Language of document : ECLI:EU:C:2018:388

ARRÊT DE LA COUR (grande chambre)

5 juin 2018 (*)

« Renvoi préjudiciel – Directive 95/46/CE – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Injonction visant à désactiver une page Facebook (fan page) permettant de collecter et de traiter certaines données liées aux visiteurs de cette page – Article 2, sous d) – Responsable du traitement de données à caractère personnel – Article 4 – Droit national applicable – Article 28 – Autorités nationales de contrôle – Pouvoirs d’intervention de ces autorités »

Dans l’affaire C‑210/16,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), par décision du 25 février 2016, parvenue à la Cour le 14 avril 2016, dans la procédure

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contre

Wirtschaftsakademie Schleswig-Holstein GmbH,

en présence de :

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. A. Tizzano (rapporteur), vice‑président, MM. M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský et E. Levits, présidents de chambre, MM. E. Juhász, A. Borg Barthet, F. Biltgen, Mme K. Jürimäe, MM. C. Lycourgos, M. Vilaras et E. Regan, juges,

avocat général : M. Y. Bot,

greffier : Mme C. Strömholm, administrateur,

vu la procédure écrite et à la suite de l’audience du 27 juin 2017,

considérant les observations présentées :

–        pour l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, par Mes U. Karpenstein et M. Kottmann, Rechtsanwälte,

–        pour Wirtschaftsakademie Schleswig-Holstein GmbH, par Me C. Wolff, Rechtsanwalt,

–        pour Facebook Ireland Ltd, par Mes C. Eggers, H.-G. Kamann et M. Braun, Rechtsanwälte, ainsi que par Me I. Perego, avvocato,

–        pour le gouvernement allemand, par M. J. Möller, en qualité d’agent,

–        pour le gouvernement belge, par Mmes L. Van den Broeck et C. Pochet ainsi que par MM. P. Cottin et J.-C. Halleux, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil ainsi que par Mme L. Březinová, en qualité d’agents,

–        pour l’Irlande, par Mmes M. Browne, L. Williams, E. Creedon et G. Gilmore ainsi que par M. A. Joyce, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

–        pour le gouvernement néerlandais, par Mmes C. S. Schillemans et M. K. Bulterman, en qualité d’agents,

–        pour le gouvernement finlandais, par M. J. Heliskoski, en qualité d’agent,

–        pour la Commission européenne, par MM. H. Krämer et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 24 octobre 2017,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2        Cette demande a été présentée dans le cadre d’un litige opposant l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du Schleswig-Holstein, Allemagne) (ci‑après l’« ULD ») à Wirtschaftsakademie Schleswig-Holstein GmbH, société de droit privé spécialisée dans le domaine de l’éducation (ci‑après « Wirtschaftsakademie »), au sujet de la légalité d’une injonction faite par l’ULD à cette dernière de désactiver sa page fan hébergée sur le site du réseau social Facebook (ci-après « Facebook »).

 Le cadre juridique

 Le droit de l’Union

3        Les considérants 10, 18, 19 et 26 de la directive 95/46 énoncent :

« (10)      considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit [de l’Union] ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans [l’Union] ;

[...]

(18)      considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans [l’Union] respecte la législation de l’un des États membres ; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État ;

(19)      considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux ;

[...]

(26)      considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; […] »

4        L’article 1er de la directive 95/46, intitulé « Objet de la directive », prévoit :

« 1.      Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

2.      Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »

5        L’article 2 de cette directive, intitulé « Définitions », est libellé comme suit :

« Aux fins de la présente directive, on entend par :

[...]

b)      “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

[...]

d)      “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou [de l’Union], le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou [de l’Union] ;

e)      [“sous-traitant”] : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

f)      “tiers” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;

[...] »

6        L’article 4 de ladite directive, intitulé « Droit national applicable », énonce, à son paragraphe 1 :

« Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

a)      le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;

b)      le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public ;

c)      le responsable du traitement n’est pas établi sur le territoire de [l’Union] et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de [l’Union]. »

7        L’article 17 de la directive 95/46, intitulé « Sécurité des traitements », dispose, à ses paragraphes 1 et 2 :

« 1.      Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2.      Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures. »

8        L’article 24 de cette directive, intitulé « Sanctions », prévoit :

« Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive. »

9        L’article 28 de ladite directive, intitulé « Autorité de contrôle », est libellé comme suit :

« 1.      Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2.      Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.

3.      Chaque autorité de contrôle dispose notamment :

–        de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

–        de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

–        du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

[...]

6.      Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

[...] »

 Le droit allemand

10      L’article 3, paragraphe 7, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), dans sa version applicable aux faits au principal (ci-après le « BDSG »), est libellé comme suit :

« On entend par organisme responsable toute personne ou tout organisme qui collecte, traite ou utilise des données à caractère personnel pour son compte ou par l’intermédiaire d’autrui en sous-traitance. »

11      L’article 11 du BDSG, intitulé « Collecte, traitement ou utilisation de données à caractère personnel par l’intermédiaire d’autrui en sous-traitance », est ainsi rédigé :

« (1)      Si des données à caractère personnel sont collectées, traitées ou utilisées par l’intermédiaire d’autres organismes en sous-traitance, le responsable du traitement en sous-traitance est responsable du respect des dispositions de la présente loi et d’autres dispositions relatives à la protection des données. [...]

(2)      Le sous-traitant doit être rigoureusement choisi en tenant particulièrement compte du caractère approprié des mesures techniques et organisationnelles qu’il a prises. La sous-traitance requiert la forme écrite, étant entendu qu’il convient en particulier de déterminer en détail : [...]

Le responsable du traitement en sous-traitance doit s’assurer du respect des mesures techniques et organisationnelles prises par le sous-traitant avant le début du traitement des données, puis de manière régulière. Le résultat doit être consigné.

[...] »

12      L’article 38, paragraphe 5, du BDSG dispose :

« Pour garantir le respect de la présente loi et d’autres dispositions relatives à la protection des données, l’autorité de surveillance peut ordonner des mesures visant à remédier aux infractions constatées dans la collecte, le traitement ou l’utilisation de données à caractère personnel ou à des manquements techniques ou organisationnels. En cas d’infractions ou de manquements graves, notamment lorsque ceux-ci représentent un risque particulier d’atteinte au droit à la vie privée, elle peut interdire la collecte, le traitement ou l’utilisation, voire le recours à certaines procédures, lorsqu’il n’est pas remédié aux infractions ou manquements en temps utile, en violation de l’injonction visée dans la première phrase et en dépit de l’application d’une astreinte. Elle peut demander le renvoi de l’agent de protection des données, s’il ne possède pas l’expertise et la fiabilité nécessaires pour accomplir ses tâches. »

13      L’article 12 du Telemediengesetz (loi sur les médias électroniques), du 26 février 2007 (BGBl. 2007 I, p. 179, ci-après le « TMG »), est libellé comme suit :

« (1)      Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel aux fins de la mise à disposition de médias électroniques que si la présente loi ou un autre instrument juridique qui vise expressément les médias électroniques l’autorise ou si l’utilisateur y a consenti.

[...]

(3)      Sauf dispositions contraires, la législation en vigueur régissant la protection des données à caractère personnel doit être appliquée même si les données ne font pas l’objet d’un traitement automatisé. »

 Le litige au principal et les questions préjudicielles

14      Wirtschaftsakademie offre des services de formation au moyen d’une page fan hébergée sur Facebook.

15      Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des particuliers ou des entreprises. Pour ce faire, l’auteur de la page fan, une fois enregistré auprès de Facebook, peut utiliser la plateforme aménagée par ce dernier pour se présenter aux utilisateurs de ce réseau social ainsi qu’aux personnes visitant la page fan et diffuser des communications de toute nature sur le marché des médias et de l’opinion. Les administrateurs de pages fan peuvent obtenir des données statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non modifiables. Ces données sont collectées grâce à des fichiers témoins (ci-après les « cookies ») comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan. Le code utilisateur, qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook, est collecté et traité au moment de l’ouverture des pages fan. À cet égard, il ressort de la décision de renvoi que ni Wirtschaftsakademie ni Facebook Ireland Ltd n’ont évoqué l’opération de sauvegarde et le fonctionnement de ce cookie ou le traitement consécutif des données, tout au moins au cours de la période pertinente pour la procédure au principal.

16      Par décision du 3 novembre 2011 (ci-après la « décision attaquée »), l’ULD, en sa qualité d’autorité de contrôle, au sens de l’article 28 de la directive 95/46, chargée de surveiller l’application sur le territoire du Land du Schleswig-Holstein (Allemagne) des dispositions adoptées par la République fédérale d’Allemagne en application de cette directive, a ordonné à Wirtschaftsakademie, conformément à l’article 38, paragraphe 5, première phrase, du BDSG, de désactiver la page fan qu’elle avait créée sur Facebook à l’adresse www.facebook.com/wirtschaftsakademie, sous peine d’astreinte en cas de non-exécution dans le délai prescrit, au motif que ni Wirtschaftsakademie ni Facebook n’informaient les visiteurs de la page fan que ce dernier collectait, à l’aide de cookies, des informations à caractère personnel les concernant et qu’ils traitaient ensuite ces informations. Wirtschaftsakademie a introduit une réclamation contre cette décision, en faisant valoir, en substance, qu’elle n’était responsable, au regard du droit applicable à la protection des données, ni du traitement des données effectué par Facebook ni des cookies installés par ce dernier.

17      Par décision du 16 décembre 2011, l’ULD a rejeté cette réclamation en considérant que la responsabilité de Wirtschaftsakademie en tant que fournisseur de services était établie en application de l’article 3, paragraphe 3, point 4, et de l’article 12, paragraphe 1, du TMG, en combinaison avec l’article 3, paragraphe 7, du BDSG. L’ULD a exposé que, en ayant créé sa page fan, Wirtschaftsakademie apportait une contribution active et volontaire à la collecte, par Facebook, de données à caractère personnel concernant les visiteurs de cette page fan, données dont elle profitait au moyen des statistiques mises à sa disposition par ce dernier.

18      Wirtschaftsakademie a introduit un recours contre cette décision devant le Verwaltungsgericht (tribunal administratif, Allemagne), en faisant valoir que le traitement des données à caractère personnel effectué par Facebook ne pouvait lui être imputé et qu’elle n’avait pas non plus chargé Facebook de procéder, au sens de l’article 11 du BDSG, au traitement de données qu’elle contrôlerait ou qu’elle pourrait influencer. Wirtschaftsakademie en déduisait que l’ULD aurait dû agir directement contre Facebook, et non adopter contre elle la décision attaquée.

19      Par un arrêt du 9 octobre 2013, le Verwaltungsgericht (tribunal administratif) a annulé la décision attaquée au motif, en substance, que, l’administrateur d’une page fan sur Facebook n’étant pas un organisme responsable au sens de l’article 3, paragraphe 7, du BDSG, Wirtschaftsakademie ne pouvait être destinataire d’une mesure prise au titre de l’article 38, paragraphe 5, du BDSG.

20      L’Oberverwaltungsgericht (tribunal administratif supérieur, Allemagne) a rejeté l’appel introduit par l’ULD contre cet arrêt comme étant non fondé. Cette juridiction a considéré en substance que l’interdiction du traitement des données, énoncée dans la décision attaquée, était illégale, dans la mesure où l’article 38, paragraphe 5, deuxième phrase, du BDSG prévoit un processus progressif, dont la première étape permet uniquement d’adopter des mesures visant à remédier aux infractions constatées lors du traitement de données. Une interdiction immédiate du traitement de données ne serait envisageable que si une procédure de traitement de données est illicite dans sa globalité et que seule la suspension de cette procédure permet d’y remédier. Or, selon l’Oberverwaltungsgericht (tribunal administratif supérieur), tel n’aurait pas été le cas en l’espèce, dès lors que Facebook aurait eu la possibilité de faire cesser les infractions alléguées par l’ULD.

21      L’Oberverwaltungsgericht (tribunal administratif supérieur) a ajouté que la décision attaquée était illégale également pour le motif qu’une injonction au titre de l’article 38, paragraphe 5, du BDSG ne peut être prononcée qu’à l’encontre de l’organisme responsable, au sens de l’article 3, paragraphe 7, du BDSG, ce que ne serait pas Wirtschaftsakademie s’agissant des données collectées par Facebook. En effet, seul Facebook déciderait de la finalité et des moyens relatifs à la collecte et au traitement des données à caractère personnel utilisées dans le cadre de la fonction Facebook Insight, Wirtschaftsakademie ne recevant, quant à elle, que des informations statistiques rendues anonymes.

22      L’ULD a introduit un recours en Revision devant le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), en invoquant, entre autres arguments, une violation de l’article 38, paragraphe 5, du BDSG ainsi que plusieurs erreurs procédurales entachant la décision de la juridiction d’appel. Elle considère que l’infraction commise par Wirtschaftsakademie tient au fait que celle-ci a confié à un fournisseur inapproprié, car non respectueux du droit applicable à la protection des données, en l’occurrence Facebook Ireland, le soin de la réalisation, de l’hébergement et de la maintenance d’un site Internet. L’injonction faite à Wirtschaftsakademie, par la décision attaquée, de procéder à la désactivation de sa page fan viserait ainsi à remédier à cette infraction, puisqu’elle lui ferait interdiction de continuer à utiliser l’infrastructure de Facebook comme base technique de son site Internet.

23      À l’instar de l’Oberverwaltungsgericht (tribunal administratif supérieur), le Bundesverwaltungsgericht (Cour administrative fédérale) est d’avis que Wirtschaftsakademie ne saurait elle-même être considérée comme étant responsable du traitement de données, au sens de l’article 3, paragraphe 7, du BDSG ou de l’article 2, sous d), de la directive 95/46. Cette dernière juridiction estime, néanmoins, que cette notion doit être, en principe, interprétée de manière extensive dans l’intérêt d’une protection efficace du droit à la vie privée, ainsi que la Cour l’aurait admis dans sa jurisprudence récente en la matière. Elle éprouve, par ailleurs, des doutes quant aux pouvoirs dont dispose en l’occurrence l’ULD à l’égard de Facebook Germany, eu égard au fait que le responsable de la collecte et du traitement de données personnelles au sein du groupe Facebook est, au niveau de l’Union, Facebook Ireland. Enfin, elle s’interroge sur l’incidence, aux fins de l’exercice des pouvoirs d’intervention de l’ULD, des appréciations portées par l’autorité de contrôle dont relève Facebook Ireland quant à la légalité du traitement de données personnelles en cause.

24      Dans ces conditions, le Bundesverwaltungsgericht (Cour administrative fédérale) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      L’article 2, sous d), de la directive [95/46] doit-il être interprété en ce sens qu’il régit de manière définitive et exhaustive la responsabilité en cas d’atteinte à la protection des données, ou peut-on encore, dans le cadre des “mesures appropriées” visées à l’article 24 de [cette directive] et des “pouvoirs effectifs d’intervention” visés à l’article 28, paragraphe 3, deuxième tiret, de [celle-ci], en présence de fournisseurs d’informations en cascade, retenir la responsabilité d’un organisme qui n’est pas le responsable du traitement des données au sens de l’article 2, sous d), de [ladite directive] au titre du choix d’un administrateur pour son offre d’informations ?

2)      Résulte-t-il, a contrario, de l’obligation des États membres découlant de l’article 17, paragraphe 2, de la directive [95/46] d’exiger, dans le traitement des données en sous-traitance, que le responsable du traitement “[choisisse] un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer”, qu’il n’existe, dans le cadre d’autres utilisations n’impliquant aucun traitement de données en sous-traitance au sens de l’article 2, sous e), de [cette directive], aucune obligation de faire un choix rigoureux, et que celle-ci ne [puisse] pas non plus être instituée sur le fondement du droit national ?

3)      Lorsqu’une société mère établie en dehors de l’Union européenne dispose d’établissements juridiquement indépendants (filiales) dans différents États membres, l’autorité de contrôle d’un État membre (en l’espèce l’Allemagne) est-elle également habilitée, en vertu de l’article 4 et de l’article 28, paragraphe 6, de la directive [95/46], à exercer les pouvoirs dont elle est investie conformément à l’article 28, paragraphe 3, de [celle-ci] à l’encontre de l’établissement situé sur son territoire, si cet établissement assure uniquement la promotion et la vente d’espaces publicitaires ainsi que d’autres mesures de marketing destinées aux habitants de cet État membre, alors que l’établissement indépendant (filiale) établi dans un autre État membre (en l’espèce l’Irlande) a, en vertu de la répartition des missions au sein du groupe, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel sur l’ensemble du territoire de l’Union européenne et donc également dans l’autre État membre (en l’espèce l’Allemagne), si la décision relative au traitement des données est en fait prise par la société mère ?

4)      L’article 4, paragraphe 1, et l’article 28, paragraphe 3, de la directive [95/46] doivent-ils être interprétés en ce sens que, lorsque le responsable du traitement possède un établissement sur le territoire d’un État membre (en l’espèce l’Irlande), et qu’il existe un autre établissement juridiquement indépendant sur le territoire d’un autre État membre (en l’espèce l’Allemagne), lequel est chargé, entre autres, de la vente d’espaces publicitaires, et dont l’activité est destinée aux habitants de cet État, l’autorité de contrôle compétente dans cet autre État membre (en l’espèce l’Allemagne) peut prendre des mesures et des injonctions en vue de mettre en œuvre le droit applicable à la protection des données, y compris à l’encontre de l’autre établissement qui n’est pas responsable du traitement des données d’après la répartition des missions et responsabilités au sein du groupe (en l’espèce l’Allemagne), ou les mesures et injonctions ne doivent-elles, dans ce cas, être prises que par l’autorité de contrôle de l’État membre (en l’espèce l’Irlande) sur le territoire duquel l’organisme responsable au sein du groupe a son siège ?

5)      L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive [95/46] doivent-ils être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre (en l’espèce l’Allemagne) met en cause une personne ou un organisme exerçant ses activités sur son territoire en application de l’article 28, paragraphe 3, de [cette directive] en raison du choix non rigoureux d’un tiers impliqué dans le processus de traitement des données (en l’espèce Facebook), au motif que ce tiers a enfreint le droit applicable à la protection des données, l’autorité de contrôle intervenante (en l’espèce l’Allemagne) est liée par l’appréciation au regard du droit applicable à la protection des données émanant de l’autorité de contrôle de l’autre État membre, dans lequel le tiers responsable du traitement des données a son établissement (en l’espèce l’Irlande), en ce sens qu’elle n’est pas habilitée à émettre une appréciation juridique divergente, ou l’autorité de contrôle intervenante (en l’espèce l’Allemagne) peut-elle examiner de manière autonome la légalité du traitement des données effectué par le tiers établi dans un autre État membre (en l’espèce l’Irlande) à titre incident ?

6)      Dans l’hypothèse où l’autorité de contrôle intervenante (en l’espèce l’Allemagne) [serait] habilitée à effectuer un contrôle autonome : l’article 28, paragraphe 6, deuxième phrase, de la directive [95/46] doit-il être interprété en ce sens que cette autorité de contrôle ne peut exercer les pouvoirs effectifs d’intervention dont elle est investie conformément à l’article 28, paragraphe 3, de [cette] directive à l’encontre d’une personne ou d’un organisme établis sur son territoire au titre de leur part de responsabilité dans les atteintes à la protection des données commises par le tiers établi dans un autre État membre que si elle a préalablement appelé l’autorité de contrôle de cet autre État membre (en l’espèce l’Irlande) à exercer ses pouvoirs ? »

 Sur les questions préjudicielles

 Sur les première et deuxième questions

25      Par ses première et deuxième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi vise, en substance, à savoir si l’article 2, sous d), l’article 17, paragraphe 2, l’article 24 et l’article 28, paragraphe 3, deuxième tiret, de la directive 95/46 doivent être interprétés en ce sens qu’ils permettent de retenir la responsabilité d’un organisme, en sa qualité d’administrateur d’une page fan hébergée sur un réseau social, en cas d’atteinte aux règles relatives à la protection des données à caractère personnel, en raison du choix d’avoir recours à ce réseau social pour diffuser son offre d’informations.

26      Afin de répondre à ces questions, il convient de rappeler que, ainsi qu’il résulte de son article 1er, paragraphe 1, et de son considérant 10, la directive 95/46 vise à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, a' l’égard du traitement des données a' caractère personnel (arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 27 et jurisprudence citée).

27      Conformément à cet objectif, l’article 2, sous d), de cette directive définit de manière large la notion de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

28      En effet, ainsi que la Cour l’a déjà jugé, l’objectif de cette disposition est d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 34).

29      En outre, dès lors que, ainsi que le prévoit expressément l’article 2, sous d), de la directive 95/46, la notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres », détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données.

30      En l’occurrence, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland doivent être regardées comme déterminant, à titre principal, les finalités et les moyens du traitement des données à caractère personnel des utilisateurs de Facebook ainsi que des personnes ayant visité les pages fan hébergées sur Facebook, et relèvent ainsi de la notion de « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46, ce qui n’est pas mis en doute dans la présente affaire.

31      Cela étant, et afin de répondre aux questions posées, il y a lieu d’examiner si et dans quelle mesure l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, contribue, dans le cadre de cette page fan, à déterminer, conjointement avec Facebook Ireland et Facebook Inc., les finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut donc, lui aussi, être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d), de la directive 95/46.

32      À cet égard, il apparaît que toute personne souhaitant créer une page fan sur Facebook conclut avec Facebook Ireland un contrat spécifique relatif à l’ouverture d’une telle page et souscrit, à ce titre, aux conditions d’utilisation de cette page, y compris à la politique en matière de cookies qui y est relative, ce qu’il appartient à la juridiction nationale de vérifier.

33      Ainsi qu’il ressort du dossier soumis à la Cour, les traitements de données en cause au principal sont essentiellement effectués moyennant le placement, par Facebook, sur l’ordinateur ou sur tout autre appareil des personnes ayant visité la page fan, de cookies visant à stocker des informations sur les navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés. Il en ressort également que, en pratique, Facebook reçoit, enregistre et traite les informations stockées dans les cookies notamment lorsqu’une personne visite « les services Facebook, les services proposés par d’autres compagnies Facebook et des services proposés par d’autres entreprises qui utilisent les services Facebook ». En outre, d’autres entités, telles que les partenaires de Facebook ou même des tiers, « sont susceptibles d’utiliser des cookies sur les services Facebook pour [proposer des services directement à ce réseau social] ainsi qu’aux entreprises qui font de la publicité sur Facebook ».

34      Ces traitements de données à caractère personnel visent notamment à permettre, d’une part, à Facebook d’améliorer son système de publicité qu’il diffuse à travers son réseau et, d’autre part, à l’administrateur de la page fan d’obtenir des statistiques établies par Facebook à partir des visites de cette page, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser davantage.

35      Or, si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook.

36      Dans ce cadre, il ressort des indications soumises à la Cour que la création d’une page fan sur Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page fan. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook, définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook. Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page.

37      En particulier, l’administrateur de la page fan peut demander à obtenir – et donc que soient traitées – des données démographiques concernant son audience cible, notamment des tendances en matière d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres d’intérêt de son audience cible ainsi que des informations concernant les achats et le comportement d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le plus, de même que des données géographiques qui permettent à l’administrateur de la page fan de savoir où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de cibler au mieux son offre d’informations.

38      S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées.

39      Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.

40      En effet, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel.

41      Au demeurant, il importe de souligner que les pages fan hébergées sur Facebook peuvent être visitées également par des personnes qui ne sont pas utilisateurs de Facebook et qui ne disposent donc pas d’un compte utilisateur sur ce réseau social. Dans ce cas, la responsabilité de l’administrateur de la page fan à l’égard du traitement des données à caractère personnel de ces personnes apparaît encore plus importante, car la simple consultation de la page fan par des visiteurs déclenche automatiquement le traitement de leurs données à caractère personnel.

42      Dans ces conditions, la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46.

43      Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.

44      Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième questions que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

 Sur les troisième et quatrième questions

45      Par ses troisième et quatrième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi vise, en substance, à savoir si les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive, à l’égard d’un établissement situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre, ou s’il appartient à l’autorité de contrôle de ce dernier État membre d’exercer ces pouvoirs à l’égard du second établissement.

46      L’ULD et le gouvernement italien émettent des doutes quant à la recevabilité de ces questions au motif qu’elles ne seraient pas pertinentes pour la solution du litige au principal. En effet, la décision attaquée aurait pour destinataire Wirtschaftsakademie et ne viserait donc ni Facebook Inc. ni aucune de ses filiales établies sur le territoire de l’Union.

47      À cet égard, il convient de rappeler que, dans le cadre de la coopération entre la Cour et les juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer (arrêt du 6 septembre 2016, Petruhhin, C‑182/15, EU:C:2016:630, point 19 et jurisprudence citée).

48      En l’occurrence, il convient de relever que la juridiction de renvoi fait valoir qu’une réponse de la Cour aux troisième et quatrième questions préjudicielles lui est nécessaire pour statuer sur le litige au principal. Elle explique en effet que, dans le cas où il serait constaté, à la lumière de cette réponse, que l’ULD pouvait remédier aux atteintes alléguées au droit à la protection des données à caractère personnel en prenant une mesure contre Facebook Germany, une telle circonstance serait susceptible d’établir l’existence d’une erreur d’appréciation entachant la décision attaquée, en ce qu’elle aurait été prise à tort à l’encontre de Wirtschaftsakademie.

49      Dans ces conditions, les troisième et quatrième questions sont recevables.

50      Afin de répondre à ces questions, il importe de rappeler à titre liminaire que, en vertu de l’article 28, paragraphes 1 et 3, de la directive 95/46, chaque autorité de contrôle exerce l’ensemble des pouvoirs qui lui ont été conférés par le droit national sur le territoire de l’État membre dont elle relève, afin d’assurer sur ce territoire le respect des règles en matière de protection des données (voir, en ce sens, arrêt du 1er octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 51).

51      La question de savoir quel droit national s’applique au traitement des données à caractère personnel est régie par l’article 4 de la directive 95/46. Aux termes du paragraphe 1, sous a), de cet article, chaque État membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre. Cette disposition précise que, si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable.

52      Il découle ainsi d’une lecture combinée de cette disposition et de l’article 28, paragraphes 1 et 3, de la directive 95/46 que, lorsque le droit national de l’État membre dont relève l’autorité de contrôle est applicable en vertu de l’article 4, paragraphe 1, sous a), de celle-ci, en raison du fait que le traitement en cause est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre, cette autorité de contrôle peut exercer l’ensemble des pouvoirs qui lui sont conférés par ce droit à l’égard de cet établissement, et ce indépendamment du point de savoir si le responsable du traitement dispose d’établissements également dans d’autres États membres.

53      Ainsi, afin de déterminer si une autorité de contrôle est fondée, dans des circonstances telles que celles au principal, à exercer à l’égard d’un établissement situé sur le territoire de l’État membre dont elle relève les pouvoirs qui lui sont conférés par le droit national, il y a lieu de vérifier si les deux conditions posées par l’article 4, paragraphe 1, sous a), de la directive 96/46 sont réunies, à savoir, d’une part, s’il s’agit d’un « établissement du responsable du traitement », au sens de cette disposition, et, d’autre part, si ledit traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la même disposition.

54      S’agissant, en premier lieu, de la condition selon laquelle le responsable du traitement de données à caractère personnel doit disposer d’un établissement sur le territoire de l’État membre dont relève l’autorité de contrôle concernée, il importe de rappeler que, selon le considérant 19 de la directive 95/46, l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable et que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante (arrêt du 1er octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 28 et jurisprudence citée).

55      En l’occurrence, il est constant que Facebook Inc., en tant que responsable du traitement de données à caractère personnel, conjointement avec Facebook Ireland, dispose d’un établissement stable en Allemagne, à savoir Facebook Germany, situé à Hambourg, et que cette dernière société exerce réellement et effectivement des activités dans ledit État membre. De ce fait, elle constitue un établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.

56      S’agissant, en second lieu, de la condition selon laquelle le traitement de données à caractère personnel doit être effectué « dans le cadre des activités » de l’établissement concerné, il y a lieu de rappeler, tout d’abord, que, au vu de l’objectif poursuivi par la directive 95/46, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, l’expression « dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation restrictive (arrêt du 1er octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639, point 25 et jurisprudence citée).

57      Ensuite, il importe de souligner que l’article 4, paragraphe 1, sous a), de la directive 95/46 exige non pas qu’un tel traitement soit effectué « par » l’établissement concerné lui‑même, mais uniquement qu’il le soit « dans le cadre des activités » de celui‑ci (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 52).

58      En l’occurrence, il ressort de la décision de renvoi ainsi que des observations écrites déposées par Facebook Ireland que Facebook Germany est chargée de la promotion et de la vente d’espaces publicitaires et se livre à des activités destinées aux personnes résidant en Allemagne.

59      Ainsi qu’il a été rappelé aux points 33 et 34 du présent arrêt, le traitement de données à caractère personnel en cause au principal, effectué par Facebook Inc. conjointement avec Facebook Ireland et qui consiste en la collecte de telles données par l’intermédiaire de cookies installés sur les ordinateurs ou sur tout autre appareil des visiteurs des pages fan hébergées sur Facebook, a notamment pour objectif de permettre à ce réseau social d’améliorer son système de publicité afin de mieux cibler les communications qu’il diffuse.

60      Or, comme l’a relevé M. l’avocat général au point 94 de ses conclusions, étant donné, d’une part, qu’un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent et, d’autre part, que l’établissement de Facebook situé en Allemagne est destiné à assurer, dans cet État membre, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par Facebook, les activités de cet établissement doivent être considérées comme étant indissociablement liées au traitement de données à caractère personnel en cause au principal, dont Facebook Inc. est le responsable conjointement avec Facebook Ireland. Partant, un tel traitement doit être regardé comme étant effectué dans le cadre des activités d’un établissement du responsable du traitement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46 (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, points 55 et 56).

61      Il s’ensuit que, le droit allemand étant, en vertu de l’article 4, paragraphe 1, sous a), de la directive 95/46, applicable au traitement des données à caractère personnel en cause au principal, l’autorité de contrôle allemande était compétente, conformément à l’article 28, paragraphe 1, de cette directive, pour appliquer ce droit audit traitement.

62      Par conséquent, cette autorité de contrôle était compétente, aux fins d’assurer le respect, sur le territoire allemand, des règles en matière de protection des données à caractère personnel, pour mettre en œuvre, à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales transposant l’article 28, paragraphe 3, de la directive 95/46.

63      Il convient encore de préciser que la circonstance, mise en exergue par la juridiction de renvoi dans sa troisième question, selon laquelle les stratégies décisionnelles quant à la collecte et au traitement de données personnelles relatives à des personnes résidant sur le territoire de l’Union sont prises par une société mère établie dans un pays tiers, telle que, en l’occurrence, Facebook Inc., n’est pas de nature à remettre en cause la compétence de l’autorité de contrôle relevant du droit d’un État membre à l’égard d’un établissement, situé sur le territoire de ce même État, du responsable du traitement desdites données.

64      Au regard de ce qui précède, il convient de répondre aux troisième et quatrième questions que les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre.

 Sur les cinquième et sixième questions

65      Par ses cinquième et sixième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

66      Afin de répondre à ces questions, il y a lieu de rappeler, ainsi qu’il ressort de la réponse apportée aux première et deuxième questions préjudicielles, que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens qu’il permet, dans des circonstances telles que celles au principal, de retenir la responsabilité d’un organisme, tel que Wirtschaftsakademie, en sa qualité d’administrateur d’une page fan hébergée sur Facebook, en cas d’atteinte aux règles relatives à la protection des données à caractère personnel.

67      Il s’ensuit que, en vertu de l’article 4, paragraphe 1, sous a), ainsi que de l’article 28, paragraphes 1 et 3, de la directive 95/46, l’autorité de contrôle de l’État membre sur le territoire duquel cet organisme est établi est compétente pour appliquer son droit national et, ainsi, mettre en œuvre, à l’encontre dudit organisme, l’ensemble des pouvoirs qui lui sont conférés par ce droit national, conformément à l’article 28, paragraphe 3, de cette directive.

68      Ainsi que le prévoit l’article 28, paragraphe 1, second alinéa, de ladite directive, les autorités de contrôle chargées de surveiller l’application, sur le territoire des États membres dont elles relèvent, des dispositions adoptées par ces derniers en application de la même directive exercent en toute indépendance les missions dont elles sont investies. Cette exigence résulte également du droit primaire de l’Union, notamment de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne et de l’article 16, paragraphe 2, TFUE (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 40).

69      En outre, si, en vertu de l’article 28, paragraphe 6, second alinéa, de la directive 95/46, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile, cette même directive ne prévoit aucun critère de priorité régissant l’intervention des autorités de contrôle les unes par rapport aux autres ni ne prescrit l’obligation pour une autorité de contrôle d’un État membre de se conformer à la position exprimée, le cas échéant, par l’autorité de contrôle d’un autre État membre.

70      Ainsi, rien n’oblige une autorité de contrôle dont la compétence est reconnue en vertu de son droit national à faire sienne la solution retenue par une autre autorité de contrôle dans une situation analogue.

71      À cet égard, il importe de rappeler que, les autorités nationales de contrôle étant, conformément à l’article 8, paragraphe 3, de la charte des droits fondamentaux et à l’article 28 de la directive 95/46, chargées du contrôle du respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, chacune d’entre elles est donc investie de la compétence de vérifier si un traitement de données à caractère personnel sur le territoire de l’État membre dont elle relève respecte les exigences posées par la directive 95/46 (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 47).

72      L’article 28 de la directive 95/46 s’appliquant, par sa nature même, à tout traitement de données à caractère personnel, même en présence d’une décision d’une autorité de contrôle d’un autre État membre, une autorité de contrôle, saisie par une personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doit examiner, en toute indépendance, si le traitement de ces données respecte les exigences posées par ladite directive (voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 57).

73      Il s’ensuit que, en l’occurrence, en vertu du système établi par la directive 95/46, l’ULD était habilitée à apprécier, de manière autonome par rapport aux évaluations effectuées par l’autorité de contrôle irlandaise, la légalité du traitement de données en cause au principal.

74      Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

 Sur les dépens

75      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit :

1)      L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

2)      Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

3)      L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Signatures


*      Langue de procédure : l’allemand.