Language of document : ECLI:EU:C:2018:1039

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MICHAL BOBEK

présentées le 19 décembre 2018(1)

Affaire C‑40/17

Fashion ID GmbH & Co. KG

contre

Verbraucherzentrale NRW eV

parties intervenantes :

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen

[demande de décision préjudicielle de l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne)]

« Renvoi préjudiciel – Directive 95/46/CE – Protection des données à caractère personnel des utilisateurs de sites Web – Qualité pour agir d’une association de protection des consommateurs pour intenter une action – Responsabilité d’un gestionnaire de site Web – Transfert à un tiers de données à caractère personnel – Plugiciel intégré – Bouton “j’aime” de Facebook – Intérêts légitimes – Consentement de la personne concernée – Obligation d’information »






I.      Introduction

1.        Fashion ID GmbH & Co. KG (ci‑après « Fashion ID » ou la « défenderesse au principal ») est une société de vente en ligne d’articles de mode. Elle a intégré un plugiciel (« plug‑in ») sur son site Web : le bouton « j’aime » de Facebook. Il s’ensuit que lorsqu’un utilisateur se rend sur le site Web de Fashion ID, des informations sur son adresse IP et la chaîne de caractères de son navigateur sont transmises à Facebook. Cette transmission s’opère automatiquement lorsque le site Web de Fashion ID est chargé, indépendamment du fait que l’utilisateur ait cliqué ou non sur le bouton « j’aime » de Facebook et qu’il dispose ou non d’un compte Facebook.

2.        Une association allemande de protection des consommateurs, Verbraucherzentrale NRW e.V. (ci‑après « Verbraucherzentrale NRW » ou la « demanderesse au principal »), a intenté une action en cessation à l’encontre de Fashion ID au motif que l’utilisation de ce plugiciel était contraire aux lois sur la protection des données à caractère personnel.

3.        Saisi du litige, l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) demande l’interprétation de plusieurs dispositions de la directive 95/46/CE (2). À titre liminaire, la juridiction de renvoi demande si ladite directive ne s’oppose pas à une réglementation nationale qui habilite des associations de consommateurs à intenter une action dans un cas tel que celui de la présente espèce. Sur le fond, la question cruciale qui est posée est de savoir si Fashion ID doit être qualifiée de « responsable du traitement » des données et, dans l’affirmative, comment il peut alors être satisfait aux obligations individuelles imposées par la directive 95/46. Dans le cadre de la balance des intérêts légitimes à laquelle il doit être procédé en vertu de l’article 7, sous f), de la directive 95/46, des intérêts légitimes de qui s’agit‑il ? Fashion ID est‑t‑elle tenue par une obligation d’information des personnes concernées par ce traitement ? Et à cet égard, est‑ce à Fashion ID de recevoir le consentement des personnes concernées ?

II.    Le cadre juridique

A.      Le droit de l’Union

La directive 95/46

4.        L’objet de la directive 95/46 est précisé en son article premier. Son paragraphe 1 dispose que « [l]es États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel ». Aux termes de son paragraphe 2, « [l]es États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1 ».

5.        Son article 2 pose les définitions suivantes :

« a)      “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (“personne concernée”) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale :

b)      “traitement de données à caractère personnel” (“traitement”) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

[...]

d)      “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou [de l’Union], le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou [de l’Union] ;

[...]

h)      “consentement de la personne concernée” : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

6.        L’article 7 pose les principes relatifs à la légitimation des traitements de données :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)      la personne concernée a indubitablement donné son consentement ;

[...]

f)      il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1. »

7.        L’article 10 précise les informations a minima qui doivent être communiquées à la personne concernée :

« Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci‑dessous, sauf si la personne en est déjà informée :

a)      l’identité du responsable du traitement et, le cas échéant, de son représentant ;

b)      les finalités du traitement auquel les données sont destinées ;

c)      toute information supplémentaire telle que :

–        les destinataires ou les catégories de destinataires des données,

–        le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,

–        l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données. »

8.        Le chapitre III de la directive 95/46 est relatif aux recours juridictionnels, à la responsabilité et aux sanctions. Les articles 22 à 24 qui y figurent reçoivent la rédaction suivante :

« Article 22

Recours

Sans préjudice du recours administratif qui peut être organisé, notamment devant l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité judiciaire, les États membres prévoient que toute personne dispose d’un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.

Article 23

Responsabilité

1.      Les États membres prévoient que toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d’obtenir du responsable du traitement réparation du préjudice subi.

2.      Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Article 24

Sanctions

Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive. »

B.      Le droit allemand

La Gesetz gegen den unlauteren Wettbewerb

9.        L’article 3, paragraphe 1, de la Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale) (ci‑après l’« UWG ») dispose que les pratiques commerciales déloyales sont illicites.

10.      L’article 8, paragraphe 1 et paragraphe 3, point 3, de l’UWG précise qu’une pratique commerciale déloyale peut donner lieu à un ordre de cessation immédiate ou à un ordre de cessation pour l’avenir à la demande d’une « entité qualifiée » inscrite sur la liste des entités qualifiées visée par la Unterlassungsklagegesetz (loi sur l’action en cessation) ou sur la liste de la Commission européenne visée à l’article 4, paragraphe 3, de la directive 2009/22/CE relative aux actions en cessation en matière de protection des intérêts des consommateurs (3).

La Unterlassungsklagegesetz

11.      L’article 2, paragraphe 1 et paragraphe 2, point 11, de la loi sur l’action en cessation dispose :

« 1.      Quiconque enfreint, autrement que par l’utilisation ou la recommandation de conditions générales, des règles de protection des consommateurs (lois sur la protection des consommateurs) peut donner lieu à un ordre de cessation pour l’avenir et de cessation immédiate dans l’intérêt de la protection des consommateurs.

2.      Au sens de la présente disposition, on entend par “lois sur la protection des consommateurs” en particulier :

[...]

11°)      les règles définissant la licéité

a)      de la collecte de données à caractère personnel d’un consommateur par une entreprise ou

b)      le traitement ou l’utilisation de données à caractère personnel qui ont été collectées par un entrepreneur à propos d’un consommateur,

lorsque les données sont collectées, traitées ou utilisées à des fins de publicité, d’enquête de marché et d’opinion, d’exploitation d’une agence de renseignements, d’établissement de profils de personnalité et d’utilisation, de tout autre commerce de données ou à des fins commerciales analogues. »

La Telemediengesetz

12.      L’article 2, paragraphe 1, point 1, de la Telemediengesetz (loi sur les médias électroniques) (ci‑après la « TMG ») dispose :

« Au sens de la présente loi :

1°)      Le fournisseur de service est toute personne physique ou morale qui propose d’utiliser des médias électroniques propres ou étrangers ou en permet l’accès pour les utiliser. »

13.      Aux termes de l’article 12, paragraphe 1, de la TMG, « [l]e fournisseur de services ne peut collecter et utiliser des données à caractère personnel pour proposer des médias électroniques que si la présente loi ou un autre instrument juridique qui vise expressément les médias électroniques l’y autorise ou si l’utilisateur y a consenti ».

14.      L’article 13, paragraphe 1, de la TMG est libellé comme suit :

« Dès l’entame de l’utilisation, il appartient au fournisseur de service d’informer l’utilisateur sous une forme globalement compréhensible du mode, de l’étendue et de la finalité de la collecte et de l’utilisation de données à caractère personnel ainsi que du traitement de ses données dans les États ne relevant pas du champ d’application de la [directive 95/46] dans la mesure où il n’en a pas déjà été informé. Dans les procédures automatisées, permettant d’identifier l’utilisateur ultérieurement et préparant la collecte ou l’utilisation de données à caractère personnel, l’utilisateur doit être informé à l’entame de cette procédure. L’utilisateur doit pouvoir consulter le contenu de cette information à tout moment. »

15.      Suivant l’article 15, paragraphe 1, du TMG :

« Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel d’un utilisateur que dans la mesure nécessaire à l’utilisation des médias électroniques (données d’utilisation) et à sa facturation. Les données d’utilisation sont en particulier :

1°)      les informations d’identification de l’utilisateur,

2°)      le relevé des début et fin de chaque utilisation, ainsi que de son étendue,

3°)      les indications sur les médias électroniques sollicités par l’utilisateur. »

III. Les faits, la procédure et les questions préjudicielles déférées

16.      Fashion ID est une entreprise de vente en ligne. Elle vend des articles de mode sur son site Web. Elle a inséré sur son site Web le plugiciel « j’aime » fourni par la société Facebook Ireland Limited (ci‑après « Facebook Ireland ») (4). Ce qui est dénommé le « bouton “j’aime” de Facebook » apparaît donc sur le site Web de la défenderesse au principal.

17.      La décision de renvoi explique également comment la partie (invisible) du plugiciel fonctionne : lorsqu’un visiteur se connecte au site Web de la défenderesse au principal sur lequel figure le bouton « j’aime » de Facebook, son navigateur transmet automatiquement à Facebook Ireland des données relatives à son adresse IP et la chaîne de caractères du navigateur. La transmission de ces données intervient sans qu’il n’y ait besoin de cliquer effectivement sur le bouton « j’aime » de Facebook. Il ressort également de la décision de renvoi que, lors d’une connexion au site Web de la défenderesse au principal, Facebook Ireland installe différents témoins de connexion (cookies) sur l’appareil de l’utilisateur (session, datr et fr).

18.      Verbraucherzentrale NRW, une association de défense des intérêts des consommateurs, a intenté une action contre la défenderesse au principal devant un Landgericht (tribunal régional) en Allemagne. La demanderesse au principal requérait qu’il soit fait défense à la défenderesse au principal d’intégrer le plugiciel social « j’aime » de Facebook au motif que cette dernière :

–        ne précisait pas « expressément et formellement aux utilisateurs de la page Internet, avant que le fournisseur du [plugiciel] n’accède à l’adresse IP et prenne la chaîne de caractères du navigateur de l’utilisateur, la finalité de la collecte et de l’utilisation des données ainsi transmises » ou

–        n’avait pas recueilli « le consentement préalable des utilisateurs du site Web sur l’accès du fournisseur du [plugiciel] à l’adresse IP et à la chaîne de caractères du navigateur et sur l’utilisation des données » ou

–        n’informait pas « les utilisateurs qui ont donné le consentement visé au [deuxième chef de conclusion] de leur faculté de le rétracter à tout moment pour l’avenir » ou

–        indiquait que « Si vous êtes utilisateur d’un réseau social et ne souhaitez pas que le réseau social collecte des données vous concernant par le biais de notre site Web et les relient à vos données d’utilisateur stockées dans le réseau social, vous devez vous déconnecter du réseau social avant la visite de notre site Web ».

19.      La demanderesse au principal a affirmé que Facebook Inc. ou Facebook Ireland stocke l’adresse IP et la chaîne de caractères du navigateur transmises et les associe à un utilisateur déterminé (membre ou non membre). La défenderesse au principal a rétorqué qu’elle ignorait tout de cela. Facebook Ireland a soutenu que l’adresse IP est convertie en une adresse IP générique et ne se trouve stockée que comme telle et que l’adresse IP et la chaîne de caractères du navigateur ne font pas l’objet d’une attribution à un compte d’utilisateur.

20.      Le Landgericht (tribunal régional) a condamné la défenderesse au principal pour les trois premiers chefs de conclusion et a rejeté le quatrième chef de conclusion. La défenderesse au principal a interjeté appel. La demanderesse au principal a formé un appel incident visant à étendre la condamnation au quatrième chef de conclusion.

21.      C’est dans ce contexte factuel et juridique que l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf) a déféré les questions préjudicielles suivantes à la Cour :

« 1.      Le régime des articles 22, 23 et 24 de la [directive 95/46] s’oppose‑t‑il à une réglementation nationale qui, en marge des pouvoirs d’intervention des autorités de protection des données et des actions en justice de la personne concernée, habilite, en cas d’atteintes, des associations d’utilité publique de défense des intérêts des consommateurs à agir contre l’auteur d’une atteinte ?

Si la première question appelle une réponse négative :

2.      Dans un cas comme celui de l’espèce, où quelqu’un insère dans son site un code programme permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et de transmettre à cet effet au tiers des données à caractère personnel, celui qui fait l’insertion est-il “responsable du traitement” au sens de l’article 2, sous d), de la [directive 95/46] lorsqu’il ne peut avoir lui‑même aucune influence sur ce processus de traitement des données ?

3.      Si la deuxième question appelle une réponse négative : l’article 2, sous d), de la [directive 95/46] doit‑il être interprété en ce sens qu’il régit exhaustivement la responsabilité en ce sens qu’il s’oppose à la mise en cause sur le plan civil d’un tiers qui n’est certes pas “responsable du traitement” mais est à l’origine du processus de traitement des données sans avoir d’influence sur celui‑ci ?

4.      Dans un contexte comme celui de l’espèce, quel est l’“intérêt légitime” à prendre en compte dans la mise en balance à faire au titre de l’article 7, sous f), de la directive 95/46 ? Est‑ce l’intérêt d’insérer des contenus de tiers ou est-ce l’intérêt du tiers ?

5.      Dans un contexte comme celui de l’espèce, à qui doit être donné le consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la directive 95/46 ?

6.      L’obligation d’informer la personne concernée en vertu de l’article 10 de la directive 95/46 dans une situation telle que celle qui se présente en l’espèce pèse‑t‑elle également sur le gestionnaire du site qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des données à caractère personnel fait par un tiers ? »

22.      Des observations écrites ont été déposées par la demanderesse au principal, la défenderesse au principal, Facebook Ireland, la Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (agence régionale de la protection des données et de la liberté d’information de la Rhénanie du Nord‑Westphalie) (ci‑après la « LDI NW »), par les gouvernements belge, allemand, italien, autrichien et polonais ainsi que par la Commission. Au cours de l’audience qui s’est tenue le 6 septembre 2018, des observations orales ont été présentées par la demanderesse au principal, la défenderesse au principal, Facebook Ireland, la LDI NW, les gouvernements belge, allemand et autrichien ainsi que par la Commission.

IV.    Appréciation

23.      Dans les présentes, je parviendrai à la conclusion que la directive 95/46 ne fait pas obstacle à une réglementation nationale qui habilite une association ayant pour objet la protection des consommateurs (telle que la demanderesse au principal) à agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données (A). J’estime également que la défenderesse au principal est responsable du traitement conjointement avec Facebook Ireland, sa responsabilité étant cependant limitée à une phase particulière du processus de traitement des données (B). Troisièmement, je suis d’avis que la balance des intérêts à laquelle il doit être procédé en vertu de l’article 7, sous f), de la directive 95/46 demande que non seulement les intérêts légitimes de la défenderesse au principal soient pris en compte, mais également ceux de Facebook Ireland (et, évidemment, les droits des personnes concernées) (C). Quatrièmement, le consentement informé de la personne concernée par le traitement des données doit être donné à la défenderesse au principal. La défenderesse au principal est également tenue par une obligation d’information de la personne concernée (D).

A.      Une réglementation nationale qui habilite des associations ayant pour objet la protection des intérêts des consommateurs

24.      Par sa première question, la juridiction de renvoi demande en substance si la directive 95/46 fait obstacle à une réglementation nationale permettant aux associations de protection des intérêts des consommateurs d’agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données. À cet égard, la juridiction de renvoi cite plus spécialement les articles 22 à 24 de la directive 95/46. Elle relève que la réglementation nationale en question est susceptible d’être considérée comme constituant des « mesures appropriées » au sens de l’article 24. Elle souligne en outre que le règlement (UE) 2016/679 (5) (ci‑après le « RGPD »), abrogeant la directive 95/46, confère explicitement un tel droit aux associations en vertu de son article 80, paragraphe 2 (6).

25.      La défenderesse au principal et Facebook Ireland affirment que la directive 95/46 ne permet pas de conférer une qualité pour agir à de telles associations, car une telle qualité n’y est pas expressément prévue, alors que, selon elles, ladite directive vise à une harmonisation complète. Selon la défenderesse au principal, reconnaître la qualité pour agir dans de telles conditions risque de porter atteinte à l’indépendance des autorités de contrôle en raison des pressions qu’elles subiraient de la part du public.

26.      La demanderesse au principal, la LDI NW et tous les gouvernements qui se sont prononcés dans cette affaire partagent l’avis selon lequel la directive 95/46 ne fait pas obstacle à la réglementation en cause.

27.      Je partage ce dernier point de vue (7).

28.      Il me paraît important de rappeler d’entrée de jeu que la règle constitutionnelle (par défaut) inscrite à l’article 288, troisième alinéa, TFUE, selon laquelle « [l]a directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens » de mise en œuvre permettant de garantir au mieux le résultat auquel cette dernière tend (8).

29.      Il s’ensuit que pour mettre en œuvre les obligations instituées par une directive, les États membres sont libres d’adopter les mesures qui leur paraissent appropriées, tant qu’elles ne sont pas expressément exclues par la directive ou qu’elles n’entrent pas en conflit avec les objectifs qu’elle poursuit.

30.      Prise à la lettre, la directive 95/46 n’exclut pas expressément qu’une règle de droit national confère qualité pour agir à des associations de défense des droits des consommateurs.

31.      Parmi les objectifs poursuivis par la directive 95/46 figure celui « d’assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel » (9). De plus, son considérant 10 énonce que « le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans [l’Union] » (10).

32.      À la lecture de la décision de renvoi, nous pouvons comprendre que l’Allemagne a permis à des associations telles que la demanderesse au principal d’avoir qualité pour agir contre ce qu’elles estiment être des pratiques commerciales déloyales ou violant les règles de protection des consommateurs, la réglementation sur la protection des données figurant parmi ces dernières.

33.      Dans ce contexte, j’ai du mal à voir comment le fait de conférer qualité pour agir serait contraire aux objectifs poursuivis par la directive 95/46 ou serait de nature à émousser les efforts pour les atteindre. Habiliter ainsi de telles associations paraît au moins permettre de promouvoir une telle réalisation des objectifs poursuivis, et donc la transposition de la directive, contribuant ainsi effectivement à renforcer les droits des personnes concernées par un mécanisme de recours collectif (11).

34.      Je suis donc d’avis que rien ne s’oppose à ce que, s’ils le souhaitent, les États membres adoptent une règle habilitant des associations telle que la demanderesse au principal, à intenter une action comme celle faisant l’objet du litige au principal.

35.      Pour répondre ainsi, je tiens pour assez futile la discussion qui s’est développée dans le cadre de cette procédure, se focalisant sur le point de savoir si la réglementation nationale en cause doit être considérée comme relevant spécifiquement de la notion de « mesures appropriées » de l’article 24 de la directive 95/46 ou bien de son article 22. Si les États membres sont censés transposer une directive par tout moyen qui paraît approprié et que cette manière de transposer n’est pas exclue par la lettre de ladite directive ou par son objet et les objectifs qu’elle poursuit, savoir si une mesure nationale donnée relève de tel ou tel article de la directive est assez secondaire (12). Quoi qu’il en soit, l’expression « les mesures appropriées pour assurer la pleine application des dispositions de la présente directive » figurant à l’article 24 doit certainement pouvoir être comprise comme incluant des dispositions de droit national telles que celles dont il est question en l’espèce.

36.      Je ne pense pas que les considérations suivantes, examinées lors de la procédure, soient de nature à fragiliser cette conclusion d’ordre général.

37.      Premièrement, il est vrai que la directive 95/46 ne figure pas parmi les actes énumérés à l’annexe I de la directive 2009/22. Cette dernière pose des règles relatives aux actions en cessation pouvant être intentées par ce qui est dénommé des « entités qualifiées » en vue de renforcer la protection des intérêts collectifs des consommateurs (13). Son annexe I énumère plusieurs directives, mais la directive 95/46 n’y figure pas.

38.      Il n’en demeure pas moins que, comme le fait valoir le gouvernement allemand, l’annexe I de la directive 2009/22 ne saurait être considérée comme étant exhaustive dans le sens qu’elle ferait obstacle à une réglementation nationale sur les actions en cessation concernant le respect de règles figurant dans d’autres directives que celles énumérées en cette annexe I. A fortiori, il serait assez étrange qu’une telle énumération indicative, figurant dans un acte de droit dérivé, soit tout d’un coup interprétée comme privant les États membres de leur liberté de choisir la manière dont ils entendent transposer une directive, droit qu’ils tirent du traité.

39.      Deuxièmement, je vais examiner l’argument soutenu par la défenderesse au principal et par Facebook Ireland selon lequel la directive 95/46 aboutirait à une harmonisation complète ce qui, à leur avis, exclut toute action judiciaire non explicitement prévue.

40.      Il est vrai que, de manière constante, la Cour a jugé que l’harmonisation résultant de la directive 95/46 ne se limite pas à une harmonisation minimale, mais aboutit à une harmonisation qui est, « en principe, complète » (14). Il a en même temps été admis que cette même directive « reconnaît aux États membres une marge de manœuvre dans certains domaines » du moment où ces possibilités soient utilisées de la manière qu’elle prévoit (15).

41.      Comme j’ai déjà eu l’occasion de l’évoquer (16), la question de savoir s’il est procédé à une « harmonisation complète » au niveau du droit de l’Union (dans le sens d’une préemption législative qui exclurait toute intervention législative des États membres) ne peut recevoir une réponse globale relativement à un domaine entier du droit ou de l’objet d’une directive. Au contraire, il doit être procédé à cette appréciation au regard de chacune des dispositions (une certaine règle ou un aspect particulier) de ladite directive.

42.      Si nous nous penchons sur les dispositions spécifiques d’ordre « procédural » de la directive 95/46 dont il est question en l’espèce, à savoir ses articles 22 à 24, force est de constater qu’ils sont rédigés en des termes assez généraux (17). En tenant compte du niveau de généralité et d’abstraction de ces dispositions, il serait en effet assez frappant d’envisager qu’elles produisent un effet de préemption législative, excluant l’adoption par les États membres de toute mesure qui n’y figurerait pas explicitement (18).

43.      Troisièmement, un autre argument soulevé par la défenderesse au principal est relatif au risque qui pèserait sur l’indépendance des autorités de contrôle (19). En substance, il est soutenu que si les associations de consommateurs devaient se voir reconnaître une qualité pour agir, elles intenteraient des actions en justice parallèlement ou aux lieux et place des autorités de contrôle, d’où il s’ensuivrait des pressions exercées par le public et un parti pris des autorités de contrôle, voire serait contraire à l’exigence de totale indépendance desdites autorités posée par l’article 28, paragraphe 1, de la directive 95/46.

44.      Cet argument paraît léger. À condition qu’une telle autorité soit effectivement réellement indépendante (20), j’ai du mal, tout comme le gouvernement allemand, à voir comment une action en justice, telle que celle faisant l’objet du litige au principal, pourrait menacer cette indépendance. Une association ne peut faire appliquer la loi dans le sens où elle ferait prévaloir ses vues aux autorités de contrôle de manière contraignante. Ce rôle est exclusivement dévolu aux tribunaux. Une association de consommateurs peut uniquement intenter une action en justice, et ce comme tout particulier qui est un consommateur. Par conséquent, affirmer effectivement que toute action (privée) en justice intentée par un particulier ou par une association de consommateurs exercerait des pressions sur l’autorité de contrôle chargée des procédures d’exécution (publique) et qu’il ne saurait être admis qu’une telle voie existe parallèlement au système de procédures d’exécution publique, est tellement incongru qu’il n’y a pas lieu d’examiner plus avant cet argument (21).

45.      Quatrièmement et enfin, je vais examiner l’argument selon lequel l’article 80, paragraphe 2, du RGPD doit être compris comme ayant modifié (et mis fin à) la situation antérieure en instituant ce qui n’existait pas auparavant (la qualité pour agir des associations).

46.      Cet argument n’emporte pas la conviction.

47.      Il importe de rappeler qu’avec le RGPD remplaçant la directive 95/46, la nature de l’acte juridique renfermant la réglementation a changé, passant de celle d’une directive à celle d’un règlement. Ce changement signifie qu’à la différence d’une directive, pour laquelle les États membres sont libres de choisir la manière de transposer le contenu de cet acte législatif, l’adoption de mesures nationales de transposition d’un règlement n’est en principe permise que si elle est expressément autorisée.

48.      Vu sous cet angle, l’argument selon lequel la disposition explicite sur la qualité pour agir des associations, figurant aujourd’hui dans le RGDP, signifie qu’une telle qualité était exclue sous l’empire de la directive 95/46 est contestable. Dans la mesure où un argument pourrait être tiré d’une telle juxtaposition (22), ce serait plutôt dans le sens contraire : si le fait d’instituer des règles permettant une telle qualité pour agir n’était pas exclu par la directive postérieure (au vu des arguments exposés ci‑dessus), le changement de nature juridique par le passage d’une directive à un règlement justifierait l’inclusion d’une telle disposition afin de préciser que cette faculté demeure effectivement.

49.      Dès lors, au vu des considérations qui précèdent, ma première conclusion intermédiaire est que la directive 95/46 ne fait pas obstacle à une réglementation nationale qui habilite des associations d’utilité publique à agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données pour la défense des intérêts des consommateurs.

B.      Fashion ID estelle un responsable du traitement ?

50.      Par sa deuxième question, la juridiction de renvoi demande si, du fait qu’elle a inséré un plugiciel dans son site Web permettant au navigateur de l’utilisateur de solliciter des contenus d’un tiers et, à cet effet, de transmettre au tiers des données à caractère personnel, la défenderesse au principal doit être considérée comme le « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46, même lorsqu’elle ne peut avoir elle‑même aucune influence sur ce processus de traitement des données.

51.      Par l’absence de possibilité d’avoir une influence sur le processus de traitement des données, comme le formule la juridiction de renvoi, je comprends que, dans le contexte du litige au principal, n’est pas visé le fait d’avoir causé le processus de traitement des données (et, de fait, il est manifeste que la défenderesse au principal a une influence, car elle a inséré le plugiciel en cause). Il me semble qu’est plutôt visé le traitement en aval des données par Facebook Ireland.

52.      Comme le relève la juridiction de renvoi, la réponse à sa deuxième question aura des incidences allant bien au‑delà de la présente espèce et du réseau social opéré par Facebook Ireland. Un grand nombre de sites Web insèrent des contenus provenant de tiers et de nature diverse. Si une personne telle que la défenderesse au principal devait être qualifiée de « responsable du traitement », responsable (conjoint) de tout traitement (en aval) des données collectées du fait que ce gestionnaire d’un site Web a inséré des contenus d’un tiers permettant un tel transfert de données, une telle constatation produirait effectivement des effets bien plus importants sur la manière de gérer des contenus de tiers.

53.      Dans l’architecture de la présente espèce, la deuxième question préjudicielle déférée est également la question‑clef qui plonge au cœur du problème : en présence de contenus de tiers insérés dans des sites Web, qui est responsable de quoi exactement ? C’est également la précision (ou l’imprécision) de la réponse à cette question qui aura des incidences sur la réponse aux questions suivantes sur les intérêts légitimes, le consentement et l’obligation d’information.

54.      Dans cette section, je commencerai par faire quelques remarques liminaires sur la notion de « données à caractère personnel », pertinentes en l’espèce (1). Je présenterai ensuite la jurisprudence récente de la Cour pour proposer une réponse à la deuxième question, si cette jurisprudence doit être suivie telle quelle (2). J’exposerai ensuite pourquoi d’autres questions mériteraient peut‑être d’être posées et, dans le contexte du présent litige, une analyse plus affinée (3). Je conclurai en soulignant, pour les besoins de la définition de la notion de « responsable (conjoint) du traitement », l’importance de l’unicité des « finalités et moyens » qui devrait exister entre les responsables (conjoints) du traitement relativement à chaque étape du traitement des données à caractère personnel (le processus de traitement des données) dont il s’agit (4).

1.      Les données à caractère personnel dont il est question en l’espèce

55.      Il convient de rappeler que la notion de « données à caractère personnel » est définie à l’article 2, sous a), de la directive 95/46 comme devant s’entendre par « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ». En outre, le considérant 26 de ladite directive énonce que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ».

56.      La Cour a déjà précisé que, dans certaines circonstances, une adresse IP peut constituer une donnée à caractère personnel (23). Elle a ajouté que, pour qu’une personne soit une « personne identifiable », au sens de l’article 2, sous a), de la directive 95/46, « il n’est pas nécessaire que cette information permette, à elle seule, d’identifier la personne concernée » et que des informations supplémentaires peuvent s’avérer nécessaires. Elle a également jugé qu’« il n’est pas requis que toutes les informations permettant d’identifier la personne concernée doivent se trouver entre les mains d’une seule personne », car la possibilité de combiner les données « constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée » (24).

57.      La juridiction de renvoi ne s’interroge pas sur le point de savoir si l’adresse IP, seule ou avec la chaîne de caractères du navigateur de l’utilisateur, qui est également transmise, constitue une donnée à caractère personnel au sens de ce critère. Facebook Ireland semble contester cette qualification (25).

58.      Il est clair que c’est au juge national qu’il incombe de procéder à cette appréciation. De règle générale, s’agissant de plugiciels qui peuvent être insérés ou de tous autres contenus de tiers, pour qu’une donnée puisse être considérée avoir un caractère personnel, il faut qu’elle permette d’identifier la personne concernée (que ce soit directement ou indirectement). Pour les besoins de la présente espèce, je tiens pour acquis que, comme les questions déférées par la juridiction de renvoi semblent l’indiquer, dans les circonstances du litige au principal, l’adresse IP et la chaîne de caractères du navigateur de l’utilisateur constituent effectivement des données à caractère personnel répondant aux critères de l’article 2, sous a), de la directive 95/46 tels que précisés par la Cour.

2.      L’arrêt Wirtschaftsakademie SchleswigHolstein a parlé, la cause est entendue ?

59.      En ce qui concerne la réponse à la deuxième question, la défenderesse au principal et Facebook Ireland soutiennent que la première ne saurait être considérée être responsable du traitement, car elle n’a aucune influence sur les données à caractère personnel devant faire l’objet d’un traitement. Seule Facebook Ireland peut donc être qualifiée en tant que tel. Subsidiairement, Facebook Ireland fait valoir qu’elle agit ensemble avec la défenderesse au principal en tant que responsables conjoints du traitement, mais que la responsabilité de cette dernière doit être limitée à sa sphère d’influence réelle.

60.      La demanderesse au principal, la LDI NW, tous les gouvernements qui sont intervenus à l’instance, ainsi que la Commission, partagent en substance les vues selon lesquelles la notion de « responsable du traitement » s’entend largement et inclut la défenderesse au principal. Toutefois, sur la portée exacte de la responsabilité de la défenderesse au principal, leurs vues divergent assez largement. Les différences portent sur les points de savoir si oui ou non la défenderesse au principal et Facebook Ireland doivent être tenues pour conjointement responsables, si leur responsabilité conjointe doit oui ou non être limitée à la phase de traitement des données à caractère personnel où la défenderesse au principal est effectivement impliquée et si, dans ce contexte, il faut faire une distinction entre les visiteurs de son site Web qui ont un compte Facebook et ceux qui n’en ont pas.

61.      Pour commencer, il est clair qu’aux termes de l’article 2, sous d), de la directive 95/46, la notion de « responsable du traitement » vise quiconque qui, « seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (26). Par conséquent, la notion de « responsable du traitement » peut concerner plusieurs acteurs participant au traitement de données à caractère personnel (27) et elle doit donc être intreprétée largement (28).

62.      La Cour s’est récemment prononcée sur la question de la responsabilité conjointe du traitement dans l’arrêt Wirtschaftsakademie Schleswig‑Holstein (29). Sur le rôle de l’administrateur d’une page fan sur Facebook, la Cour a conclu que celui‑ci doit être qualifié de responsable du traitement, conjointement avec Facebook Ireland, au sens de l’article 2, sous d), de la directive 95/46. Ceci parce qu’il participe, conjointement avec Facebook Ireland, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan (30).

63.      Plus précisément, la Cour a constaté qu’en ayant créé la page fan dont il était question dans cette affaire, le responsable du traitement avait offert à Facebook Ireland la « possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan » et donc de procéder à un traitement des données à caractère personnel (31). Elle a également constaté que « la création d’une page fan sur Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page fan » (32). Les traitements de données en cause dans cette affaire visaient notamment à permettre, d’une part, à Facebook Ireland « d’améliorer son système de publicité » et, d’autre part, à l’administrateur d’obtenir des statistiques sous une forme anonymisée à des fins de gestion de la promotion de son activité (33).

64.      La Cour en a conclu que, « par son action de paramétrage », l’administrateur concerné participait à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. Il devait donc être qualifié de responsable de ce traitement, conjointement avec Facebook Ireland (responsabilité « encore plus importante » concernant les données à caractère personnel des personnes qui ne sont pas utilisateurs de Facebook Ireland) (34).

65.      Dans l’arrêt Jehovan todistajat, la Cour a souligné une autre précision importante relativement à la notion de « responsable du traitement conjointement » : la responsabilité conjointe de plusieurs acteurs ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées. Dès lors, une communauté religieuse peut être responsable du traitement conjointement même si, apparemment, elle n’avait pas accès aux données à caractère personnel concernées. Dans cette espèce, c’était les membres de la communauté des Témoins de Jéhovah qui détenaient physiquement ces données. Il a suffi que l’activité de prédication au cours de laquelle, semble‑t‑il, les données à caractère personnel étaient collectées, soit organisée, coordonnée et encouragée par ladite communauté (35).

66.      À un degré plus élevé d’abstraction et en se focalisant uniquement sur la notion de « responsabilité conjointe du traitement », je suis assez enclin à admettre qu’au vu de cette jurisprudence récente, il doit être conclu que la défenderesse au principal se comporte comme un tel responsable du traitement et qu’elle agit conjointement avec Facebook Ireland pour le traitement des données (36).

67.      Premièrement, la défenderesse au principal a permis à Facebook Ireland d’obtenir les données à caractère personnel des utilisateurs de son site Web en ayant recours au plugiciel en cause.

68.      Deuxièmement, il est vrai que, contrairement à l’administrateur du site en cause dans l’affaire ayant donné lieu à l’arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), la défenderesse au principal ne semble pas déterminer les paramètres des informations sur ses utilisateurs qui lui reviendraient sous une forme anonymisée ou autre. Le « bénéfice » recherché semble être la publicité gratuite pour ses produits qui se produirait lorsque l’utilisateur de son site Web clique sur le bouton « j’aime » de Facebook pour partager sur son compte Facebook son avis sur, par exemple, une robe de cocktail noire. Par conséquent et sous réserve d’une vérification factuelle par la juridiction de renvoi, le recours au plugiciel permet à la défenderesse au principal d’optimiser la publicité pour ses produits en ayant la possibilité de les rendre visibles sur Facebook.

69.      Ou alors, vu sous un autre angle, il peut être soutenu que la défenderesse au principal détermine (conjointement) les paramètres des données collectées par la simple insertion du plugiciel en cause dans son site Web. C’est ce plugiciel qui fournit les paramètres des données à caractère personnel devant être collectées. Par conséquent, en insérant délibérément le plugiciel dans son site Web, la défenderesse au principal a déterminé ces paramètres pour tout visiteur de son Web.

70.      Troisièmement et en tout état de cause, à la lumière de l’arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), un responsable conjoint du traitement peut toujours être qualifié en tant que tel sans même avoir accès à de quelconques « fruits d’un travail commun ». Le fait que la défenderesse au principal ne paraît pas avoir accès aux données transmises à Facebook ou qu’elle ne semble pas recevoir en retour des statistiques individualisées ou agrégées n’apparaît donc pas être déterminant.

3.      Les problèmes : qui alors n’est pas le responsable conjoint du traitement ?

71.      Une protection efficace peut‑elle se trouver renforcée si tout le monde en est responsable ?

72.      Tel est en substance le dilemme plus profond sur les plans moral et pratique soulevé par la présente espèce, exprimé en termes juridiques par la portée de la définition du responsable (conjoint) du traitement. Dans un souhait bien compréhensible de garantir une protection efficace des données à caractère personnel, la jurisprudence récente de la Cour s’est montrée très large lorsqu’elle a été amenée à définir d’une manière ou d’une autre la notion de responsable (conjoint) du traitement. Toutefois, la Cour n’a pas jusqu’à présent été confrontée aux conséquences pratiques d’une telle approche extensive sur les phases suivantes en termes d’obligations et de responsabilités précises des parties qualifiées de responsables du traitement. La présente espèce étant précisément une telle occasion, je propose de la saisir afin de renforcer la précision des définitions qui devraient être retenues pour la notion de « responsable (conjoint) du traitement ».

a)      Des obligations et des responsabilités

73.      Si l’on examine avec un œil critique le critère applicable pour déterminer un « responsable conjoint du traitement », il semble que, suivant les arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), et du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), l’élément décisif soit que la personne visée ait « permis » la collecte et le transfert de données à caractère personnel en y ajoutant éventuellement l’influence qu’un tel responsable conjoint du traitement peut avoir sur les paramètres (ou du moins lorsqu’ils sont approuvés tacitement) (37). Si tel est effectivement le cas, alors, nonobstant l’intention de l’exclure, clairement affirmée dans l’arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig‑Holstein (38), il est difficile de voir comment des utilisateurs normaux d’une application en ligne, que ce soit un réseau social ou toute autre plateforme collaborative, voire d’autres programmes (39), ne deviendraient pas de responsables conjoints du traitement. Généralement, un utilisateur ouvrira un compte en fournissant des paramètres à l’administrateur sur la manière dont il doit être structuré ainsi que sur qui et sur quoi il souhaite recevoir des informations. Il invitera également ses amis, ses collègues et d’autres à partager des informations sous forme de données à caractère personnel (parfois très sensibles) par le biais de l’application, c’est‑à‑dire que non seulement il fournira des données sur ces personnes, mais il les invitera à s’impliquer, contribuant ainsi clairement à l’obtention et au traitement de données à caractère personnel les concernant.

74.      En outre, quid des autres acteurs de la « chaîne de données à caractère personnel » ? Poussé à l’extrême, si l’unique critère pertinent de la responsabilité conjointe est d’avoir rendu possible le traitement de données, contribuant ainsi effectivement à ce traitement à quelque stade que ce soit, est‑ce que le fournisseur d’accès à Internet, qui rend possible le traitement des données parce qu’il fournit un accès à Internet, voire le fournisseur d’électricité, doivent également être considérés comme responsables conjoints du traitement, avec une responsabilité conjointe du traitement de données à caractère personnel ?

75.      Intuitivement, la réponse est évidemment « négative ». Le problème vient de ce que, jusqu’à présent, la délimitation des responsabilités ne découle pas de la définition large de la notion de « responsable du traitement ». Le danger que représente une définition trop large est qu’elle conduit à ce qu’un grand nombre de personnes deviennent responsables conjoints du traitement de données à caractère personnel.

76.      Mais à la différence des affaires ayant donné lieu aux arrêts rapportés ci‑dessus, les questions déférées en l’espèce par la juridiction de renvoi ne s’arrêtent pas à la définition de « responsable du traitement ». Elles soulèvent et approfondissent d’autres interrogations en termes de répartition des obligations effectivement imposées par la directive 95/46. En elles‑mêmes, ces interrogations témoignent des problèmes posées par une définition trop inclusive de la notion de « responsable du traitement », surtout lorsqu’elle est conjuguée avec l’absence de règle précise sur le point de savoir quelles sont les obligations et les responsabilités spécifiques des responsables de traitement en vertu de la directive 95/46. Les observations sur les cinquième et sixième questions déposées par des parties intéressées, concernées par l’exacte répartition des responsabilités en vertu de ladite directive, viennent l’illustrer à merveille.

77.      La cinquième question déférée demande en substance qui doit obtenir le consentement de la personne concernée et pour quelle finalité. Les réponses proposées sont extrêmement diverses.

78.      La demanderesse au principal et LDI NW estiment que c’est à la défenderesse au principal, qui a inséré le plugiciel en cause, qu’incombe l’obligation d’obtenir le consentement informé de la personne concernée. La demanderesse au principal considère que c’est d’autant plus important pour ceux qui ne sont pas des utilisateurs de Facebook, car ils n’en ont pas acceptées les conditions générales d’utilisation. La thèse soutenue par la défenderesse au principal est que le consentement doit être donné au tiers fournissant le contenu inséré, à savoir Facebook Ireland. Cette dernière est d’avis que le consentement n’a pas à être donné à une personne particulière, car la directive 95/46 se borne à dire que celui‑ci doit être libre, spécifique et informé.

79.      Les gouvernements autrichien, allemand et polonais considèrent que le consentement doit être donné avant tout traitement des données, le gouvernement autrichien précisant que ce consentement doit porter à la fois sur la collecte des données et sur leur éventuelle transmission. Le gouvernement polonais insiste sur le fait que le consentement doit être donné à la défenderesse au principal. Pour sa part, le gouvernement allemand considère que le consentement doit être donné à la défenderesse au principal ou au tiers fournissant le contenu inséré (à savoir, Facebook Ireland), car les deux sont responsables conjointement du traitement. La défenderesse au principal n’a à recevoir que le consentement pour la transmission des données à un tiers, car elle n’est plus responsable du traitement et de l’utilisation des données en aval. Néanmoins, cela n’exclut pas la possibilité pour que le gestionnaire du site Web recueille un consentement pour le traitement par un tiers qui peut faire l’objet d’une convention entre eux. Le gouvernement italien prône que le consentement soit recueilli par tous ceux qui interviennent dans le traitement des données à caractère personnel, à savoir la défenderesse au principal et Facebook Ireland. Le gouvernement belge et la Commission souligne que la directive 95/46 ne précise pas qui doit recueillir le consentement.

80.      Le point de savoir à qui incombe l’obligation d’information énoncée à l’article 10 de la directive 95/46 et sur quoi exactement, objet de la sixième question déférée par la juridiction de renvoi, suscite elle aussi une grande variété de points de vue.

81.      La demanderesse au principal soutient que c’est au gestionnaire du site Web qu’incombe l’obligation de communiquer les informations nécessaires à la personne concernée. La défenderesse au principal est d’un avis contraire, soulignant que c’est à Facebook Ireland de fournir les informations, car elle‑même n’en a pas une connaissance précise. De même, Facebook Ireland fait valoir que c’est elle qui est tenue par l’obligation d’information, car cette obligation incombe au seul responsable du traitement (ou son représentant). Elle relève que la réponse à la sixième question est étroitement liée au point de savoir si le gestionnaire du site Web peut être qualifié de responsable du traitement. L’article 10 de la directive 95/46 montre clairement en quoi il serait inadéquat de qualifier ce gestionnaire de site Web de « responsable du traitement », car il n’est pas en mesure de fournir ces informations. LDI NW estime que l’information doit être communiquée par le gestionnaire du site Web, tout en reconnaissant la difficulté à déterminer quelles informations doivent être fournies, car la défenderesse au principal n’exerce aucune influence sur le traitement des données par Facebook Ireland. L’imbrication des objectifs poursuivis avec le traitement des données milite nettement en faveur d’une certaine coresponsabilité du gestionnaire du site Web dans le traitement de données qu’il a rendu possible.

82.      Selon les gouvernements belge, italien et polonais, l’obligation d’informer s’applique également au gestionnaire d’un site Web tel que celui en cause en l’espèce, car il doit être considéré comme un « responsable du traitement ». Le gouvernement belge ajoute que le gestionnaire d’un site Web peut également avoir à vérifier à quelles fins le tiers traitera les données à caractère personnel et s’il doit prendre des mesures appropriées pour garantir effectivement la protection des personnes physiques à cet égard. Le gouvernement allemand soutient que l’obligation d’information pèse sur le gestionnaire du site Web dans la mesure où il est responsable du traitement des données, à savoir de leur transmission au fournisseur externe du contenu inséré, mais pas pour tous les autres processus de traitement des données subséquents, lesquels relèvent de la seule responsabilité de ce fournisseur externe. Le gouvernement autrichien et la Commission considèrent tous les deux que tant le gestionnaire du site Web que le fournisseur externe sont soumis à l’obligation d’information de l’article 10 de la directive 95/46.

83.      Au‑delà des problématiques soulevées par la cinquième et par la sixième questions, il peut être ajouté que des difficultés similaires d’ordre conceptuel sont également susceptibles de naître à l’examen des autres obligations prévues par la directive 95/46, par exemple le droit d’accès faisant l’objet de son article 12. Il est vrai que l’arrêt Wirtschaftsakademie Schleswig‑Holstein a constaté que « la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées » (40). Toutefois, un responsable du traitement n’a pas lui‑même accès aux données à propos desquelles il n’en est pas moins qualifié de responsable conjoint, car en toute logique, il ne peut donner accès à aucune personne concernée (sans même évoquer les opérations subséquentes, par exemple la rectification ou l’effacement).

84.      Dès lors, à ce stade, l’obscurité en amont sur un plan conceptuel (à savoir qui est le responsable du traitement et de quoi exactement), qui peut parfois conduire à une absence de clarté en aval (quelle obligation incombe à qui), conduit à une impossibilité réelle pour un éventuel responsable de traitement de se conformer à la réglementation en vigueur.

85.      Il pourrait certainement être proposé que le partage exact des responsabilités entre les responsables de traitement (potentiellement de nombreux responsables conjoints) fasse l’objet de conventions. Celles‑ci devraient non seulement prévoir la répartition des responsabilités, mais également déterminer quelles parties sont censées se conformer à chacune des obligations prévues par la directive 95/46, en ce compris celles qui ne peuvent physiquement être assumées par une seule partie.

86.      Cette proposition me paraît assez problématique. En premier lieu, elle est parfaitement irréaliste, compte tenu du nombre important de contrats‑types formalisés qui devraient être signés par toutes sortes de parties, en ce compris, plus que vraisemblablement, des utilisateurs ordinaires (41). En deuxième lieu, l’application de la réglementation en vigueur et la répartition des responsabilités qu’elle prévoit reposerait sur des conventions privées auxquelles des tiers demandant à faire valoir leurs droits n’auraient pas forcément accès.

87.      En troisième lieu et en anticipant peut‑être sur certaines de ces interrogations, l’article 26 du RGPD semble instituer un nouveau régime de responsabilité conjointe. Certes, il est vrai que le RGPD n’était applicable ratione temporis ni aux litiges évoqués ci‑dessus ni au litige au principal. Toutefois, à moins que les définitions de la nouvelle réglementation ne dérogent spécifiquement et systématiquement à celles qui sont pertinentes en l’espèce, ce qui ne semble pas être le cas, car l’article 4 du RGPD reprend largement les mêmes termes que l’article 2 de la directive 95/46 (tout en procédant à des ajouts), il serait étonnant que l’interprétation de notions aussi essentielles que celles de « responsable du traitement », de « traitement » ou de « données à caractère personnel » s’écarte significativement (sans d’excellentes raisons) de la jurisprudence actuelle.

88.      Si tel devait pourtant être le cas, alors ce qui semble être un régime de coresponsabilité des responsables conjoints du traitement institué par l’article 26, paragraphe 3, du RGPD s’apparenterait à une gageure. D’un côté, en son article 26, paragraphe 1, le RGPD prévoit clairement que les responsables conjoints du traitement « définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences ». D’un autre côté, son article 26, paragraphe 3, dispose que « la personne concernée peut exercer les droits » « à l’égard de et contre chacun des responsables du traitement ». Par conséquent, tout responsable conjoint du traitement peut voir sa responsabilité engagée pour le traitement des données en question.

b)      La perspective plus large

89.      Il y a bien longtemps (les aficionados d’une certaine franchise de science‑fiction seraient tentés d’ajouter « dans une galaxie lointaine »), être inscrit sur un réseau social était du plus grand chic. Puis, progressivement, il est devenu du plus grand chic de ne pas être inscrit sur un réseau social. Aujourd’hui, c’est presque devenu un péché d’être inscrit à de tels réseaux (pour lesquels de nouvelles responsabilités indirectes doivent être instituées).

90.      Il ne peut être nié que le processus de décision juridictionnelle s’inscrit dans un contexte sociétal évolutif. Il doit certainement s’adapter à ce contexte, mais ne pas se laisser dominer par celui‑ci. Comme toute application ou comme tout logiciel, un réseau social est un outil. Tout comme un couteau ou une automobile, il peut être utilisé de nombreuses manières. De même, il ne fait pas l’ombre d’un doute que s’il est utilisé à des fins mal intentionnées, un tel usage doit être sanctionné. Mais sanctionner tous ceux qui ont fait usage d’un couteau n’est peut‑être pas des plus judicieux. Normalement, seul celui qui maîtrisait le couteau lorsqu’il a servi pour causer un dommage est poursuivi.

91.      Il devrait donc y avoir, peut‑être pas toujours une concordance parfaite, mais au moins un minimum de corrélation entre le pouvoir, le contrôle et la responsabilité. Les lois modernes intègrent évidemment diverses formes de responsabilité objective, dont la mise en œuvre est déclenchée par la simple occurrence de certains événements. Mais elles relèvent généralement des exceptions justifiées. Si une responsabilité est imputée sans aucune explication motivée à une personne n’ayant aucun contrôle sur le résultat, une telle imputation serait jugée déraisonnable et injuste (42).

92.      En outre, dans sa réponse à la question posée en introduction de la présente section (au point 71), une personne originaire de régions plus orientales de l’Union européenne pourrait, compte tenu de son expérience historique, être d’avis qu’une protection efficace tend à s’amoindrir significativement si tout le monde en est responsable. Rendre tout le monde responsable revient en fait à ce que personne n’est responsable. Ou plutôt que la partie qui aurait dû être tenue pour responsable de certains agissements, celle qui est effectivement responsable du contrôle, se drapera derrière tous les autres « responsables conjoints » en théorie et l’efficacité de la protection s’en trouvera significativement amoindrie.

93.      Enfin, aucune bonne (interprétation de la) loi ne devrait aboutir à ce que les obligations qu’elle prévoit ne peuvent effectivement être assumées par ses destinataires. Dès lors, à moins que la définition solide de la notion de « responsable (conjoint) du traitement » ne soit pas censée se transformer en injonction légale de déconnexion applicable à tous les acteurs et que l’on s’abstienne de recourir aux réseaux sociaux, plugiciels et éventuellement les contenus de tiers, il faut alors, lors de la définition des obligations et des responsabilités, faire une place à la réalité en incluant là encore les éléments de la connaissance, du véritable pouvoir de négociation et de la possibilité d’exercer une influence sur toutes les activités insérées (43).

4.      Retour aux racines (législatives) : de l’unité des finalités et des moyens relativement à un certain processus de traitement

94.      Bien que son approche de la définition de la notion de « responsabilité conjointe du traitement » ait été assez solide dans l’arrêt Wirtschaftsakademie Schleswig‑Holstein, la Cour n’en a pas moins suggéré la nécessité de limiter celle du responsable conjoint du traitement. Plus précisément, la Cour a souligné que « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. [...] ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce » (44).

95.      Si l’affaire ayant donné lieu à l’arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), n’appelait pas de réponse à cette interrogation, il n’en va pas de même de la présente espèce, la juridiction de renvoi demandant explicitement à la Cour de déterminer les éventuelles obligations pouvant incomber à la défenderesse au principal découlant de sa qualité de responsable du traitement.

96.      Compte tenu du nouveau système de responsabilité conjointe institué par l’article 26 du RGPD, il peut être difficile de prévoir comment une responsabilité conjointe pourrait impliquer une responsabilité inégale pour un même résultat en matière de traitement éventuellement (il)licite de données à caractère personnel. Ceci d’autant plus à la lumière de l’article 26, paragraphe 3, du RGPD qui semble s’orienter vers une responsabilité conjointe (et solidaire) (45).

97.      Je suis cependant d’avis que la constatation la plus importante de la Cour est la seconde, à savoir que les « opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés ». Cette constatation est étayée par les définitions posées par la directive 95/46, notamment et premièrement, la notion de « traitement » de son article 2, sous b), et, deuxièmement, celle de « responsable du traitement » de son article 2, sous d).

98.      Premièrement, la notion de « traitement de données à caractère personnel » est définie par « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

99.      Même si, comme celle de « responsable du traitement », la notion de « traitement » est définie largement (46), il n’en demeure pas moins qu’elle souligne et vise clairement une étape du processus de traitement : elle vise toute opération ou ensemble d’opérations avec une énumération donnant des exemples de ce qui peut constituer de telles opérations. Mais alors, en toute logique, la question de la responsabilité devrait être appréciée au regard de l’opération discrète dont il s’agit et non au regard d’un ensemble de tout et de n’importe quoi qualifié de traitement (47).

100. Deuxièmement, la notion de responsabilité conjointe n’est pas définie de manière spécifique par la directive 95/46. En toute logique, elle doit reposer sur celle de « responsable du traitement » de son article 2, sous d) : il y a responsabilité conjointe lorsque deux ou plusieurs personnes déterminent ensemble les moyens et les finalités du traitement de données à caractère personnel (48). En d’autres termes, pour que deux (ou plusieurs) personnes puissent être qualifiées de responsables conjoints du traitement, il faut entre elles une identité de finalités et de moyens dans le traitement des données à caractère personnel.

101. À mon avis, c’est la combinaison de ces deux définitions qui devrait permettre de déterminer les obligations et les éventuelles responsabilités. Est responsable (conjoint) du traitement celui qui est responsable de cette opération ou de cet ensemble d’opérations pour laquelle ou lesquelles il partage ou détermine conjointement les finalités et les moyens d’une opération donnée de traitement. Par opposition, cette personne ne peut être tenue pour responsable des phases antérieures ou postérieures de la chaîne de traitement pour lesquelles il n’est en mesure d’en déterminer ni les finalités ni les moyens.

102. En l’espèce, la phase pertinente (les opérations) du processus correspond à la collecte et à la transmission de données à caractère personnel rendues possibles par le biais du bouton « j’aime » de Facebook.

103. Premièrement, en ce qui concerne les moyens de ces opérations de traitement de données, il paraît établi, comme l’indiquent la demanderesse au principal, LDI NW et le gouvernement allemand, que la défenderesse au principal décide de l’utilisation du plugiciel en cause qui sert d’outil de collecte et de transmission de données à caractère personnel. Cette collecte et cette transmission sont déclenchées par le simple fait de se connecter au site Web de la défenderesse au principal. Le plugiciel a été fourni par Facebook Ireland. Tant cette dernière que la défenderesse au principal paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données. Il va de soi qu’il incombe à la juridiction nationale de vérifier ces faits.

104. Deuxièmement, si nous nous penchons sur les finalités du processus de traitement des données, la décision de renvoi ne précise pas les raisons pour lesquelles la défenderesse au principal a décidé d’insérer le bouton « j’aime » de Facebook sur son site Web. Mais, sous réserve de vérification par la juridiction de renvoi, cette décision paraît motivée par le souhait d’améliorer la visibilité de ses produits par le biais du réseau social. En même temps, il semble également que Facebook Ireland exploite les données transférées à ses propres fins commerciales.

105. Nonobstant le fait que les utilisations précises des données à des fins commerciales ne soient pas nécessairement les mêmes, tant la défenderesse au principal que Facebook Ireland paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire. À défaut d’identité, il y a donc une unité de la finalité : il y a une finalité commerciale et publicitaire.

106. Sur la base des faits de la présente espèce, il semble donc que la défenderesse au principal et Facebook Ireland décident conjointement des moyens et des finalités du processus de traitement des données au stade de la collecte et de la transmission des données à caractère personnel dont il est question. Dans cette mesure, la défenderesse au principal agit en tant que responsable du traitement et, dans cette même mesure, elle en est conjointement responsable avec Facebook Ireland.

107. En même temps, je suis d’avis que la responsabilité de la défenderesse au principal doit être limitée à la phase de traitement des données qu’elle pratique et elle ne saurait déborder sur les phases subséquentes de traitement de données, si celui‑ci échappe à son contrôle et, semble‑t‑il, est réalisé à son insu.

108. Au vu des considérations qui précèdent, ma deuxième conclusion intermédiaire sera donc que quiconque, telle la défenderesse au principal, a inséré sur son site Web un plugiciel d’un tiers qui collecte et transmet des données à caractère personnel (ledit tiers ayant fourni le plugiciel) doit être considéré comme un « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46. Toutefois, la responsabilité (conjointe) de ce responsable du traitement est limitée aux seules opérations pour lesquelles il est effectivement codécideur des moyens et des finalités du traitement des données à caractère personnel.

109. Il convient d’ajouter que cette conclusion répond également à la troisième question préjudicielle déférée. Par cette question, la juridiction de renvoi demande de préciser si, en substance, la directive 95/46 s’oppose à l’application à la défenderesse au principal de la notion du droit national de « perturbateur » (Störer) s’il devait être établi qu’elle ne peut pas être considérée comme la « responsable du traitement ». Suivant la décision de renvoi, la notion de « perturbateur » (Störer) demande que celui qui ne porte pas lui‑même atteinte à un droit, mais a créé ou accru le risque d’une atteinte par un tiers, peut être tenu à ce titre de faire tout ce qu’il peut et qu’on peut attendre de lui pour empêcher cette atteinte. Si la défenderesse au principal ne doit pas être considérée comme la « responsable du traitement », la juridiction de renvoi indique que les conditions d’application de la notion de « perturbateur » (Störer) pourraient être réunies, car en insérant le plugiciel du bouton « j’aime » de Facebook, la défenderesse au principal a en tout cas créé le risque d’une violation de la loi par Facebook.

110. Compte tenu de la réponse à la deuxième question préjudicielle déférée par la juridiction de renvoi, il n’y a pas lieu de répondre à sa troisième question. Une fois qu’il est établi qu’une personne doit être qualifiée de « responsable du traitement » au sens de la directive 95/46, ses obligations à ce titre doivent être appréciées à la lumière de celles prescrites par ladite directive. Toute autre conclusion conduirait à ce que les responsables du traitement se voient imputer des responsabilités différentes pour une même infraction en fonction des États membres. En ce sens et au vu de la définition de la notion de « responsable du traitement », la directive 95/46 réalise effectivement une harmonisation totale à l’égard de ses destinataires des obligations définies (49).

C.      Des intérêts légitimes dont il doit être tenu compte en vertu de l’article 7, sous f), de la directive 95/46

111. La quatrième question préjudicielle déférée en l’espèce est relative à la légitimité du traitement de données à caractère personnel en l’absence de consentement de la personne concernée, au sens de l’article 7, sous a), de la directive 95/46.

112. À cet égard, la juridiction de renvoi invoque l’article 7, sous f), de cette directive, aux termes duquel le traitement de données à caractère personnel peut être effectué s’il « est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée [...] ». Plus précisément, la juridiction de renvoi demande à ce que soit précisé les intérêts légitimes de qui il convient de tenir compte dans le contexte du litige au principal : ceux de la défenderesse au principal qui a inséré le contenu d’un tiers ou ce dernier (à savoir Facebook Ireland) (50) ?

113. À titre liminaire, il mérite d’être relevé que la Commission est d’avis que la quatrième question est dénuée de pertinence, car en l’espèce, le consentement de la personne doit être donné en tout état de cause en application de la réglementation transposant la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (51).

114. Je partage les vues de la Commission selon lesquelles la directive 2002/58 (dont l’article 1er, paragraphe 2, vient préciser et compléter la directive 95/46 dans le secteur des communications électroniques) (52) semble applicable à la situation de l’espèce dans la mesure où des témoins de connexion sont insérés dans l’équipement terminal de l’utilisateur (53). De plus, l’article 2, sous f), et le considérant 17 de la directive 2002/58 précisent que le « consentement » au sens de ladite directive correspond au « consentement de la personne concernée » de la directive 95/46.

115. Le point de savoir si, en l’espèce, des témoins de connexions ont été insérés a été longuement débattu lors de l’audience. Il appartient à la juridiction nationale de préciser ce fait. Cependant et en tout état de cause, comme il l’est indiqué dans la décision de renvoi, la juridiction de renvoi considère que les données transmises sont des données à caractère personnel (54). Par conséquent, la question des témoins de connexion ne paraît pas permettre de répondre à toutes les interrogations que la présente espèce fait naître au sujet du traitement des données (55).

116. Je suis donc d’avis que la quatrième question mérite un examen plus approfondi.

117. La demanderesse au principal fait valoir que l’intérêt légitime qui doit être pris en compte est celui de la défenderesse au principal. Elle ajoute qu’en l’espèce, ni cette dernière ni Facebook Ireland ne peuvent prétendre avoir un intérêt légitime.

118. La défenderesse au principal et Facebook Ireland soutiennent, en substance, que les intérêts légitimes qui doivent être pris en compte sont ceux de celui qui insère le contenu d’un tiers ainsi que ceux dudit tiers, tout en prenant en considération les intérêts des visiteurs du site Web dont les droits fondamentaux peuvent être atteints.

119. LDI NW ainsi que les gouvernements polonais, allemand et italien sont d’avis que tant les intérêts de la défenderesse au principal que ceux de Facebook Ireland doivent être pris en considération, car elles ont toutes les deux permis le traitement en cause. Le gouvernement autrichien défend sensiblement le même point de vue. De même et en se référant à l’arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317), le gouvernement belge estime qu’il y a lieu de prendre en considération tant l’intérêt légitime du responsable du traitement que l’intérêt légitime du tiers auquel (ou des tiers auxquels) les données sont fournies.

120. Il convient de rappeler à titre liminaire que tout traitement de données à caractère personnel doit, en principe, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de la directive 95/46 (56).

121. S’agissant plus particulièrement de l’article 7, sous f), de la directive 95/46, la Cour a rappelé que cette disposition « prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas » (57).

122. La directive 95/46 ne donne pas de définition de l’expression « intérêt légitime » et n’en énumère pas. Cette notion paraît être assez souple et ouverte (58). Aucun intérêt n’est a priori exclu, tant qu’il est licite évidemment. Comme indiqué ci‑dessus, ce qui en substance a été débattu lors de l’audience (59) est le fait que ce qui semble poser problème en l’espèce est la collecte et la transmission de données à caractère personnel à des fins d’optimisation publicitaire, bien que les objectifs commerciaux finaux tant de la défenderesse au principal que de Facebook Ireland ne coïncident pas nécessairement.

123. En ayant ces considérations à l’esprit, je reconnais que la prospection commerciale et la publicité peuvent ainsi constituer de tels intérêts légitimes (60). Dans le contexte de la présente espèce, il est difficile d’aller au‑delà de cette affirmation en l’absence de tout élément d’information sur la manière dont, effectivement, les données transmises et obtenues sont utilisées, au‑delà de ces déclarations d’ordre général.

124. Cela étant dit, la juridiction de renvoi n’examine pas et ne demande pas d’éclaircissements sur la manière dont il convient d’apprécier les intérêts légitimes précis invoqués dans le cadre du litige au principal. Dans sa quatrième question, la juridiction de renvoi demande que soit précisé des intérêts légitimes de qui il faut tenir compte pour procéder à la balance des intérêts voulue par l’article 7, sous f), de la directive 95/46.

125. Au vu de ma proposition de réponse à la deuxième question, exposée ci‑dessus, je pense qu’il faut tenir compte des intérêts légitimes à la fois de la défenderesse au principal et de Facebook Ireland, car elles agissent toutes les deux en tant que responsables conjoints du traitement de leurs opérations respectives de traitement des données.

126. La qualité de responsable conjoint du traitement implique également que les traitements des données à caractère personnel auxquels elles procèdent poursuivent les mêmes finalités, aussi l’intérêt légitime doit être établi pour chacune d’elles, du moins sur un plan général, comme exposé ci‑dessus. Cet intérêt doit ensuite être apprécié à l’aune des droits des personnes concernées, comme en dispose la dernière partie de l’article 7, sous f), de la directive 95/46 (61), et cette mise en balance « dépend, en principe, des circonstances concrètes du cas particulier » (62). Je rappelle que dans de telles circonstances, le traitement de données à caractère personnel doit également satisfaire à la condition relative à la nécessité (63).

127. Au vu des considérations qui précèdent, ma troisième conclusion intermédiaire est que, pour apprécier la possibilité de procéder à un traitement de données à caractère personnel aux conditions de l’article 7, sous f), de la directive 95/46, les intérêts légitimes des deux responsables conjoints des traitements en cause doivent être pris en compte et mis en balance au regard des droits des personnes concernées.

D.      Des obligations incombant à la défenderesse au principal en matière de consentement de la personne concernée et des informations à lui fournir

128. Par sa cinquième question, la juridiction de renvoi demande à savoir à qui doit être donné le consentement visé à l’article 7, sous a), et à l’article 2, sous h), de la directive 95/46 dans un contexte comme celui de la présente espèce.

129. Par sa sixième question, la juridiction de renvoi demande à savoir si, dans une situation telle que celle qui se présente en l’espèce, l’obligation d’information prévue par l’article 10 de la directive 95/46 pèse également sur le gestionnaire d’un site Web (tel que la défenderesse au principal) qui a inséré le contenu d’un tiers et est ainsi à l’origine du traitement des données à caractère personnel fait par un tiers.

130. Comme indiqué ci‑dessus (64), plusieurs réponses ont été proposées. Toutefois, une fois qu’a été déterminée la nature précise de l’obligation visée par la deuxième question, tant en ce qui concerne la personne à qui elle incombe (qui) et ce en quoi elle consiste (quoi) et que ces interrogations ont donc été levées en amont, la réponse aux cinquième et sixième questions, qui concernent les obligations en aval, devient plus claire.

131. Premièrement, je suis d’avis que tant le consentement que les informations fournies doivent couvrir tous les aspects du ou des traitements des données pour lesquels les responsables conjoints des traitements ont une responsabilité conjointe, à savoir la collecte des données et leur transmission. En revanche, ce consentement et cette obligation d’information ne s’étendent pas aux phases suivantes du traitement des données dans lesquelles la défenderesse au principal n’est pas impliquée et pour lesquelles, en toute logique, elle ne détermine ni les moyens ni les finalités.

132. Deuxièmement, dans ces conditions, il pourrait être pensé que le consentement doit être donné à l’un ou l’autre des responsables conjoints du traitement. Mais compte tenu de la situation particulière de l’espèce, ce consentement doit être donné à la défenderesse au principal, car c’est la connexion à son site Web qui déclenche le processus de traitement. Il ne serait manifestement pas conforme à une protection efficace et en temps utile des droits de la personne concernée si le consentement ne devait être donné qu’au seul responsable conjoint du traitement intervenant ultérieurement (à supposer qu’il le fasse), après la collecte et la transmission des données.

133. Une réponse similaire doit être apportée relativement à l’obligation d’information incombant à la défenderesse au principal en vertu de l’article 10 de la directive 95/46. Cet article énumère le minimum d’informations que le responsable du traitement (ou son représentant) doit fournir à la personne concernée. On y relève : l’identité du responsable du traitement (ou de son représentant), les finalités du traitement auquel les données sont destinées ainsi que toutes informations supplémentaires dans la mesure où elles sont « nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données ». L’article 10 donne des exemples de telles informations supplémentaires, notamment, ce qui peut s’avérer pertinent en l’espèce, sur les destinataires des données et sur l’existence d’un droit d’accès de la personne concernée aux données la concernant et de rectification de ces données.

134. Au vu de cette énumération, il paraît clair que la défenderesse au principal est en mesure de fournir des informations sur l’identité des responsables conjoints du traitement, sur les finalités de chacune des étapes du traitement (la ou les opérations pour lesquelles la responsabilité est conjointe) ainsi que sur le fait que ces données feront l’objet d’une transmission.

135. En revanche, en ce qui concerne le droit d’accès aux données et de rectification des données, je comprends que la défenderesse au principal n’a pas elle‑même accès aux données transférées à Facebook Ireland, car elle n’intervient aucunement dans le stockage des données. Il peut donc être suggéré que ce point fasse l’objet d’un accord avec Facebook Ireland.

136. Mais au‑delà des arguments exposés ci‑dessus (65), de telles propositions tendraient là encore à étendre la portée des obligations et des responsabilités du ou des responsable(s) (conjoints) du traitement à des opérations pour lesquelles ils ne sont nullement responsables. Si la responsabilité conjointe signifie une responsabilité pour toutes les opérations pour lesquelles il y a unicité des finalités et des moyens au niveau des responsables du traitement, alors, logiquement, les autres obligations résultant de la directive 95/46, telles que celles en matière de consentement, d’information, de droit d’accès et de rectification, devraient correspondre à la portée de l’obligation initiale (66).

137. Lors de l’audience, la Commission a souligné que les visiteurs disposant d’un compte Facebook peuvent avoir consenti auparavant à un tel transfert de données. Cela pourrait conduire à une différenciation de la responsabilité de la défenderesse au principal, la Commission semblant penser que l’obligation d’information et de recueil du consentement incombant à celle‑ci ne serait applicable qu’à l’égard des seuls visiteurs de son site Web n’ayant pas de compte Facebook.

138. Je ne suis pas de cet avis. Dans les circonstances du litige au principal, j’ai du mal à admettre le fait qu’il faudrait un traitement différencié (moins protecteur) à l’égard des « utilisateurs de Facebook » au motif qu’ils ont déjà accepté la possibilité que les données à caractère personnel (de toutes sortes) les concernant fassent l’objet de traitements. De fait, une telle argumentation implique qu’à l’ouverture d’un compte Facebook, l’utilisateur accepte par avance toutes sortes de traitements des données concernant toutes activités en ligne que de tels « utilisateurs de Facebook » peuvent avoir avec des tiers ayant un lien quelconque avec Facebook. Et ce même en l’absence de toute indication qu’il est procédé à un tel traitement des données (comme cela semble être le cas lors d’une simple visite sur le site Web de la défenderesse au principal). En d’autres termes, accueillir la proposition de la Commission reviendrait dans les faits à ce que la simple ouverture d’un compte Facebook emporte effectivement renonciation à tout droit de protection des données à caractère personnel en ligne à l’égard de Facebook.

139. Je considère donc que la défenderesse au principal doit avoir la même responsabilité et les mêmes obligations subséquentes en matière de consentement et d’information à l’égard des personnes concernées, qu’elles disposent oui ou non d’un compte Facebook.

140. De plus, il est là encore évident que ce consentement et cette communication d’informations doivent être préalables à la collecte et au transfert des données (67).

141. Dès lors, au vu des considérations qui précèdent, ma dernière conclusion intermédiaire en réponse aux cinquième et sixième questions préjudicielles déférées est que, dans une situation telle que celle du litige au principal, le consentement de la personne concernée, qui doit être donné en application de l’article 7, sous a), de la directive 95/46, doit l’être au gestionnaire du site Web, tel que la défenderesse au principal, qui y a inséré le contenu d’un tiers. L’article 10 de ladite directive demande à être interprété en ce sens que l’obligation d’informer qu’il prévoit vaut également pour un tel gestionnaire de site Web. Le consentement de la personne concernée prévu par l’article 7, sous a), de cette même directive et les informations visées par son article 10 doivent être donnés avant la collecte et le transfert des données. Toutefois, l’étendue de ces obligations doit correspondre à la responsabilité conjointe de ce gestionnaire en matière de collecte et de transmission des données à caractère personnel.

V.      Conclusion

142. Au vu des considérations qui précèdent, j’ai l’honneur de proposer qu’il plaise à la Cour de justice de l’Union européenne apporter les réponses suivantes aux questions préjudicielles déférées par l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) :

La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne fait pas obstacle à une réglementation nationale qui habilite des associations d’utilité publique à agir contre l’auteur présumé d’une atteinte aux lois sur la protection des données pour la défense des intérêts des consommateurs.

Quiconque a inséré sur son site Web un plugiciel provenant d’un tiers qui collecte et transmet des données à caractère personnel (ledit tiers ayant fourni le plugiciel) doit être considéré comme un « responsable du traitement » au sens de l’article 2, sous d), de la directive 95/46. Toutefois, la responsabilité (conjointe) de ce responsable du traitement est limitée aux seules opérations pour lesquelles il est effectivement codécideur des moyens et des finalités du traitement des données à caractère personnel.

Pour apprécier la possibilité de procéder à un traitement de données à caractère personnel aux conditions de l’article 7, sous f), de la directive 95/46, les intérêts légitimes des deux responsables conjoints des traitements en cause doivent être pris en compte et mis en balance au regard des droits des personnes concernées.

Le consentement de la personne concernée, qui doit être donné en application de l’article 7, sous a), de la directive 95/46, doit l’être au gestionnaire du site Web, tel que la défenderesse au principal, qui y a inséré le contenu d’un tiers. L’article 10 de ladite directive demande à être interprété en ce sens que l’obligation d’informer qu’il prévoit vaut également pour un tel gestionnaire de site Web. Le consentement de la personne concernée prévu par l’article 7, sous a), de cette même directive et les informations visées par son article 10 doivent être donnés avant la collecte et le transfert des données. Toutefois, l’étendue de ces obligations doit correspondre à la responsabilité conjointe de ce gestionnaire en matière de collecte et de transmission des données à caractère personnel.


1      Langue originale : l’anglais.


2      Directive du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).


3      Directive du Parlement européen et du Conseil du 23 avril 2009 (version codifiée) (JO 2009, L 110, p. 30).


4      Je relève que la décision de renvoi indique que le plugiciel a été mis à la disposition de la défenderesse au principal par Facebook Ireland ou par sa société‑mère, Facebook Inc., immatriculée aux États‑Unis d’Amérique. Mais il semblerait que tant devant la juridiction de renvoi que dans le cadre de la procédure devant la Cour, la responsabilité de Facebook Ireland soit susceptible d’être engagée dans ce litige au titre de la directive 95/46. Il n’y a donc pas lieu d’examiner une éventuelle application de ladite directive à l’encontre de la société‑mère de Facebook Ireland.


5      Règlement du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO 2016, L 119, p. 1).


6      « Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »


7      Tout en ajoutant, pour être exhaustif, que bien que l’arrêt du 28 juillet 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), avait à connaître d’une question d’interprétation de la directive 95/46 soulevée dans le cadre d’un litige national intenté par une association, la Cour ne s’est pas prononcée sur celle de la qualité pour agir de cette association, pour la bonne raison qu’une telle question n’était pas posée en l’espèce.


8      Comme l’ont réaffirmé les arrêts du 23 mai 1985, Commission/Allemagne (29/84, EU:C:1985:229, point 22) ; du 14 février 2012, Flachglas Torgau (C‑204/09, EU:C:2012:71, point 60), et du 19 avril 2018, CMR (C‑645/16, EU:C:2018:262, point 19).


9      Arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 53).


10      Voir, également, arrêt du 16 décembre 2008, Huber (C‑524/06, EU:C:2008:724, point 50).


11      Et donc, à la différence de l’affaire ayant donné lieu à l’arrêt du 25 janvier 2018, Schrems (C‑498/16, EU:C:2018:37), un mécanisme ne nécessitant pas de cession de droits à faire valoir à une personne déterminée et bénéficiant apparemment d’une base légale claire en droit national pour ce qui semble être une forme de représentation de l’intérêt collectif des consommateurs.


12      Ou encore, en d’autres termes, les États membres doivent aussi, tout spécialement en ce qui concerne les structures institutionnelles ou les procédures, régler toute une série d’autres questions qui ne sont pas explicitement énoncées dans la directive [par exemple, relativement à l’exécution juridictionnelle d’un droit, non seulement la question de la qualité pour agir, mais également celle des délais de recours, des frais de justice (le cas échéant), de la compétence des tribunaux, etc.]. Pourrait‑il alors être soutenu que, dès lors que ni l’article 22 ni l’article 24 de la directive 95/46 ne mentionnent l’un ou l’autre de ces sujets, il serait interdit aux États membres de les réglementer en droit national ?


13      Suivant la définition de l’article 3 de la directive 2009/22.


14      Voir, par exemple, arrêts du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 96) ; du 16 décembre 2008, Huber (C‑524/06, EU:C:2008:724, point 51) ; du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 et C‑469/10, EU:C:2011:777, point 29), et du 7 novembre 2013, IPI (C‑473/12, EU:C:2013:715, point 31).


15      Arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 97).


16      Voir mes conclusions dans l’affaire Dzivev (C‑310/16, EU:C:2018:623, points 72 et 74).


17      Rapportés au point 8 ci‑dessus.


18      Voir de nouveau les exemples rapportés à la note 12 ci‑dessus.


19      Qui, aux termes de l’article 28 de la directive 95/46, sont chargées de surveiller l’application des dispositions adoptées en application de celle‑ci.


20      Sur les conditions requises en vertu de l’article 28, paragraphe 1, de la directive 95/46, voir arrêts du 9 mars 2010, Commission/Allemagne (C‑518/07, EU:C:2010:125, points 18 à 30), et du 16 octobre 2012, Commission/Autriche (C‑614/10, EU:C:2012:631, points 41 à 66).


21      Par analogie avec un autre domaine du droit, est‑ce qu’une procédure d’exécution privée du droit de la concurrence porterait également atteinte à l’indépendance des autorités (nationales) de la concurrence ? Voir arrêts du 20 septembre 2001, Courage et Crehan (C‑453/99, EU:C:2001:465, points 26, 27 et 29), et arrêt 13 juillet 2006, Manfredi e.a. (C‑295/04 à C‑298/04, EU:C:2006:461, points 59 et 60). Voir, également, considérant 5 de la directive 2014/104/UE du Parlement européen et du Conseil, du 26 novembre 2014, relative à certaines règles régissant les actions en dommages et intérêts en droit national pour les infractions aux dispositions du droit de la concurrence des États membres et de l’Union européenne (JO 2014, L 349, p. 1).


22      De manière générale (et indépendamment de la question particulière du changement de nature juridique), le fait pour le législateur d’insérer un élément dans un acte législatif postérieur, qui ne figurait pas dans ses versions antérieures, a‑t‑il une incidence sur son interprétation ? Il se peut effectivement que ce principe ait figuré « intrinsèquement » dans la version antérieure et que, désormais, il ne fait qu’être précisé. Mais cela peut également signifier que, justement en raison du fait que cette disposition était absente, la nouvelle version constitue une modification. Compte tenu du recours fréquent et douteux (et abusif) à l’argument consistant à dire « il a toujours existé, il est désormais explicite », qui revient effectivement à une extension de la règle de droit avant qu’elle ne soit devenue applicable ratione temporis, il convient de ne recourir à de tels arguments, à supposer qu’il le faille, qu’avec la plus grande circonspection.


23      S’agissant des adresses IP dynamiques, voir arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, points 33 et suivants). Voir, également, arrêt du 24 novembre 2011, Scarlet Extended (C‑70/10, EU:C:2011:771, point 51).


24      Arrêt du 19 octobre 2016, Breyer (C‑582/14, EU:C:2016:779, points 41 à 45).


25      Voir point 19 ci‑dessus.


26      C’est moi qui souligne.


27      Arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, point 29), et du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 65).


28      Voir arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 34), et du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 66).


29      Arrêt du 5 juin 2018 (C‑210/16, EU:C:2018:388).


30      Ibidem, point 39.


31      Ibidem, points 35.


32      Ibidem, point 36.


33      Ibidem, points 34 et 38.


34      Ibidem, points 39 et 41.


35      Arrêt du 10 juillet 2018 (C‑25/17, EU:C:2018:551, points 68 à 72).


36      Comme le proposent les conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, points 66 à 72).


37      Avec apparemment une analogie avec la protection des consommateurs, en ce sens que du point de vue de la négociation, la partie « non professionnelle » devrait bénéficier du même véritable droit dans la négociation des clauses, ce qui ne paraît pas applicable dans ce contexte. La question reste donc ouverte sur le point de savoir quelle est la véritable marge de « détermination des paramètres » dont peut jouir l’administrateur d’une page fan (et quelle est la part consistant simplement à cliquer mécaniquement entre différentes options, comme tout autre « consommateur »).


38      C‑210/16, EU:C:2018:388, point 35.


39      De nos jours, avec l’accord parfois explicite, parfois moins explicite, de l’utilisateur, un grand nombre de programmes et d’applications transmettent au développeur ou au vendeur du logiciel des informations analytiques pouvant renfermer des données à caractère personnel.


40      Arrêt du 5 juin 2018, C‑210/16, EU:C:2018:388, point 38.


41      Là encore, reste ouverte la question de savoir à quelles conditions précisément et avec quel pouvoir de négociation (voir note 37 ci‑dessus).


42      Ou, comme le personnage de Sir Humphrey Applebly l’exprimait en des termes plus crus (apparemment sur la base d’une citation ancienne d’un auteur inconnu) : « les responsabilités sans le pouvoir – tel a de tout temps été le destin de ceux qui n’ont rien dans le ventre » (in Yes, Prime Minister, deuxième saison, septième épisode, « L’administration de l’Éducation Nationale », première diffusion le 21 janvier 1988) [Ndt : traduction libre].


43      Également dans le sens souligné aux point 73 ci‑dessus, notes 38 et 42.


44      Arrêt du 5 juin 2018, C‑210/16, EU:C:2018:388, point 43.


45      Voir points 87 et 88 ci‑dessus.


46      Voir, également, Groupe de travail « article 29 » sur la protection des données (organisme consultatif institué par l’article 29 de la directive 95/46, aujourd’hui remplacé par le Comité européen de la protection des données, institué par l’article 68 du RGPD), avis 4/2007 sur le concept de données à caractère personnel (avis WP 01248/07/FR, WP 136, page 4).


47      Également à la lumière du fait que le traitement ne sera guère linéaire, faisant intervenir une par une et dans l’ordre chacune des opérations énumérées à l’article 2, sous b), de la directive 95/46 qui seraient effectuées par une seule et même personne. Au contraire, le cycle de vie des données à caractère personnel est, justement, cyclique, tournant en boucles, avec des bifurcations dans tous les sens, des ensembles de données étant collectés en différents endroits, puis consultés par quelqu’un d’autre, puis fusionnées et de nouveau consultés, puis peut‑être de nouveau regroupés et retransmis à d’autres personnes, etc.


48      Voir Groupe de travail « article 29 » sur la protection des données, avis 1/2010 sur les notions de « responsable du traitement » et de « sous‑traitant », adopté le 16 février 2010 (avis 00264/10/FR, WP 169, page 19), selon lequel « une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement, soit la finalité soit les éléments essentiels des moyens ».


49      À la différence de la situation examinée au sujet de la première question aux points 39 à 42 ci‑dessus.


50      À la lecture de la version allemande de la quatrième question déférée par la juridiction de renvoi, je comprends que sa portée se limite à la détermination de quels intérêts doivent être pris en compte et non, comme semble l’indiquer la version anglaise, de ceux qui sont décisifs (ce qui pourrait se comprendre comme les plus importants) dans la balance des intérêts en présence. La question semble ainsi demander des indications sur les éléments à soupeser et non sur le résultat de cette balance des intérêts.


51      Directive du Parlement européen et du Conseil du 12 juillet 2002 (JO 2002, L 201, p. 37).


52      Voir, également, arrêt du 5 mai 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, point 50). Aux termes du considérant 10 de la directive 2002/58, « [d]ans le secteur des communications électroniques, la directive 95/46/CE est applicable notamment à tous les aspects de la protection des droits et libertés fondamentaux qui n’entrent pas expressément dans le cadre de la présente directive, y compris les obligations auxquelles est soumis le responsable du traitement des données à caractère personnel et les droits individuels. La directive 95/46/CE s’applique aux services de communications électroniques non publics ».


53      Dans ce contexte, voir l’article 5, paragraphe 3, de la directive 2002/58, qui dispose que « [l]es États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement ».


54      Là encore, dans ce contexte, je renvoie à la partie introductive de la section B.1 (points 55 à 58 ci‑dessus) et à la nécessité d’une constatation précise des faits sur le point de savoir ce qui précisément a été transmis et si ces informations constituent effectivement des données à caractère personnel.


55      Voir, également, Groupe de travail « article 29 » sur la protection des données, document de travail no 02/2013 énonçant des lignes directrices sur le recueil du consentement pour le dépôt de cookies, 1676/13/FR WP 208, adopté le 2 octobre 2013, page 6 : « [p]uisque le stockage d’informations ou l’obtention, au moyen de cookies, des informations déjà stockées sur les appareils des utilisateurs peut aller de pair avec le traitement de données à caractère personnel, dans ce cas, les règles relatives à la protection des données sont manifestement applicables ».


56      En ce sens, voir arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 71 et la jurisprudence citée), et du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 25).


57      Arrêt du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 28). Voir, également, arrêt du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 et C‑469/10, EU:C:2011:777, point 38).


58      Voir mes conclusions dans l’affaire Rīgas satiksme (C‑13/16, EU:C:2017:43, points 64 et 65). Comme je l’ai rappelé dans ce texte, la Cour a déjà eu l’occasion de déclarer que la transparence (arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 77) ou la protection des biens, de la santé et de la vie familiale (arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 34) constituent des intérêts légitimes. Voir, également, arrêts du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54, point 53), et du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 29).


59      Voir points 104 et 105 des présentes conclusions.


60      Voir, également, Groupe de travail « article 29 » sur la protection des données, avis no 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de de la directive 95/46/CE (844/14/FR WP 217), page 27.


61      Comme j’ai déjà eu le loisir de l’indiquer, « l’intérêt légitime en cause [doit] non seulement [être] établi mais [il doit prévaloir] également sur les intérêts ou les droits et les libertés de la personne concernée par le traitement des données », ce qui découle des articles 7 et 8 de la Charte [des droits fondamentaux de l’Union européenne] : voir mes conclusions dans l’affaire Rīgas satiksme (C‑13/16, EU:C:2017:43, points 56 et 66 à 69 et la jurisprudence citée).


62      Arrêt du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 31 et la jurisprudence citée).


63      Il faut donc des liens appropriés entre les finalités (l’intérêt légitime allégué) et les moyens mis en œuvre (le traitement des données à caractère personnel). En ce sens, arrêt du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 30 et la jurisprudence citée).


64      Voir points 76 à 82 des présentes conclusions.


65      Aux points 84 à 88.


66      Ce qui, évidemment, ne fait pas obstacle à ce que d’autres responsables du traitement (intervenant en aval) aient de telles obligations au titre des opérations de traitement des données auxquelles ils procèdent.


67      Voir point 132 ci‑dessus. Voir Groupe de travail « article 29 » sur la protection des données, Document de travail no 02/2013 énonçant des lignes directrices sur le recueil du consentement pour le dépôt de cookies, 1676/13/FR WP 208, 2 octobre 2013, page 4. Voir, également, Groupe de travail « article 29 » sur la protection des données, Avis 15/2011 sur la définition du consentement, adopté le 15 juillet 2011, 1197/11/FR WP187, page 10.