de difficulté en ce qui concerne la détermination du droit national applicable. En effet, dans cette hypothèse, la société mère ne disposant que d’un seul établissement au sein de l’Union, c’est le droit de l’État membre dans lequel cet établissement est situé qui s’applique au traitement des données à caractère personnel en cause.

83.      La situation devient plus complexe lorsque, à l’instar de ce qui est le cas dans le cadre de la présente affaire, une société établie dans un État tiers, telle que Facebook Inc., déploie ses activités au sein de l’Union, d’une part, par l’intermédiaire d’un établissement qui est désigné par cette société comme ayant la responsabilité exclusive de la collecte et du traitement des données à caractère personnel au sein du groupe Facebook sur l’ensemble du territoire de l’Union (Facebook Ireland) et, d’autre part, par l’intermédiaire d’autres établissements, dont un est situé en Allemagne (Facebook Germany) et est chargé, selon les indications figurant dans la décision de renvoi, de la promotion et de la vente d’espaces publicitaires et d’autres activités de marketing destinées aux habitants de cet État membre (43).

84.      Dans une telle situation, l’autorité de contrôle allemande est-elle compétente pour exercer des pouvoirs d’intervention tendant à ce qu’il soit mis fin au traitement de données à caractère personnel dont Facebook Inc. et Facebook Ireland sont conjointement responsables ?

85.      Afin de répondre à cette question, il convient de déterminer si l’autorité de contrôle allemande est fondée à appliquer son droit national à un tel traitement.

86.      Il découle, à cet égard, de l’article 4, paragraphe 1, sous a), de la directive 95/46 qu’un traitement de données effectué dans le cadre des activités d’un établissement est régi par le droit de l’État membre sur le territoire duquel est situé cet établissement.

87.      La Cour a déjà jugé que, au vu de l’objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, l’expression « dans le cadre des activités d’un établissement » figurant à l’article 4, paragraphe 1, sous a), de ladite directive ne saurait recevoir une interprétation restrictive (44).

88.      L’applicabilité d’une loi de transposition d’un État membre à un traitement de données à caractère personnel suppose la réunion de deux conditions. Premièrement, le responsable de ce traitement doit disposer d’un « établissement » dans cet État membre. Deuxièmement, ledit traitement doit avoir lieu « dans le cadre des activités » de cet établissement.

89.      S’agissant, en premier lieu, de la notion d’« établissement » au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46, la Cour a déjà précisé, en interprétant largement et de manière souple cette notion, qu’elle s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable (45), excluant ainsi toute approche formaliste (46).

90.      Dans cette perspective, il convient d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans l’État membre en question (47), en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (48). Il n’est, à cet égard, pas contesté que Facebook Germany, dont le siège est situé à Hambourg (Allemagne), se livre à l’exercice effectif et réel d’une activité au moyen d’une installation stable en Allemagne. Elle constitue, dès lors, un « établissement » au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.

91.      S’agissant, en second lieu, du point de savoir si le traitement de données à caractère personnel concerné est effectué « dans le cadre des activités » de cet établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46, la Cour a déjà rappelé que cette disposition exige que le traitement de données à caractère personnel en question soit effectué non pas « par » l’établissement concerné lui-même, mais uniquement « dans le cadre des activités » de celui-ci (49).

92.      Ainsi qu’il ressort de l’avis 8/2010, « la notion de “cadre des activités”, et non la localisation des données, est un facteur déterminant pour la définition du droit applicable. Cette notion suppose que le droit applicable n’est pas celui de l’État membre dans lequel le responsable du traitement est établi, mais celui de l’État dans lequel un établissement du responsable du traitement participe à des activités [liées au traitement de données à caractère personnel ou impliquant ce traitement]. Dans ce contexte, le degré de participation du ou des établissements aux activités dans le cadre desquelles des données à caractère personnel sont traitées revêt une importance capitale. De plus, il convient de prendre en considération la nature des activités des établissements, ainsi que la nécessité d’assurer la protection effective des droits des personnes. Il y a lieu d’adopter une approche fonctionnelle pour analyser ces critères : ce sont davantage le comportement des parties et leur interaction que leur évaluation théorique du droit applicable qui sont déterminants » (50).

93.      Dans l’arrêt du 13 mai 2014, Google Spain et Google (51), la Cour a eu à vérifier le respect de cette condition. Elle en a retenu une interprétation large en considérant que le traitement de données à caractère personnel qui est fait pour les besoins du service d’un moteur de recherche tel que Google Search, lequel est exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre, est effectué « dans le cadre des activités » de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ledit moteur (52). En effet, la Cour a relevé que, « dans de telles circonstances, les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’État membre concerné sont indissociablement liées dès lors que les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l’accomplissement de ces activités » (53). La Cour a ajouté, au soutien de sa solution, que l’affichage de données à caractère personnel sur une page de résultats d’une recherche « étant accompagné, sur la même page, de celui de publicités liées aux termes de recherche, force est de constater que le traitement de données à caractère personnel en question est effectué dans le cadre de l’activité publicitaire et commerciale de l’établissement du responsable du traitement sur le territoire d’un État membre, en l’occurrence le territoire espagnol » (54).

94.      Or, selon les indications contenues dans la décision de renvoi, Facebook Germany est chargée de la promotion et de la vente d’espaces publicitaires et d’autres activités de marketing destinées aux habitants d’Allemagne. Dans la mesure où le traitement de données à caractère personnel qui est en cause au principal, lequel consiste dans la collecte de telles données par l’intermédiaire de cookies installés sur les ordinateurs des visiteurs de pages fan, a notamment pour but de permettre à Facebook de mieux cibler les publicités qu’elle diffuse, un tel traitement doit être considéré comme ayant lieu dans le cadre des activités auxquelles se livre Facebook Germany en Allemagne. À cet égard, compte tenu de ce qu’un réseau social tel que Facebook génère la plupart de ses revenus grâce à la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent (55), il y a lieu de considérer que les activités des responsables conjoints du traitement que sont Facebook Inc. et Facebook Ireland sont indissociablement liées à celles d’un établissement tel que Facebook Germany. Par ailleurs, à la suite du traitement de données à caractère personnel permis par l’installation d’un cookie sur l’ordinateur d’une personne visitant une page appartenant au nom de domaine Facebook.com, la consultation d’une page Facebook va de pair avec l’affichage, sur la même page web, de publicités ayant trait aux centres d’intérêt de ce visiteur. Il y a lieu d’en déduire que le traitement de données à caractère personnel en question est effectué dans le cadre de l’activité publicitaire et commerciale de l’établissement du responsable du traitement sur le territoire d’un État membre, en l’occurrence sur le territoire allemand.

95.      La circonstance que le groupe Facebook, à la différence de ce qui était le cas dans le cadre de l’affaire ayant donné lieu à l’arrêt du 13 mai 2014, Google Spain et Google (56), dispose d’un siège européen, en l’occurrence en Irlande, ne s’oppose pas à ce que l’interprétation de l’article 4, paragraphe 1, sous a), de la directive 95/46 que la Cour a retenue dans cet arrêt soit transposée dans le cadre de la présente affaire. Dans ledit arrêt, la Cour a exprimé la volonté d’éviter qu’un traitement de données à caractère personnel soit soustrait aux obligations et aux garanties prévues par cette directive. Il a été avancé dans le cadre de la présente procédure que le problème lié à un tel contournement ne se poserait pas ici, car le responsable du traitement est établi dans un État membre, en l’occurrence en Irlande. Il conviendrait donc, selon cette logique, d’interpréter l’article 4, paragraphe 1, sous a), de ladite directive comme imposant à ce responsable du traitement de ne tenir compte que d’une seule législation nationale et de ne dépendre que d’une seule autorité de contrôle, à savoir la législation et l’autorité irlandaises.

96.      Une telle interprétation est cependant contraire au libellé de l’article 4, paragraphe 1, sous a), de la directive 95/46 ainsi qu’à la genèse de cette disposition. En effet, comme le gouvernement belge l’a relevé à juste titre lors de l’audience, cette directive n’institue ni un mécanisme de guichet unique ni le principe du pays d’origine (57). Il ne faut pas, à cet égard, confondre ce qui relevait de l’objectif politique qui était recherché par la Commission européenne dans sa proposition de directive et la solution qui a été finalement entérinée par le Conseil de l’Union européenne. Dans ladite directive, ce législateur a fait le choix de ne pas accorder la priorité à l’application du droit national de l’État membre dans lequel l’établissement principal du responsable du traitement est situé. Le résultat qui est celui de la directive 95/46 traduit la volonté des États membres de conserver leur compétence d’exécution nationale. En ne retenant pas le principe du pays d’origine, le législateur de l’Union a permis à chaque État membre d’appliquer sa propre législation nationale et a ainsi rendu possible le cumul de législations nationales applicables (58).

97.      Avec l’article 4, paragraphe 1, sous a), de ladite directive, le législateur de l’Union a délibérément choisi de permettre, en cas de présence de plusieurs établissements d’un responsable du traitement au sein de l’Union, que plusieurs législations nationales relatives à la protection des données à caractère personnel puissent s’appliquer au traitement de données à caractère personnel des résidents des États membres concernés afin de garantir une protection effective des droits de ces derniers au sein de ces États membres.

98.      Cela est confirmé par le considérant 19 de la directive 95/46 qui précise que, « lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux ».

99.      Nous déduisons donc de l’article 4, paragraphe 1, sous a), de la directive 95/46, dont la seconde phrase précise, dans la lignée de ce qu’indique le considérant 19 de cette directive, que, si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable, que la structure d’un groupe caractérisée par la présence d’établissements du responsable du traitement dans plusieurs États membres ne doit pas avoir pour effet de permettre à ce dernier de contourner le droit de l’État membre dans le ressort duquel chacun de ces établissements est établi.

100. Nous ajoutons que l’interprétation favorable à l’application exclusive du droit de l’État membre dans lequel se situe le siège européen d’un groupe international ne peut plus, à notre avis, être défendue depuis l’arrêt du 28 juillet 2016, Verein für Konsumenteninformation (59). Dans cet arrêt, la Cour a décidé que le traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre. La Cour a tranché en ce sens malgré le fait qu’Amazon, tout comme Facebook, est une entreprise disposant non seulement d’un siège européen dans un État membre, mais ayant également une présence physique dans plusieurs États membres. Dans une telle hypothèse également, il convient d’examiner si le traitement des données s’inscrit dans le cadre des activités d’un établissement dans un État membre autre que celui où se situe le siège européen du responsable du traitement.

101. Comme le relève le gouvernement belge, il est donc parfaitement possible qu’un établissement autre que celui du siège européen d’une entreprise soit pertinent pour l’application de l’article 4, paragraphe 1, sous a), de la directive 95/46.

102. Dans le cadre du système mis en place par cette directive, l’endroit où s’effectue le traitement, de même que l’endroit où le responsable du traitement a établi son siège au sein de l’Union ne sont donc pas déterminants, en cas de présence de plusieurs établissements de ce responsable au sein de l’Union, pour identifier le droit national applicable à un traitement de données et pour conférer à une autorité de contrôle la compétence pour exercer ses pouvoirs d’intervention.

103. À cet égard, la Cour ne devrait pas, à notre avis, anticiper le régime qui a été instauré par le règlement général sur la protection des données (60), lequel sera applicable à partir du 25 mai 2018. Dans le cadre de ce régime, un mécanisme de guichet unique est institué. Cela signifie qu’un responsable du traitement effectuant des traitements transfrontaliers, tel que Facebook, ne disposera que d’une seule autorité de contrôle en tant qu’interlocuteur, à savoir l’autorité de contrôle chef de file, qui sera celle du lieu où se situe l’établissement principal du responsable du traitement. Toutefois, ce régime ainsi que le mécanisme sophistiqué de coopération qu’il instaure n’est pas encore en application.

104. Certes, dans la mesure où Facebook a choisi d’installer son siège principal dans l’Union en Irlande, l’autorité de contrôle de cet État membre est amenée à jouer un rôle important pour vérifier si Facebook respecte les règles issues de la directive 95/46. Pour autant, comme cette autorité le reconnaît elle-même, cela ne signifie pas qu’elle dispose, dans le cadre du système actuel fondé sur cette directive, d’une compétence exclusive concernant les activités de Facebook au sein de l’Union (61).

105. L’ensemble de ces éléments nous amènent à considérer, à l’instar du gouvernement belge, du gouvernement néerlandais et de l’ULD, que l’interprétation que la Cour a retenue de l’article 4, paragraphe 1, sous a), de la directive 95/46 dans son arrêt du 13 mai 2014, Google Spain et Google (62), est également applicable dans une situation, telle que celle en cause au principal, où un responsable du traitement est établi dans un État membre de l’Union et dispose de plusieurs établissements au sein de l’Union.

106. Partant, sur la base des indications fournies par la juridiction de renvoi quant à la nature des activités effectuées par Facebook Germany, il y a lieu de considérer que le traitement de données à caractère personnel litigieux est réalisé dans le cadre des activités de cet établissement et que l’article 4, paragraphe 1, sous a), de la directive 95/46 permet, dans une situation telle que celle en cause au principal, l’application du droit allemand relatif à la protection des données à caractère personnel (63).

107. L’autorité de contrôle allemande est donc compétente pour appliquer son droit national au traitement de données à caractère personnel en cause au principal.

108. Il résulte de l’article 28, paragraphe 1, de cette directive que chaque autorité de contrôle mise en place par un État membre veille au respect, sur le territoire de cet État membre, des dispositions adoptées par les États membres en application de ladite directive.

109. En vertu de l’article 28, paragraphe 3, de la directive 95/46, ces autorités de contrôle disposent notamment de pouvoirs d’investigation, tels que le pouvoir de recueillir toutes les informations nécessaires à l’accomplissement de leur mission de contrôle, et de pouvoirs effectifs d’intervention, tels que ceux d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou d’adresser un avertissement ou une admonestation au responsable du traitement. Ces pouvoirs d’intervention peuvent comprendre celui de sanctionner le responsable du traitement de données en lui infligeant une amende (64).

110. L’article 28, paragraphe 6, de la directive 95/46 est, quant à lui, rédigé comme suit :

« Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile. »

111. Eu égard au fait que le droit de l’État membre dont elle relève est applicable au traitement de données à caractère personnel en cause au principal, l’autorité de contrôle allemande est en mesure d’exercer l’intégralité de ses pouvoirs d’intervention afin de garantir que le droit allemand soit appliqué et respecté par Facebook sur le territoire allemand. Une telle conclusion découle de l’arrêt du 1er octobre 2015, Weltimmo (65), qui a permis de préciser la portée de l’article 28, paragraphes 1, 3 et 6, de la directive 95/46.

112. L’enjeu principal de cette affaire était de déterminer la compétence de l’autorité de contrôle hongroise pour infliger une amende à un prestataire de services établi dans un autre État membre, à savoir la Slovaquie. La détermination de cette compétence devait passer par l’examen préalable du point de savoir si, par application du critère posé par l’article 4, paragraphe 1, sous a), de la directive 95/46, le droit hongrois était applicable ou non.

113. Dans la première partie de sa réponse, la Cour a fourni à la juridiction de renvoi un certain nombre d’indications permettant à cette dernière d’établir l’existence d’un établissement du responsable du traitement en Hongrie. Elle a, par ailleurs, considéré que ce traitement était réalisé dans le cadre des activités de cet établissement et que l’article 4, paragraphe 1, sous a), de la directive 95/46 permettait, dans une situation telle que celle en cause dans cette affaire, l’application du droit hongrois relatif à la protection des données à caractère personnel.

114. Cette première partie de la réponse de la Cour était donc de nature à confirmer la compétence de l’autorité de contrôle hongroise pour infliger, en application du droit hongrois, une amende à un prestataire de services établi dans un autre État membre, en l’occurrence Weltimmo.

115. Autrement dit, à partir du moment où, en application du critère figurant à l’article 4, paragraphe 1, sous a), de la directive 95/46, le droit hongrois pouvait être reconnu comme étant le droit national applicable, l’autorité de contrôle hongroise disposait de la compétence pour assurer le respect de ce droit en cas d’atteinte à celui-ci par un responsable du traitement, bien que ce dernier soit immatriculé en Slovaquie. Par le jeu de cette disposition de la directive 95/46, il pouvait être considéré que Weltimmo, bien qu’immatriculée en Slovaquie, était également établie en Hongrie. La présence en Hongrie d’un établissement du responsable du traitement exerçant des activités dans le cadre desquelles ce traitement était effectué constituait ainsi le point d’ancrage nécessaire à la reconnaissance de l’applicabilité du droit hongrois et, par corollaire, de la compétence de l’autorité de contrôle hongroise pour assurer le respect de ce droit sur le territoire hongrois.

116. La seconde partie de la réponse de la Cour, dans laquelle celle-ci a été amenée à mettre en exergue le principe de l’application territoriale des pouvoirs de chaque autorité de contrôle, a été énoncée seulement à titre subsidiaire, à savoir « dans l’hypothèse où l’autorité de contrôle hongroise considérerait que Weltimmo dispose, non pas en Hongrie, mais dans un autre État membre, d’un établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46, exerçant des activités dans le cadre desquelles le traitement des données à caractère personnel [...] est effectué » (66). Il s’agissait donc de la réponse à la question de savoir si, « dans le cas où l’autorité de contrôle hongroise parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel est non pas le droit hongrois, mais le droit d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 devrait être interprété en ce sens que cette autorité ne pourrait exercer que les pouvoirs prévus à l’article 28, paragraphe 3, de cette directive, conformément au droit de cet autre État membre, et ne pourrait infliger de sanctions » (67).

117. Dans cette seconde partie de sa réponse, la Cour a, par conséquent, précisé l’étendue tant matérielle que territoriale des pouvoirs qu’une autorité de contrôle peut exercer dans une situation particulière, à savoir celle dans laquelle le droit de l’État membre dont relève cette autorité de contrôle n’est pas applicable.

118. Dans une telle hypothèse, la Cour a considéré que « les pouvoirs de [ladite] autorité ne comprennent pas nécessairement l’ensemble de ceux dont elle est investie conformément au droit de l’État membre dont elle relève » (68). Ainsi, « cette autorité peut exercer ses pouvoirs d’investigation indépendamment du droit applicable et avant même de savoir quel est le droit national qui est applicable au traitement en cause. Cependant, si elle parvient à la conclusion que le droit d’un autre État membre est applicable, elle ne saurait imposer des sanctions en dehors du territoire de l’État membre dont elle relève. Dans une telle situation, il lui appartient, en exécution de l’obligation de coopération que prévoit l’article 28, paragraphe 6, de [la directive 95/46], de demander à l’autorité de contrôle de cet autre État membre de constater une éventuelle infraction à ce droit et d’imposer des sanctions si ce dernier le permet, en s’appuyant, le cas échéant, sur les informations qu’elle lui aura transmises » (69).

119. Nous tirons de l’arrêt du 1er octobre 2015, Weltimmo (70), les enseignements suivants pour la présente affaire.

120. À la différence de l’hypothèse sur laquelle la Cour a bâti son raisonnement relatif aux pouvoirs des autorités de contrôle dans cette seconde partie de l’arrêt du 1er octobre 2015, Weltimmo (71), l’affaire qui nous occupe correspond à une situation, analogue à celle correspondant à la première partie de cet arrêt, dans laquelle, comme nous l’avons précédemment indiqué, le droit national applicable est bien celui de l’État membre dont relève l’autorité de contrôle qui exerce ses pouvoirs d’intervention, et ce en raison de la présence sur le territoire de cet État membre d’un établissement du responsable du traitement dont l’activité est indissociablement liée à ce traitement. La présence en Allemagne de cet établissement constitue le point d’ancrage nécessaire à l’application du droit allemand au traitement des données à caractère personnel litigieux.

121. Une fois cette condition préalable remplie, l’autorité de contrôle allemande doit être reconnue compétente pour assurer le respect sur le territoire allemand des règles en matière de protection des données à caractère personnel en mettant en œuvre l’intégralité des pouvoirs dont elle dispose en vertu des dispositions allemandes transposant l’article 28, paragraphe 3, de la directive 95/46. De tels pouvoirs peuvent comprendre une injonction consistant à interdire temporairement ou définitivement un traitement.

122. S’agissant du point de savoir quelle entité doit être destinataire d’une telle mesure, deux solutions apparaissent envisageables.

123. La première solution consiste à considérer, au terme d’une lecture stricte du champ d’application territorial des pouvoirs d’intervention dont disposent les autorités de contrôle, que celles-ci peuvent uniquement exercer ces pouvoirs à l’encontre de l’établissement du responsable du traitement qui est situé sur le territoire de l’État membre dont elles relèvent. Si, comme c’est le cas dans le cadre de la présente affaire, cet établissement, en l’occurrence Facebook Germany, n’est pas le responsable du traitement et ne peut donc pas donner suite lui-même à une demande de l’autorité de contrôle tendant à ce qu’il soit mis fin à un traitement de données, il devra transmettre cette demande au responsable du traitement afin que ce dernier puisse l’exécuter.

124. La seconde solution consiste, en revanche, à considérer que, puisque le responsable du traitement est le seul qui exerce une influence déterminante sur le traitement de données en cause, c’est à lui que devrait être adressée directement une mesure portant injonction de mettre fin à un tel traitement.

125. À notre avis, cette seconde solution devrait prévaloir dans la mesure où elle est cohérente avec le rôle fondamental que le responsable du traitement occupe dans le cadre du système mis en place par la directive 95/46 (72). Une telle solution, en évitant de passer obligatoirement par l’intermédiaire que constitue l’établissement qui exerce des activités dans le cadre desquelles un traitement est effectué, est de nature à garantir une application immédiate et effective des règles nationales relatives à la protection des données à caractère personnel. Par ailleurs, l’autorité de contrôle qui adresse directement à un responsable du traitement qui n’est pas établi sur le territoire de l’État membre dont elle relève, tel que Facebook Inc. ou Facebook Ireland, une mesure portant injonction de mettre fin à un traitement de données reste dans les limites de sa compétence, laquelle consiste à assurer que ce traitement soit conforme au droit de cet État sur le territoire de celui-ci. Peu importe, à cet égard, que le ou les responsables du traitement soient établis dans un autre État membre ou bien dans un État tiers.

126. Nous précisions également, en lien avec notre proposition de réponse aux première et deuxième questions préjudicielles, que, eu égard à l’objectif visant à assurer une protection la plus complète possible des droits dont disposent les personnes qui consultent les pages fan, la possibilité pour l’ULD d’exercer ses pouvoirs d’intervention à l’encontre de Facebook Inc. et de Facebook Ireland n’exclut nullement, à nos yeux, la prise de mesures à l’égard de la Wirtschaftsakademie et ne saurait donc, en tant que telle, affecter la légalité de ces dernières (73).

127. Il découle des développements qui précèdent que l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel tel que celui en cause dans le litige au principal est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsqu’une entreprise exploitant un réseau social crée dans cet État membre une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par cette entreprise et dont l’activité vise les habitants de cet État membre.

128. Par ailleurs, dans une situation telle que celle en cause au principal, où le droit national applicable au traitement des données à caractère personnel concerné est celui de l’État membre dont relève une autorité de contrôle, l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 doit être interprété en ce sens que cette autorité de contrôle peut exercer l’intégralité des pouvoirs effectifs d’intervention qui lui ont été conférés conformément à l’article 28, paragraphe 3, de cette directive à l’encontre du responsable du traitement, y compris lorsque ce responsable est établi dans un autre État membre ou bien dans un État tiers.

C.      Sur les cinquième et sixième questions préjudicielles

129. Par ses cinquième et sixième questions préjudicielles, qu’il convient, selon nous, d’examiner ensemble, la juridiction de renvoi demande, en substance, à la Cour de dire pour droit si l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 doit être interprété en ce sens que, dans des circonstances telles que celles en cause au principal, l’autorité de contrôle relevant de l’État membre dans lequel est situé l’établissement du responsable du traitement (Facebook Germany) est habilitée à exercer ses pouvoirs d’intervention de manière autonome et sans être tenue d’appeler préalablement l’autorité de contrôle de l’État membre dans lequel est situé le responsable du traitement (Facebook Ireland) à exercer ses pouvoirs.

130. Dans sa décision de renvoi, le Bundesverwaltungsgericht (Cour administrative fédérale) explique le lien entre ces deux questions préjudicielles et le contrôle de la légalité de l’injonction qu’il doit effectuer dans le cadre du litige au principal. Cette juridiction indique ainsi, en substance, que prononcer une injonction à l’encontre de la Wirtschaftsakademie pourrait être considéré comme relevant d’une erreur d’appréciation de la part de l’ULD si l’article 28, paragraphe 6, de la directive 95/46 devait être interprété en ce sens qu’il prévoit, dans des circonstances telles que celles du litige au principal, une obligation pour une autorité de contrôle telle que l’ULD de demander à l’autorité de contrôle d’un autre État membre, en l’occurrence l’autorité de contrôle en matière de protection des données, d’exercer ses pouvoirs en cas de divergence d’appréciation entre ces deux autorités quant à la conformité du traitement des données effectué par Facebook Ireland avec les règles issues de la directive 95/46.

131. Ainsi que la Cour l’a jugé dans son arrêt du 1er octobre 2015, Weltimmo (74), dans l’hypothèse où le droit applicable au traitement des données à caractère personnel concerné est non pas celui de l’État membre dont relève l’autorité de contrôle souhaitant exercer ses pouvoirs d’intervention, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 doit être interprété en ce sens que cette autorité ne saurait infliger de sanctions sur la base du droit de l’État membre dont elle relève au responsable du traitement qui n’est pas établi sur le territoire de cet État membre, mais devrait, en application de l’article 28, paragraphe 6, de cette directive demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir (75).

132. Dans une telle situation, l’autorité de contrôle du premier État membre perd sa compétence pour exercer son pouvoir de sanction à l’égard d’un responsable du traitement qui est établi dans un autre État membre. Elle doit alors, en exécution de l’obligation de coopération que prévoit l’article 28, paragraphe 6, de ladite directive, demander à l’autorité de contrôle de cet autre État membre de constater une éventuelle infraction au droit dudit État et d’imposer des sanctions si ce dernier le permet, en s’appuyant, le cas échéant, sur les informations qu’elle lui aura transmises (76).

133. Comme nous l’avons précédemment indiqué, la situation en cause dans la présente affaire est tout autre puisque le droit applicable est bien celui de l’État membre dont relève l’autorité de contrôle qui souhaite exercer ses pouvoirs d’intervention. Dans cette situation, l’article 28, paragraphe 6, de la directive 95/46 doit être interprété en ce sens qu’il n’impose pas à cette autorité de contrôle de demander à l’autorité de contrôle relevant de l’État membre dans lequel le responsable du traitement est établi d’exercer ses pouvoirs d’intervention à l’encontre de ce dernier.

134. Nous ajoutons que, conformément à ce que prévoit l’article 28, paragraphe 1, seconde phrase, de la directive 95/46, l’autorité de contrôle qui est compétente pour exercer ses pouvoirs d’intervention à l’encontre d’un responsable du traitement établi dans un État membre autre que celui dont elle relève exerce en toute indépendance les missions dont elle est investie.

135. Ainsi que cela résulte de nos développements précédents, la directive 95/46 ne prévoit ni le principe du pays d’origine ni un mécanisme de guichet unique tel que celui figurant dans le règlement 2016/679. Un responsable du traitement qui dispose d’établissements dans plusieurs États membres est, par conséquent, pleinement soumis au contrôle de plusieurs autorités de contrôle lorsque les droits des États membres dont relèvent ces autorités sont applicables. Si la concertation et la coopération entre ces autorités de contrôle sont bien entendu souhaitables, rien n’oblige cependant une autorité de contrôle dont la compétence est reconnue à aligner sa position sur celle retenue par une autre autorité de contrôle.

136. Nous déduisons de ce qui précède que l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 doit être interprété en ce sens que, dans des circonstances telles que celles en cause au principal, l’autorité de contrôle relevant de l’État membre dans lequel est situé l’établissement du responsable du traitement est habilitée à exercer ses pouvoirs d’intervention à l’encontre de ce responsable de manière autonome et sans être tenue d’appeler préalablement l’autorité de contrôle de l’État membre dans lequel est situé ledit responsable à exercer ses pouvoirs.

III. Conclusion

137. Eu égard aux considérations qui précèdent, nous proposons de répondre aux questions préjudicielles posées par le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne) de la manière suivante :

1)      L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que modifiée par le règlement (CE) n° 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003, doit être interprété en ce sens que constitue un responsable du traitement, au sens de cette disposition, l’administrateur d’une page fan d’un réseau social tel que Facebook pour ce qui concerne la phase du traitement de données à caractère personnel consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page en vue de l’établissement de statistiques d’audience relatives à ladite page.

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46, telle que modifiée par le règlement n° 1882/2003, doit être interprété en ce sens qu’un traitement de données à caractère personnel tel que celui en cause au principal est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsqu’une entreprise exploitant un réseau social crée dans cet État membre une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par cette entreprise et dont l’activité vise les habitants de cet État membre.

3)      Dans une situation telle que celle en cause au principal, où le droit national applicable au traitement des données à caractère personnel concerné est celui de l’État membre dont relève une autorité de contrôle, l’article 28, paragraphes 1, 3 et 6, de la directive 95/46, telle que modifiée par le règlement n° 1882/2003, doit être interprété en ce sens que cette autorité de contrôle peut exercer l’intégralité des pouvoirs effectifs d’intervention qui lui ont été conférés conformément à l’article 28, paragraphe 3, de cette directive à l’encontre du responsable du traitement, y compris lorsque ce responsable est établi dans un autre État membre ou bien dans un État tiers.

4)      L’article 28, paragraphes 1, 3 et 6 de la directive 95/46, telle que modifiée par le règlement n° 1882/2003, doit être interprété en ce sens que, dans des circonstances telles que celles en cause au principal, l’autorité de contrôle relevant de l’État membre dans lequel est situé l’établissement du responsable du traitement est habilitée à exercer ses pouvoirs d’intervention à l’encontre de ce responsable de manière autonome et sans être tenue d’appeler préalablement l’autorité de contrôle de l’État membre dans lequel est situé ledit responsable à exercer ses pouvoirs.


1      Langue originale : le français.


2      JO 1995, L 281, p. 31.


3      JO 2003, L 284, p. 1, ci‑après la « directive 95/46 ».


4      Ci-après le « groupe de travail “Article 29” ».


5      Ci-après l’« avis 2/2010 ».


6      Avis 2/2010, p. 5.


7      Avis 2/2010, p. 7. Selon les explications fournies par le groupe de travail « Article 29 » dans cet avis, « [c]ette technique fonctionne habituellement comme suit : le fournisseur de réseau publicitaire dépose généralement un cookie traceur sur l’équipement terminal de la personne concernée [...] la première fois qu’elle visite un site contenant une annonce du même réseau. Le cookie est une courte combinaison alphanumérique stockée (et ensuite récupérée) sur l’équipement terminal de la personne concernée par un fournisseur de réseau [...]. Dans le cadre de la publicité comportementale, le cookie permet à ce dernier de reconnaître un visiteur antérieur qui revient sur ce site web ou consulte un autre site partenaire du fournisseur de réseau publicitaire. Ces visites répétées permettront au fournisseur de réseau d’élaborer un profil du visiteur, qui sera utilisé pour lui transmettre des publicités personnalisées ».


8      Avis 1/2010 du groupe de travail « Article 29 », du 16 février 2010, sur les notions de « responsable du traitement » et de « sous-traitant », ci-après l’« avis 1/2010 », p. 25.


9      Ainsi, l’Agencia española de protección de datos (Agence espagnole de protection des données) a annoncé, le 11 septembre 2017, avoir infligé une amende de 1,2 million d’euros à Facebook Inc. Auparavant, la Commission nationale de l’informatique et des libertés (CNIL, France) a décidé, par une délibération du 27 avril 2017, de prononcer à l’encontre des sociétés Facebook Inc. et Facebook Ireland, tenues solidairement, une sanction pécuniaire d’un montant de 150 000 euros.


10      L’article 38, paragraphe 5, du BDSG dispose :


      « Pour garantir le respect de la présente loi et d’autres dispositions relatives à la protection des données, l’autorité de surveillance peut ordonner des mesures visant à remédier aux infractions constatées dans la collecte, le traitement ou l’utilisation de données à caractère personnel ou à des manquements techniques ou organisationnels. En cas d’infractions ou de manquements graves, notamment lorsque ceux-ci représentent un risque particulier d’atteinte au droit à la vie privée, elle peut interdire la collecte, le traitement ou l’utilisation, voire le recours à certaines procédures, lorsqu’il n’est pas remédié aux infractions ou manquements en temps utile, en violation de l’injonction visée dans la première phrase et en dépit de l’application d’une astreinte. Elle peut demander le renvoi de l’agent de protection des données, s’il ne possède pas l’expertise et la fiabilité nécessaires pour accomplir ses tâches. »


11      L’article 12 de la loi sur les médias électroniques est libellé comme suit :


« (1)      Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel aux fins de la mise à disposition de médias électroniques que si la présente loi ou un autre instrument juridique qui vise expressément les médias électroniques l’autorise ou si l’utilisateur y a consenti.


[...]


(3)      Sauf dispositions contraires, la législation en vigueur régissant la protection des données à caractère personnel doit être appliquée même si les données ne font pas l’objet d’un traitement automatisé. »


12      Cette disposition est relative au traitement de données à caractère personnel en sous-traitance.


13      En vertu de cette disposition, « on entend par organisme responsable toute personne ou tout organisme qui collecte, traite ou utilise des données à caractère personnel pour son compte ou par l’intermédiaire d’autrui en sous-traitance ».


14      C‑131/12, EU:C:2014:317.


15      Point 60 de cet arrêt.


16      Selon les définitions indiquées dans l’avis 1/2010, le terme « finalité » désigne « un résultat attendu qui est recherché ou qui guide les actions prévues », et le mot « moyen », « la façon de parvenir à un résultat ou d’arriver à une fin » (p. 13).


17      Ainsi, par exemple, conformément à l’article 6, paragraphe 2, de cette directive, il incombe au responsable du traitement d’assurer le respect des principes relatifs à la qualité des données qui sont énumérés à l’article 6, paragraphe 1, de ladite directive. En vertu des articles 10 et 11 de la directive 95/46, le responsable du traitement est tenu à un devoir d’information à l’égard des personnes concernées par un traitement de données à caractère personnel. En application de l’article 12 de cette directive, le droit d’accès des personnes concernées aux données s’exerce auprès du responsable du traitement. Il en va de même du droit d’opposition prévu à l’article 14 de ladite directive. En vertu de l’article 23, paragraphe 1, de la directive 95/46, les États membres doivent prévoir que « toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de [cette] directive a le droit d’obtenir du responsable du traitement réparation du préjudice subi ». Enfin, les pouvoirs effectifs d’intervention des autorités de contrôle, tels qu’ils sont prévus à l’article 28, paragraphe 3, de cette directive, s’exercent à l’égard des responsables du traitement.


18      C‑131/12, EU:C:2014:317.


19      Voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, points 38 et 83).


20      Voir, notamment, arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 34).


21      Avis 1/2010, p. 10.


22      Facebook Ireland explique ainsi qu’elle introduit régulièrement des fonctions qui sont exclusivement mises à la disposition des personnes concernées dans l’Union et qui sont adaptées pour ces personnes. Dans d’autres cas, Facebook Ireland choisit de ne pas offrir dans l’Union des produits mis à disposition aux États-Unis par Facebook Inc.


23      Voir arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 27).


24      Voir décision de renvoi, point 39.


25      Ce qui importe dans le cadre de la présente affaire n’est pas la détermination des finalités et des moyens du traitement qui fait suite à la transmission à Facebook des données des personnes qui consultent une page fan. Il faut se focaliser sur la phase du traitement qui est en cause ici, à savoir celle de la collecte des données des personnes qui consultent une page fan sans que ces dernières en aient été informées et sans que leur consentement soit dûment recueilli.


26      Il ressort des conditions d’utilisation de Facebook que les statistiques d’audience permettent à l’administrateur d’une page fan de consulter des informations sur son audience cible, afin de pouvoir créer des contenus plus pertinents pour celle-ci. Les statistiques d’audience fournissent à l’administrateur d’une page fan des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres d’intérêt de son audience cible et des informations concernant les achats de son audience cible, notamment son comportement d’achat en ligne, les catégories de produits ou de services qui l’intéressent le plus, ainsi que des données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales et organiser des événements.


27      Voir, en ce sens, avis 1/2010, p. 28.


28      Ibidem, p. 28 : « le faible poids contractuel d’un petit responsable du traitement face à d’importants prestataires de services ne doit pas lui servir de justification pour accepter des clauses et conditions contractuelles contraires à la législation sur la protection des données ».


29      C‑131/12, EU:C:2014:317.


30      Arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 38 ainsi que, en ce sens, point 83).


31      Arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 40).


32      Voir décision de renvoi, point 35.


33      Affaire encore pendante devant la Cour.


34      Ainsi que le relève l’autorité suisse de protection des données : « [b]ien que l’enregistrement et l’analyse à proprement parler des données sont dans la plupart des cas effectués en toute discrétion par le fournisseur de services de webtracking, l’exploitant du site web est tout aussi responsable. Il intègre en effet le code du fournisseur de services de webtracking à son site web et favorise ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de données au profit du fournisseur de services de webtracking. » Voir « Explications concernant le webtracking » du Préposé fédéral à la protection des données et à la transparence (PFPDT), consultables à l’adresse Internet suivante : https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.html?lang=fr


35      Voir, en ce sens, avis 1/2010, p. 24.


36      Avis 1/2010, p. 35.


37      Avis 1/2010, p. 20 et 21.


38      Voir décision de renvoi, point 40.


39      Voir, notamment, arrêt du 31 janvier 2017, Lounani (C‑573/14, EU:C:2017:71, point 56 et jurisprudence citée).


40      Ci-après l’« avis 8/2010 ».


41      Page 31 de cet avis.


42      Page 32 dudit avis.


43      La structure adoptée par des groupes tels que Google et Facebook afin de développer leurs activités à travers le monde rend complexe la détermination du droit national applicable ainsi que l’identification de l’établissement contre lequel les particuliers lésés et les autorités de contrôle peuvent agir. Voir, sur ces questions, Svantesson D., « Enforcing Privacy Across Different Jurisdictions », Enforcing Privacy : Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, p. 195 à 222, spécialement p. 216 à 218.


44      Voir, notamment, arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 25 et jurisprudence citée).


45      Voir, notamment, arrêt du 28 juillet 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, point 75 et jurisprudence citée).


46      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 29).


47      Voir, notamment, arrêt du 28 juillet 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, point 77 et jurisprudence citée).


48      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 29).


49      Voir, notamment, arrêt du 28 juillet 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, point 78 et jurisprudence citée).


50      Page 33 de l’avis 8/2010. Voir également, en ce sens, p. 15 de cet avis.


51      C‑131/12, EU:C:2014:317.


52      Point 55 de cet arrêt.


53      Point 56 dudit arrêt.


54      Point 57 du même arrêt.


55      Voir, en ce sens, avis 5/2009, du 12 juin 2009, sur les réseaux sociaux en ligne du groupe de travail « Article 29 », p. 5.


56      C‑131/12, EU:C:2014:317.


57      Voir, notamment, « Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain », du groupe de travail « Article 29 », du 16 décembre 2015, p. 6 et 7.


58      Voir, dans le sens de l’application potentielle d’une pluralité de droits nationaux, avis 8/2010 : « la référence à “un” établissement signifie que la présence d’un établissement du responsable du traitement sur le territoire d’un État membre entraîne l’applicabilité du droit de cet État, et que la présence d’autres établissements de ce même responsable sur le territoire d’autres États membres peut entraîner l’applicabilité du droit de ces États » (p. 33).


59      C‑191/15, EU:C:2016:612.


60      Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (JO 2016, L 119, p. 1).


61      Voir, à cet égard, Hawkes B., « The Irish DPA and Its Approach to Data Protection », Enforcing Privacy : Regulatory, Legal and Technological Approaches, Springer, Berlin, 2016, p. 441 à 454, spécialement p. 450, note en bas de page 11. L’auteur indique ainsi que « [t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook-Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that : “it ha(d) jurisdiction over the personal data processing activities of [Facebook-Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU” ».


62      C‑131/12, EU:C:2014:317.


63      Voir, selon une logique comparable, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 May 2017, dans lequel ces autorités déclarent : « [...] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non-users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice [...], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non-users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are “inextricably linked” to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC. »


64      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 49).


65      C‑230/14, EU:C:2015:639.


66      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 42).


67      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 43).


68      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 55).


69      Voir arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 57).


70      C‑230/14, EU:C:2015:639.


71      C‑230/14, EU:C:2015:639.


72      Voir, à cet égard, point 44 des présentes conclusions.


73      Voir, également, points 73 à 77 des présentes conclusions.


74      C‑230/14, EU:C:2015:639.


75      Arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 60).


76      Arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, point 57).