CONCLUZIILE AVOCATULUI GENERAL
YVES BOT
prezentate la 24 octombrie 2017(1)
Cauza C‑210/16
Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein
împotriva
Wirtschaftsakademie Schleswig‑Holstein GmbH,
cu participarea
Facebook Ireland Ltd,
Vertreter des Bundesinteresses beim Bundesverwaltungsgericht
[cerere de decizie preliminară formulată de Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania)]
„Trimitere preliminară – Directiva 95/46/CE – Articolele 2, 4 și 28 – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Somație care vizează dezactivarea unei pagini pentru fani pe rețeaua socială Facebook – Noțiunea de operator – Răspunderea administratorului unei pagini pentru fani – Răspundere solidară – Dreptul național aplicabil – Întinderea competențelor de intervenție ale autorităților de supraveghere”
1. Prezenta cerere de decizie preliminară privește interpretarea articolului 2 litera (d), a articolului 4 alineatul (1), a articolului 17 alineatul (2), precum și a articolului 28 alineatele (3) și (6) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date(2), astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003 al Parlamentului European și al Consiliului din 29 septembrie 2003(3).
2. Această cerere a fost formulată în cadrul unui litigiu între Wirtschaftsakademie Schleswig‑Holstein GmbH, o societate de drept privat specializată în domeniul educației (denumită în continuare „Wirtschaftsakademie”) și Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, autoritatea regională de protecție a datelor din Schleswig‑Holstein (denumită în continuare „ULD”), cu privire la legalitatea unei somații emise de aceasta din urmă împotriva Wirtschaftsakademie, prin care i‑a solicitat să dezactiveze o „pagină pentru fani” (Fanpage) găzduită de site‑ul Facebook Ireland Ltd.
3. Această somație este motivată de pretinsa încălcare a dispozițiilor dreptului german care transpun Directiva 95/46, în special ca urmare a faptului că vizitatorii unei pagini pentru fani nu sunt avertizați cu privire la faptul că datele lor cu caracter personal fac obiectul unei colectări pe rețeaua socială Facebook (denumită în continuare „Facebook”) cu ajutorul unor cookie‑uri care sunt depuse pe hard diskuri, această colectare fiind efectuată pentru a întocmi statistici cu privire la utilizatori destinate administratorului acestei pagini și pentru a permite difuzarea pe Facebook a unor reclame cu țintă.
4. Contextul prezentei cauze este reprezentat de fenomenul de „webtracking”, care constă în observarea și analizarea comportamentelor utilizatorilor de internet în scopuri comerciale și de marketing. Acest webtracking permite în special identificarea centrelor de interese ale utilizatorilor de internet pe baza observării comportamentelor lor de navigație. Se vorbește astfel despre webtracking comportamental. Acesta din urmă se efectuează în general cu ajutorul utilizării de cookie‑uri.
5. Aceste cookie‑uri sunt fișiere‑martor care sunt înregistrate pe calculatorul utilizatorului de internet de îndată ce consultă o pagină de internet.
6. Webtracking‑ul este utilizat în special în scopul optimizării și configurării într‑un mod mai eficient a unei pagini de internet. El permite totodată operatorilor de publicitate să se adreseze în mod țintit diferitor segmente ale publicului.
7. Potrivit definiției pe care grupul de lucru „Articolul 29” privind protecția datelor(4) o dă în Avizul său 2/2010 din 22 iunie 2010 consacrat publicității comportamentale online(5), „[p]ublicitatea comportamentală este o formă de publicitate care se întemeiază pe observarea comportamentului indivizilor de‑a lungul timpului. Aceasta urmărește să studieze caracteristicile acestui comportament prin intermediul acțiunilor lor (vizite succesive ale site‑urilor, interacțiuni, cuvinte-cheie, producere de conținut online etc.) pentru a întocmi un profil specific și a propune persoanelor în cauză reclame adaptate centrelor lor de interes astfel deduse”(6). Pentru a ajunge la acest rezultat, informații provenite de la navigator și de la echipamentul terminal al utilizatorului trebuie să fie colectate și apoi exploatate. Principala tehnică de urmărire care permite monitorizarea utilizatorilor pe internet se întemeiază pe „cookie‑uri persistente”(7). Astfel, „[p]ublicitatea comportamentală utilizează informațiile colectate cu privire la comportamentul de navigație al unui utilizator de internet, precum paginile vizitate sau căutările efectuate, pentru a selecta reclamele care îi vor fi prezentate”(8).
8. Urmărirea comportamentelor de navigație permite de asemenea să se furnizeze operatorilor de site‑uri web statistici cu privire la persoanele care consultă aceste pagini.
9. Colectarea și exploatarea datelor cu caracter personal în vederea întocmirii statisticilor cu privire la utilizatori și a difuzării de reclame țintite trebuie să îndeplinească anumite condiții pentru a fi conforme cu normele de protecție a datelor cu caracter personal rezultate din Directiva 95/46. În special, aceste prelucrări nu pot fi efectuate fără o informare și un acord prealabil al persoanelor în cauză.
10. Examinarea acestei conformități implică totuși soluționarea în prealabil a mai multe probleme referitoare la definirea așa‑numitului operator, la stabilirea dreptului intern aplicabil și a autorității competente să își exercite competențele de intervenție.
11. Problema cu privire la identificarea operatorului devine deosebit de dificilă într‑o situație în care un operator economic decide nu să instaleze pe pagina sa de internet instrumentele necesare pentru întocmirea statisticilor cu privire la utilizatori și difuzarea reclamelor țintite, ci să utilizeze o rețea socială precum Facebook prin deschiderea unei pagini pentru fani în scopul beneficierii de instrumente similare.
12. Problemele cu privire la determinarea dreptului național aplicabil și a autorității competente să își exercite competențele de intervenție devin în egală măsură complexe atunci când prelucrarea datelor cu caracter personal în discuție implică intervenția mai multor entități situate atât în afara Uniunii Europene, cât și în cadrul acesteia.
13. La momentul la care autoritățile de supraveghere din mai multe state membre au decis, în aceste ultime luni, să aplice amenzi Facebook pentru încălcarea normelor cu privire la protecția datelor utilizatorilor săi(9), cauza aflată în curs de examinare va permite Curții să precizeze întinderea competențelor de intervenție de care dispune o autoritate de supraveghere precum ULD în privința unei prelucrări a datelor cu caracter personal care implică participarea mai multor actori.
14. Pentru a sesiza implicațiile juridice ale prezentei cauze, trebuie să se descrie de la bun început cadrul factual al litigiului principal.
I. Situația de fapt din litigiul principal și întrebările preliminare
15. Wirtschaftsakademie oferă servicii de formare prin intermediul unei pagini pentru fani găzduite pe pagina rețelei sociale Facebook.
16. Paginile pentru fani sunt conturi de utilizatori care pot fi configurate pe Facebook printre altele de particulari sau de întreprinderi. În acest scop, administratorul paginii pentru fani trebuie să se înregistreze la Facebook și poate utiliza astfel platforma amenajată de acesta din urmă pentru a se prezenta utilizatorilor acestei rețele sociale și pentru a posta comunicări de toate genurile, inclusiv pentru a dezvolta o activitate comercială.
17. Administratorii paginilor pentru fani pot obține statistici cu privire la utilizatori prin intermediul instrumentului „Facebook Insights” pus în mod gratuit la dispoziția lor pe Facebook în cadrul condițiilor de utilizare care nu pot fi modificate. Aceste statistici sunt elaborate de Facebook și personalizate de administratorul unei pagini pentru fani cu ajutorul diferitor criterii pe care le poate selecta, precum vârsta sau sexul. Statisticile respective furnizează astfel informații anonime cu privire la caracteristicile și obiceiurile persoanelor care au consultat paginile pentru fani, permițând administratorilor acestor pagini să își orienteze comunicarea mai eficient.
18. Pentru a stabili asemenea statistici cu privire la vizitatori, cel puțin un cookie care cuprinde un număr ID unic, care este activ doi ani, este salvat de Facebook pe hard diskul persoanei care a consultat pagina pentru fani. Numărul ID, care poate stabili o legătură cu datele de conectare ale utilizatorilor înregistrați pe Facebook, este colectat și prelucrat în momentul deschiderii paginilor Facebook.
19. Prin decizia din 3 noiembrie 2011, ULD a dispus ca Wirtschaftsakademie, conform articolului 38 alineatul 5 prima teză din Bundesdatenschutzgesetz (Legea federală privind protecția datelor, denumită în continuare „BDSG”)(10), să dezactiveze pagina pentru fani pe care o crease pe Facebook la adresa de internet https://www.facebook.com/wirtschaftsakademie, sub sancțiunea unei penalități cu titlu cominatoriu în cazul neexecutării în termenul stabilit, pentru motivul că nici Wirtschaftsakademie, nici Facebook nu informau vizitatorii paginii pentru fani că acesta din urmă colecta datele lor cu caracter personal cu ajutorul unor cookie‑uri și că prelucra apoi aceste date. Wirtschaftsakademie a introdus o reclamație împotriva acestei decizii în care a arătat în esență că nu răspundea, în raport cu dreptul la protecția datelor aplicabil, nici de prelucrarea datelor efectuată de Facebook, nici de cookie‑urile instalate de acesta din urmă.
20. Prin decizia din 16 decembrie 2011, ULD a respins această reclamație, considerând că răspunderea Wirtschaftsakademie în calitate de furnizor de servicii era dovedită în temeiul articolului 3 alineatul 3 punctul 4 și al articolului 12 alineatul 1 din Telemediengesetz (Legea germană privind serviciile de informații și de comunicații electronice, denumită în continuare „TMG”)(11). Prin crearea paginii pentru fani, Wirtschaftsakademie ar aduce și o contribuție activă și voluntară la colectarea datelor cu caracter personal pe Facebook, de care ar profita datorită statisticilor cu privire la utilizatori puse la dispoziție de această rețea socială.
21. Wirtschaftsakademie a introdus astfel o acțiune împotriva acestei decizii la Verwaltungsgericht (Tribunalul Administrativ, Germania), subliniind că operațiunile de prelucrare a datelor pe Facebook nu îi pot fi imputate și că ea nici nu ar fi solicitat Facebook, în sensul articolului 11 din BDSG(12), să efectueze o prelucrare a datelor pe care ar controla‑o sau pe care ar putea să o influențeze. Wirtschaftsakademie consideră astfel că ULD s‑a îndreptat în mod greșit împotriva ei, iar nu în mod direct împotriva Facebook.
22. Prin hotărârea din 9 octombrie 2013, Verwaltungsgericht (Tribunalul Administrativ) a anulat decizia atacată, subliniind în esență că administratorul unei pagini pentru fani pe Facebook nu este un „organism responsabil” în sensul articolului 3 alineatul 7 din BDSG(13) și că, prin urmare, Wirtschaftsakademie nu putea fi destinatara unei măsuri luate în temeiul articolului 38 alineatul 5 din BDSG.
23. În continuare, Oberverwaltungsgericht (Tribunalul Administrativ Superior, Germania) a respins apelul declarat de ULD împotriva acestei hotărâri ca nefondat, considerând în esență că interzicerea prelucrării datelor enunțată în decizia atacată era nelegală, în măsura în care articolul 38 alineatul 5 a doua teză din BDSG prevede un proces progresiv, a cărui primă etapă permite doar adoptarea măsurilor prin care se urmărește remedierea încălcărilor constatate la prelucrarea datelor. O interdicție imediată a prelucrării datelor ar fi posibilă numai în cazul în care o procedură de prelucrare a datelor este ilicită în ansamblu și doar suspendarea respectivei proceduri permite remedierea acesteia. Or, potrivit Oberverwaltungsgericht (Tribunalul Administrativ Superior), nu aceasta ar fi situația în speță, din moment ce Facebook ar avea într‑adevăr posibilitatea de încetare a încălcărilor invocate de ULD.
24. Somația ar fi de asemenea nelegală pentru motivul că reclamanta nu ar fi un organism responsabil în sensul articolului 3 alineatul 7 din BDSG, în ceea ce privește datele colectate de Facebook cu ocazia administrării paginii pentru fani, și că o somație în temeiul articolului 38 alineatul 5 din BDSG ar putea fi emisă doar împotriva unui asemenea organism. În speță, doar Facebook ar decide cu privire la scopul și mijloacele referitoare la colectarea și prelucrarea datelor cu caracter personal utilizate pentru funcția „Facebook Insights”. În ceea ce privește reclamanta, aceasta ar primi doar informații statistice care sunt anonime.
25. Articolul 38 alineatul 5 din BDSG nu ar permite emiterea de somații împotriva terților. Răspunderea așa‑numită indirectă („Störerhaftung”) pe internet, dezvoltată de jurisprudența instanțelor civile, nu ar fi transpozabilă prerogativelor de putere publică. Chiar dacă articolul 38 alineatul 5 din BDSG nu numește în mod expres destinatarul somației de interdicție, din economia, obiectul și spiritul acestei reglementări, precum și din geneza acesteia ar rezulta că destinatarul nu poate fi decât organismul responsabil.
26. Prin recursul formulat la Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania), ULD invocă între altele o încălcare a articolului 38 alineatul 5 din BDSG și mai multe erori procedurale săvârșite de instanța de apel. Ea consideră că încălcarea săvârșită de Wirtschaftsakademie se referă la faptul că a atribuit unui furnizor necorespunzător, întrucât acesta nu respectă dreptul aplicabil protecției datelor – în speță Facebook Ireland –, realizarea, găzduirea și întreținerea unei pagini de internet. Somația de dezactivare ar urmări astfel remedierea acestei încălcări săvârșite de Wirtschaftsakademie în măsura în care i‑ar interzice să continue să mai utilizeze infrastructura Facebook ca bază tehnică pentru pagina sa de internet.
27. Instanța de trimitere consideră că, în ceea ce privește colectarea și prelucrarea datelor persoanelor care consultă pagina pentru fani de către intervenienta din litigiul principal, și anume Facebook Ireland, Wirtschaftsakademie nu este „organismul care colectează, prelucrează sau utilizează datele cu caracter personal pe seama sa sau prin intermediul altei persoane împuternicite”, în sensul articolului 3 alineatul 7 din BDSG, sau „organism[ul] care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”, în sensul articolului 2 litera (d) din Directiva 95/46. Desigur, prin decizia sa de a înființa o pagină pentru fani pe platforma exploatată de intervenienta din litigiul principal sau de societatea sa mamă (în speță Facebook Inc., USA), Wirtschaftsakademie ar oferi în mod obiectiv intervenientei din litigiul principal posibilitatea de a instala cookie‑uri la deschiderea acestei pagini pentru fani și de a colecta date prin intermediul acesteia. Decizia menționată nu ar permite totuși Wirtschaftsakademie să influențeze, să orienteze, să modeleze sau chiar să controleze natura și întinderea prelucrării datelor utilizatorilor paginii sale pentru fani de către intervenienta din litigiul principal. Nici condițiile de utilizare a paginii pentru fani nu ar conferi Wirtschaftsakademie drepturi de intervenție sau de control. Condițiile de utilizare stabilite în mod unilateral de intervenienta din litigiul principal nu ar fi rezultatul unui proces de negociere și, în plus, nu ar oferi Wirtschaftsakademie dreptul de a interzice intervenientei din litigiul principal colectarea și prelucrarea datelor utilizatorilor paginii pentru fani.
28. Instanța de trimitere admite că definiția juridică a „operatorului” prevăzută la articolul 2 litera (d) din Directiva 95/46 trebuie să fie, în principiu, interpretată în sens extensiv, în interesul unei protecții eficiente a dreptului la viața privată. Cu toate acestea, Wirtschaftsakademie nu ar răspunde acestei definiții în măsura în care nu are nicio influență în drept sau în fapt asupra modalităților de prelucrare a datelor cu caracter personal care este efectuată de intervenienta din litigiul principal pe proprie răspundere și în condiții de deplină independență. În această privință, ar fi insuficientă împrejurarea că Wirtschaftsakademie poate beneficia în mod obiectiv de funcția „Facebook Insights” exploatată de intervenienta din litigiul principal, pentru motivul că datele anonimizate îi sunt transmise în vederea utilizării paginii sale pentru fani.
29. Potrivit instanței de trimitere, Wirtschaftsakademie nu ar putea fi considerată nici responsabilă de prelucrarea datelor prin împuternicire, în sensul articolului 11 din BDSG precum și al articolului 2 litera (e) și al articolului 17 alineatele (2) și (3) din Directiva 95/46.
30. Această instanță consideră că se impune o clarificare cu privire la aspectul dacă și în ce condiții competențele de supraveghere și de intervenție ale autorităților de supraveghere în domeniul protecției datelor pot fi exercitate doar împotriva „operatorului”, în sensul articolului 2 litera (d) din Directiva 95/46, sau dacă este posibil să se rețină răspunderea unui organism care nu este responsabil de prelucrarea datelor, conform definiției rezultate din aceeași dispoziție, în temeiul alegerii efectuate de acest organism de a fi utilizat Facebook pentru oferta sa de informații.
31. În această ultimă ipoteză, instanța de trimitere ridică problema dacă o asemenea răspundere s‑ar putea întemeia pe o aplicare prin analogie a obligațiilor de alegere și de supraveghere rezultate din articolul 17 alineatul (2) din Directiva 95/46 în cadrul unei prelucrări a datelor prin persoane împuternicite.
32. Pentru a fi în măsură să se pronunțe asupra legalității somației emise în speță, instanța de trimitere consideră că este de asemenea necesar să se clarifice anumite aspecte referitoare la competența autorităților de supraveghere și întinderea competențelor lor de intervenție.
33. În special, instanța de trimitere ridică problema repartizării competențelor între autoritățile de supraveghere în cazul în care o societate‑mamă precum Facebook Inc. dispune de mai multe sedii pe teritoriul Uniunii, iar misiunile atribuite acestor sedii în cadrul grupului sunt diferite.
34. Instanța de trimitere reamintește în această privință că Curtea a statuat, în Hotărârea din 13 mai 2014, Google Spain și Google(14), că „articolul 4 alineatul (1) litera (a) din Directiva 95/46 trebuie interpretat în sensul că o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într‑un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru”(15). Instanța de trimitere ridică problema dacă această legătură cu o unitate precum Facebook Germany GmbH, care este, conform informațiilor conținute în decizia de trimitere, însărcinată cu promovarea și vânzarea spațiilor publicitare și cu alte activități de marketing destinate locuitorilor Germaniei, se poate transpune, în vederea aplicabilității Directivei 95/46 și a determinării autorității de supraveghere competente, unei situații în care o filială stabilită în alt stat membru (în speță Irlanda) intervine în calitate de „operator” pe întreg teritoriul Uniunii.
35. În ceea ce privește destinatarii unei măsuri luate în temeiul articolului 28 alineatul (3) din Directiva 95/46, instanța de trimitere arată că măsura somației luată împotriva Wirtschaftsakademie ar putea ține de o eroare de apreciere și, în consecință, ar putea să fie ilegală în cazul în care încălcările pretinse de ULD ale dreptului la protecția datelor aplicabil ar putea fi remediate printr‑o măsură îndreptată în mod direct împotriva filialei Facebook Germany care are sediul în Germania.
36. Instanța de trimitere observă de asemenea că ULD consideră că nu este ținută de constatările și de aprecierile Data Protection Commissioner (autoritatea de supraveghere în materie de protecție a datelor, Irlanda), care, potrivit informațiilor furnizate de Wirtschaftsakademie și de intervenienta din litigiul principal, nu ar fi contestat prelucrarea datelor cu caracter personal în discuție în litigiul principal. Prin urmare, această instanță urmărește să afle, pe de o parte, dacă o asemenea apreciere autonomă de către ULD este admisă și, pe de altă parte, dacă articolul 28 alineatul (6) a doua teză din Directiva 95/46 impunea ULD să solicite autorității de supraveghere în materie de protecție a datelor, având în vedere divergența de apreciere dintre aceste două autorități de supraveghere în ceea ce privește conformitatea prelucrării datelor în discuție în litigiul principal cu normele rezultate din Directiva 95/46, să își exercite competențele sale împotriva Facebook Ireland.
37. În aceste condiții, Bundesverwaltungsgericht (Curtea Administrativă Federală) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Articolul 2 litera (d) din Directiva 95/46 trebuie interpretat în sensul că reglementează în mod definitiv și exhaustiv răspunderea pentru încălcările normelor în materie de protecție a datelor sau în sensul că, în cadrul unor raporturi etapizate cu furnizorii de informații, «măsurile adecvate» vizate la articolul 24 din [această directivă] și «competențele efective de intervenție» vizate la articolul 28 alineatul (3) a doua liniuță din [aceasta] permit ca, în cadrul selecției unui operator a ofertei sale de informații, să răspundă și o autoritate care nu este responsabilă de prelucrarea datelor în sensul articolului 2 litera (d) din [directiva menționată]?
2) Din obligația care incumbă statelor membre potrivit articolului 17 alineatul (2) din Directiva 95/46, mai precis de a prevedea ca operatorul, dacă prelucrarea este efectuată pe seama sa, «să aleagă o persoană care să prezinte suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată», rezultă per a contrario că în alte condiții de utilizare, în care prelucrarea datelor nu este efectuată pe seama operatorului în sensul articolului 2 litera (e) din [această directivă], nu există obligația unei alegeri atente, iar o asemenea obligație nu poate fi întemeiată nici pe dreptul național?
3) În temeiul articolului 4 și al articolului 28 alineatul (6) din Directiva 95/46, în situațiile în care o societate‑mamă stabilită în afara Uniunii Europene are filiale cu personalitate juridică proprie în mai multe state membre (societăți‑fiică), autoritatea de supraveghere dintr‑un stat membru (în speță Germania) este competentă să exercite competențele care i‑au fost transferate în temeiul articolului 28 alineatul (3) din [aceasta] împotriva unei filiale stabilite pe teritoriul acestui stat membru, atunci când această filială răspunde numai de promovarea și de vânzarea de spații publicitare și de alte măsuri de marketing adresate locuitorilor acestui stat membru, iar în conformitate cu repartizarea îndatoririlor în cadrul grupului, de colectarea și prelucrarea datelor cu caracter personal pe întregul teritoriu al Uniunii Europene și astfel inclusiv în acest stat membru (în speță, Germania) răspunde exclusiv filiala autonomă (societatea‑fiică) din alt stat membru (în speță, Irlanda), atunci când decizia efectivă privind prelucrarea datelor este adoptată în fapt de societatea‑mamă?
4) Articolul 4 alineatul (1) și articolul 28 alineatul (3) din Directiva 95/46 trebuie interpretate în sensul că, în cazurile în care operatorul deține o filială pe teritoriul unui stat membru (în speță, Irlanda) și o altă filială cu personalitate juridică proprie pe teritoriul altui stat membru (în speță, Germania), iar aceasta din urmă răspunde printre altele de vânzarea de spațiu de publicitate, activitatea sa fiind orientată către locuitorii acestui stat, autoritatea de supraveghere competentă din acest alt stat membru (în speță, Germania) poate lua măsuri și adopta decizii privind punerea în aplicare a normelor de protecție a datelor și împotriva filialei (din Germania) care, potrivit repartizării îndatoririlor și responsabilităților în cadrul grupului, nu răspunde de prelucrarea datelor sau numai autoritatea de supraveghere din statul membru pe teritoriul căruia este stabilită filiala care răspunde de acest domeniu în cadrul grupului (în speță, Irlanda) poate lua asemenea măsuri și adopta asemenea decizii?
5) Articolul 4 alineatul (1) litera (a) și articolul 28 alineatele (3) și (6) din Directiva 95/46 trebuie interpretate în sensul că, în cazurile în care autoritatea de supraveghere dintr‑un stat membru (în speță, Germania) se îndreaptă împotriva unei persoane sau a unui organism care își exercită activitatea pe teritoriul său în temeiul articolului 28 alineatul (3) din [această directivă], din cauza lipsei de atenție la alegerea unui terț implicat în procesul de prelucrare a datelor (în speță, Facebook), pentru motivul că acest terț a încălcat normele de protecție a datelor, autoritatea de supraveghere care ia această măsură (în speță, Germania) este obligată să respecte aprecierea referitoare la legislația privind protecția datelor efectuată de autoritatea de supraveghere din celălalt stat membru în care se află sediul filialei terțului operator (în speță, Irlanda), în sensul că, în cadrul aprecierii sale juridice, nu poate deroga de la aprecierea acestei autorități sau autoritatea de supraveghere implicată (în speță, Germania) poate verifica în mod independent legalitatea prelucrării datelor de către un terț stabilit în alt stat membru (în speță, Irlanda), ca un aspect cu titlu preliminar?
6) În ipoteza în care autoritatea de supraveghere interesată (în speță, Germania) [ar putea] efectua o verificare independentă: articolul 28 alineatul (6) a doua teză din Directiva 95/46 trebuie interpretat în sensul că această autoritate de supraveghere poate exercita competențele efective de intervenție conferite în conformitate cu articolul 28 alineatul (3) din [această directivă] împotriva unei persoane sau a unui organism de pe teritoriul său în temeiul răspunderii lor pentru încălcarea normelor de protecție a datelor săvârșită de terțul stabilit pe teritoriul altui stat membru numai atunci când a solicitat anterior autorității de supraveghere din celălalt stat membru (în speță, Irlanda) să își exercite competențele?”
II. Analiza noastră
38. Trebuie precizat că întrebările preliminare adresate de instanța de trimitere nu se referă la aspectul dacă prelucrarea datelor cu caracter personal care fac obiectul criticilor formulate de ULD, și anume colectarea și exploatarea datelor persoanelor care consultă paginile pentru fani fără ca aceste persoane să fie informate în prealabil, este contrară sau nu este contrară normelor rezultate din Directiva 95/46.
39. Conform explicațiilor furnizate de instanța de trimitere, legalitatea somației supuse aprecierii sale depinde de următoarele elemente. Din punctul său de vedere, trebuie să se stabilească mai întâi dacă ULD avea dreptul să își exercite competențele de intervenție împotriva unei persoane care nu are calitatea de operator în sensul articolului 2 litera (d) din Directiva 95/46. În continuare, instanța de trimitere consideră că legalitatea somației depinde și de aspectele dacă ULD era competentă să acționeze în privința prelucrării datelor cu caracter personal în discuție în litigiul principal, dacă faptul de a nu fi adresat somația mai degrabă Facebook Germany decât Wirtschaftsakademie nu ar constitui o eroare de apreciere și în sfârșit dacă ULD nu ar fi săvârșit o altă eroare de apreciere obligând Wirtschaftsakademie să își închidă pagina pentru fani, în condițiile în care ar fi trebuit să solicite în prealabil autorității de supraveghere în materie de protecție a datelor să își exercite competențele împotriva Facebook Ireland.
A. Cu privire la prima și la a doua întrebare preliminară
40. Prin intermediul primei și al celei de a doua întrebări preliminare, care, în opinia noastră, trebuie examinate împreună, instanța de trimitere solicită în esență Curții să declare dacă articolul 17 alineatul (2), articolul 24 și articolul 28 alineatul (3) a doua liniuță din Directiva 95/46 trebuie interpretate în sensul că permit autorităților de supraveghere să își exercite competențele de intervenție împotriva unui organism care nu poate fi considerat „operator”, în sensul articolului 2 litera (d) din aceeași directivă, dar care ar putea fi considerat oricum răspunzător pentru încălcarea normelor de protecție a datelor cu caracter personal ca urmare a alegerii efectuate de acest organism de utilizare a unei rețele sociale precum Facebook pentru a‑și difuza oferta de informații.
41. Aceste probleme se întemeiază pe premisa potrivit căreia Wirtschaftsakademie nu constituie un „operator”, în sensul articolului 2 litera (d) din Directiva 95/46. Acesta este motivul pentru care instanța respectivă urmărește să afle dacă o decizie precum cea în discuție în litigiul principal poate fi îndreptată împotriva unei persoane care nu îndeplinește criteriile stabilite de această dispoziție.
42. Considerăm însă că premisa respectivă este eronată. Astfel, în opinia noastră, Wirtschaftsakademie trebuie să fie considerată ca răspunzând în solidar de etapa prelucrării care constă în colectarea datelor cu caracter personal de Facebook.
43. „Operator” în sensul articolului 2 litera (d) din Directiva 95/46 înseamnă „persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”(16).
44. Operatorul are un rol fundamental în cadrul sistemului instituit prin Directiva 95/46 și, prin urmare, identificarea acestuia este esențială. Astfel, această directivă prevede că operatorul este debitorul anumitor obligații destinate asigurării protecției datelor cu caracter personal(17). Acest rol fundamental a fost subliniat de Curte în Hotărârea din 13 mai 2014, Google Spain și Google(18). Aceasta a statuat astfel că operatorul trebuie să asigure, în cadrul responsabilităților, al competențelor și al posibilităților sale, că prelucrarea datelor cu caracter personal în cauză îndeplinește cerințele Directivei 95/46 pentru ca garanțiile prevăzute de directiva amintită să își producă efectul deplin și ca o protecție eficientă și completă a persoanelor în cauză, în special a dreptului lor la respectarea vieții private, să poată să fie realizată efectiv(19).
45. Reiese de asemenea din jurisprudența Curții că această noțiune trebuie definită în sens larg pentru a asigura o protecție eficientă și completă a persoanelor în cauză(20).
46. Responsabilul de prelucrarea datelor cu caracter personal este persoana care decide de ce și cum vor fi prelucrate aceste date. Astfel cum indică grupul de lucru „Articolul 29”, „[c]onceptul de operator este un concept funcțional, menit să aloce responsabilitățile acolo unde există o influență efectivă, fiind astfel bazat pe o analiză factuală, iar nu pe o analiză formală”(21).
47. În, opinia noastră, în calitate de autori ai acestei prelucrări, tocmai Facebook Inc. și, în ceea ce privește Uniunea, Facebook Ireland au stabilit cu titlu principal obiectivele și modalitățile acesteia.
48. Mai precis, Facebook Inc. a îmbunătățit modelul economic general care determină ca colectarea datelor cu caracter personal în momentul consultării paginilor pentru fani și apoi exploatarea acestor date să poată permite, pe de o parte, difuzarea reclamelor personalizate și, pe de altă parte, întocmirea statisticilor cu privire la utilizatori pentru administratorii acestor pagini.
49. În plus, din înscrisurile de la dosar reiese că Facebook Ireland este desemnată de Facebook Inc. ca fiind răspunzătoare de prelucrarea datelor cu caracter personal în cadrul Uniunii. Conform explicațiilor furnizate de Facebook Ireland, modalitățile de funcționare a rețelei sociale pot cunoaște anumite adaptări în Uniune(22).
50. Pe de altă parte, deși este cert că orice persoană care are reședința pe teritoriul Uniunii și care dorește să utilizeze Facebook trebuie să încheie, la momentul înscrierii sale, un contract cu Facebook Ireland, trebuie arătat că, în același timp, datele cu caracter personal ale utilizatorilor de Facebook care au reședința pe teritoriul Uniunii sunt, în tot sau în parte, transferate către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări(23).
51. Ținând seama de implicarea Facebook Inc. și, în ceea ce privește mai specific Uniunea, a Facebook Ireland în stabilirea scopurilor și a mijloacelor de prelucrare a datelor cu caracter personal în discuție în litigiul principal, aceste două entități trebuie, având în vedere elementele de care dispunem, să fie considerate ca fiind răspunzătoare în solidar de această prelucrare. În această privință, este necesar să se arate că articolul 2 litera (d) din Directiva 95/46 prevede în mod expres posibilitatea unei asemenea răspunderi solidare. Astfel cum indică instanța de trimitere însăși, va reveni, în ultimul rând, acesteia din urmă sarcina de a clarifica structurile decizionale și de prelucrare a datelor în cadrul grupului Facebook pentru a stabili care sunt unitățile responsabile de prelucrare în sensul articolului 2 litera (d) din Directiva 95/46(24).
52. La răspunderea solidară a Facebook Inc. și a Facebook Ireland, trebuie să se adauge, în opinia noastră, în ceea ce privește etapa prelucrării reprezentată de colectarea datelor cu caracter personal de către Facebook(25), răspunderea administratorului unei pagini pentru fani precum Wirtschaftsakademie.
53. Administratorul unei pagini pentru fani este, desigur, înainte de toate un utilizator de Facebook, la care recurge pentru a beneficia de instrumentele sale și pentru a profita, astfel, de o mai bună vizibilitate. Această constatare nu este totuși de natură să excludă că poate fi în egală măsură considerat responsabil de etapa prelucrării datelor cu caracter personal care face obiectul litigiului principal, și anume colectarea unor asemenea date de către Facebook.
54. În ceea ce privește aspectul dacă administratorul unei pagini pentru fani „stabilește” scopurile și mijloacele prelucrării, trebuie să se verifice dacă acest administrator exercită o influență de drept sau de fapt asupra acestor scopuri sau mijloace. Acest element al definiției permite să se considere că operatorul nu este cel care efectuează prelucrarea datelor cu caracter personal, ci cel care stabilește mijloacele și scopurile acesteia.
55. Utilizând Facebook pentru a‑și difuza oferta de informații, administratorul paginii pentru fani aderă la principiul punerii în aplicare a prelucrării datelor cu caracter personal ale vizitatorilor paginii sale în vederea întocmirii unor statistici cu privire la utilizatori(26). Chiar dacă nu este, desigur, autorul instrumentului „Facebook Insights”, acest administrator, care l‑a utilizat, ia parte la stabilirea scopurilor și a mijloacelor de prelucrare a datelor cu caracter personal ale vizitatorilor paginii sale.
56. Astfel, pe de o parte, această prelucrare nu ar putea interveni fără decizia prealabilă a administratorului unei pagini pentru fani de a o înființa și a o exploata pe rețeaua socială Facebook. Făcând posibilă prelucrarea datelor cu caracter personal ale utilizatorilor paginii pentru fani, gestionarul acestei pagini aderă la sistemul instituit de Facebook. El obține astfel o mai bună vizibilitate pe profilul utilizatorilor paginii sale pentru fani și permite, în același timp, Facebook să își orienteze mai eficient publicitatea difuzată în cadrul acestei rețele sociale. Acceptând mijloacele și scopurile prelucrării datelor cu caracter personal, astfel cum sunt predefinite de Facebook, gestionarul paginii pentru fani trebuie considerat că participă la stabilirea lor. Pe de altă parte, la fel ca și administratorul unei pagini pentru fani, exercită astfel o influență determinantă asupra declanșării prelucrării datelor cu caracter personal ale persoanelor care consultă pagina respectivă și dispune și de puterea de a face să înceteze această prelucrare prin închiderea paginii sale pentru fani.
57. Pe de altă parte, deși scopurile și mijloacele instrumentului „Facebook Insights” ca atare sunt definite în general de Facebook Inc. împreună cu Facebook Ireland, administratorul unei pagini pentru fani are posibilitatea de a influența punerea în aplicare concretă a acestui instrument prin definirea criteriilor pe baza cărora sunt întocmite statisticile cu privire la utilizatori. Atunci când Facebook invită administratorul unei pagini pentru fani să creeze sau să modifice audiența paginii sale, el îi indică faptul că va face tot ce îi stă în putință pentru a arăta pagina respectivă persoanelor care contează cel mai mult pentru el. Administratorul unei pagini pentru fani poate defini, cu ajutorul filtrelor, o audiență personalizată, ceea ce îi permite nu numai să îmbunătățească grupul de persoane cărora li se difuzează informațiile cu privire la oferta sa comercială, dar mai ales să desemneze categoriile de persoane care fac obiectul colectării datelor lor cu caracter personal de Facebook. Astfel, stabilind audiența pe care o vizează, administratorul unei pagini pentru fani identifică cu aceeași ocazie publicul țintă care poate face obiectul colectării, ulterior al exploatării datelor sale cu caracter personal de Facebook. Pe lângă faptul că este elementul declanșator al unei prelucrări a unor asemenea date atunci când înființează o pagină pentru fani, administratorul acestei pagini are, așadar, un rol preponderent în ceea ce privește punerea în aplicare a acestei prelucrări de Facebook. El ia parte astfel la stabilirea mijloacelor și a scopurilor prelucrării respective prin exercitarea asupra acesteia a unei influențe de fapt.
58. Deducem din considerațiile ce precedă că, în circumstanțe precum cele din litigiul principal, un administrator al unei pagini pentru fani de pe o rețea socială precum Facebook trebuie considerat responsabil de etapa prelucrării datelor cu caracter personal care constă în colectarea pe această rețea socială a datelor cu privire la persoanele care consultă această pagină.
59. Concluzia amintită este confirmată de constatarea potrivit căreia administratorul unei pagini pentru fani precum Wirtschaftsakademie, pe de o parte, și furnizorii de servicii precum Facebook Inc. și Facebook Ireland, pe de altă parte, urmăresc fiecare finalități strâns legate. Wirtschaftsakademie urmărește să obțină statistici cu privire la utilizatori în scopuri de gestionare a promovării activității sale și pentru a le obține este necesară o prelucrare a datelor cu caracter personal. Aceeași prelucrare va permite totodată Facebook să orienteze mai eficient publicitatea pe care o difuzează prin intermediul rețelei sale.
60. Prin urmare, trebuie să se respingă o interpretare care ar fi întemeiată exclusiv pe clauze și condiții ale contractului încheiat între Wirtschaftsakademie și Facebook Ireland. Astfel, repartizarea atribuțiilor indicată prin contract nu poate furniza decât un indiciu cu privire la rolul efectiv al părților la contract în ceea ce privește punerea în aplicare a unei prelucrări a datelor cu caracter personal. Cu alte cuvinte, aceste părți ar putea atribui artificial răspunderea pentru prelucrare uneia dintre ele. Aceasta se aplică cu atât mai mult într‑o situație în care condițiile generale sunt pregătite în prealabil de rețeaua socială și nu pot fi negociate. Prin urmare, nu se poate considera că persoana care poate doar să adere sau să refuze contractul nu poate fi un operator. Din momentul în care același cocontractant a încheiat acordul în mod liber, acesta poate fi întotdeauna un operator având în vedere influența sa concretă asupra mijloacelor și scopurilor acestei prelucrări.
61. Astfel, faptul că contractul și condițiile sale generale sunt pregătite de un prestator de servicii, iar cel care a utilizat prestațiile oferite de acest prestator nu are acces la date nu exclude faptul că acesta poate fi considerat operator, din moment ce a acceptat în mod liber clauzele contractuale, asumându‑și pentru acest motiv o răspundere deplină în ceea ce le privește pe acestea din urmă(27). La fel ca și grupul de lucru „Articolul 29”, trebuie să se recunoască de asemenea că un eventual dezechilibru al raportului de forțe dintre furnizorul și beneficiarul serviciului nu se opune ca acesta din urmă să poată fi calificat drept operator(28).
62. Pe de altă parte, pentru ca o persoană să poată fi considerată operator, în sensul articolului 2 litera (d) din Directiva 95/46, nu este necesar ca această persoană să dispună de o competență de supraveghere completă cu privire la toate aspectele unei prelucrări. Astfel cum a indicat guvernul belgian în mod întemeiat la ședință, o asemenea supraveghere există din ce în ce mai puțin în practică. Din ce în ce mai mult, prelucrările au o natură complexă, în sensul că este vorba despre mai multe prelucrări distincte care implică mai multe părți care exercită ca atare diferite grade de supraveghere. În consecință, interpretarea care favorizează existența unei competențe de supraveghere complete cu privire la toate aspectele prelucrării poate conduce la lacune serioase în materie de protecție a datelor cu caracter personal.
63. Faptele care stau la baza Hotărârii din 13 mai 2014, Google Spain și Google(29), constituie o ilustrare a acestui aspect. Astfel, în cauza menționată era vorba de o situație care implică raporturi etapizate cu furnizorii de informații, în cadrul căreia diferite părți exercitau fiecare o influență distinctă asupra prelucrării. În această cauză, Curtea a refuzat să interpreteze în sens restrictiv noțiunea „operator”. Ea a considerat că operatorul motorului de căutare trebuia, „în calitate de persoană care stabilește scopurile și mijloacele activități[i sale][,] să asigure, în cadrul responsabilităților, al competențelor și al posibilităților sale, că această activitate îndeplinește cerințele Directivei 95/46”(30). Pe de altă parte, Curtea a evocat posibilitatea unei răspunderi comune a operatorului motorului de căutare și a editorilor de site‑uri web(31).
64. La fel ca și guvernul belgian, considerăm că interpretarea largă a noțiunii „operator”, în sensul articolului 2 litera (d) din Directiva 95/46, care, în opinia noastră, trebuie să prevaleze în cadrul prezentei cauze, este de natură să evite abuzurile. Astfel, ar fi suficient în caz contrar pentru o întreprindere să recurgă la serviciile unui terț pentru a se sustrage de la obligațiile sale în materie de protecție a datelor cu caracter personal. Cu alte cuvinte, în opinia noastră, nu trebuie să se facă o distincție între întreprinderea care încarcă pe pagina sa de internet instrumente analoge cu cele propuse de Facebook și cea care aderă la rețeaua socială Facebook pentru a beneficia de instrumentele oferite de acesta din urmă. Astfel, trebuie să se garanteze ca operatorii economici care au utilizat un serviciu de găzduire a paginii lor de internet să nu se poată sustrage de la răspunderea lor, supunându‑se condițiilor generale ale unui prestator de servicii. În plus, astfel cum a indicat același guvern la ședință, nu este nerezonabil să se aștepte ca întreprinderile să fie diligente în momentul alegerii furnizorului lor de servicii.
65. Prin urmare, considerăm că faptul că un administrator al unei pagini pentru fani utilizează platforma oferită de Facebook și beneficiază de serviciile aferente acesteia nu îl exonerează de obligațiile sale în materie de protecție a datelor cu caracter personal. Observăm în această privință că, în cazul în care Wirtschaftsakademie ar fi deschis o pagină de internet în afara Facebook, punând în aplicare un instrument similar cu „Facebook Insights” pentru a întocmi statistici cu privire la utilizatori, aceasta ar fi considerată ca fiind operatorul prelucrării care este necesară în vederea întocmirii unor asemenea statistici. În opinia noastră, un asemenea operator nu ar trebui să fie dispensat de obligația de a respecta normele de protecție a datelor cu caracter personal rezultate din Directiva 95/46, pentru simplul motiv că utilizează platforma rețelei sociale Facebook pentru a‑și promova activitățile. Astfel cum indică în mod întemeiat instanța de trimitere însăși, un furnizor de informații nu trebuie să poată fi exonerat, prin alegerea unui anumit furnizor de infrastructuri, de obligațiile impuse de normele de protecție a datelor față de utilizatorii ofertei sale de informații și pe care ar trebui să le îndeplinească în cazul în care ar fi vorba despre un simplu furnizor de conținut(32). O interpretare contrară ar genera un risc de eludare a normelor de protecție a datelor cu caracter personal.
66. În opinia noastră, este necesar totodată să nu se creeze o distincție artificială între situația în discuție în cadrul prezentei cauze și cea în discuție în cadrul cauzei C‑40/17, Fashion ID(33).
67. Această din urmă cauză privește situația în care gestionarul unei pagini de internet introduce pe pagina sa așa‑numitul „modul social” (în speță opțiunea „like” de pe Facebook) al unui furnizor extern (cu alte cuvinte Facebook), care conduce la o transmitere a datelor cu caracter personal de la calculatorul utilizatorului paginii de internet către furnizorul extern.
68. În cadrul litigiului care a condus la această cauză, o asociație de protecție a consumatorilor reproșează societății Fashion ID că, prin introducerea pe pagina sa de internet a opțiunii „like” furnizate de rețeaua socială Facebook, a permis acesteia din urmă să aibă acces la datele cu caracter personal ale utilizatorilor acestei pagini, fără acordul lor și cu încălcarea obligațiilor de informare prevăzute de dispozițiile cu privire la protecția datelor cu caracter personal. Se ridică astfel problema dacă, dat fiind că Fashion ID permite Facebook să aibă acces la datele cu caracter personal ale utilizatorilor paginii sale de internet, această societate poate sau nu poate fi calificată drept „operator” în sensul articolului 2 litera (d) din Directiva 95/46.
69. Nu identificăm, în această privință, o diferență fundamentală între situația administratorului unei pagini pentru fani și cea a operatorului unui site web care integrează codul unui furnizor de servicii de webtracking pe site‑ul său web și favorizează astfel, fără știrea utilizatorului de internet, transmiterea de date, instalarea de cookie‑uri și colectarea de date în favoarea furnizorului de servicii de webtracking.
70. Plugin‑urile sociale permit operatorilor de site‑uri web să utilizeze anumite servicii ale rețelelor sociale pe propriile pagini de internet pentru a mări vizibilitatea acestora din urmă, de exemplu prin introducerea pe pagina lor a opțiunii „like” de pe Facebook. La fel ca și administratorii paginilor pentru fani, operatorii site‑urilor web care introduc plugin‑uri sociale pot beneficia de serviciul „Facebook Insights” pentru a obține informații statistice precise cu privire la utilizatorii paginii lor.
71. La fel cu ceea ce se întâmplă în cazul consultării unei pagini pentru fani, consultarea unei pagini de internet care conține un plugin social declanșează o transmitere a datelor cu caracter personal către furnizorul în cauză.
72. În opinia noastră, într‑un asemenea context și la fel ca administratorul unei pagini pentru fani, un gestionar al unei pagini de internet care conține un plugin social, în măsura în care exercită o influență efectivă asupra etapei prelucrării referitoare la transmiterea de date cu caracter personal către Facebook, ar trebui calificat drept „operator” în sensul articolului 2 litera (d) din Directiva 95/46(34).
73. Adăugăm că, astfel cum indică în mod întemeiat guvernul belgian, constatarea potrivit căreia Wirtschaftsakademie acționează ca un responsabil în solidar pentru prelucrare atunci când decide să utilizeze serviciile Facebook pentru oferta sa de informații nu înlătură în niciun mod obligațiile care revin Facebook Inc. și Facebook Ireland în calitatea lor de operatori. Astfel, este clar că aceste două entități exercită o influență determinantă asupra scopurilor și mijloacelor prelucrării datelor cu caracter personal care are loc în cadrul consultării unei pagini pentru fani și pe care acestea le utilizează și pentru propriile scopuri și interese.
74. Cu toate acestea, recunoașterea unei răspunderi solidare a administratorilor unor pagini pentru fani pentru etapa prelucrării care constă în colectarea datelor cu caracter personal de Facebook contribuie la asigurarea unei protecții mai complete a drepturilor de care dispun persoanele care consultă acest tip de pagini. Pe de altă parte, asocierea activă a administratorilor unor pagini pentru fani cu respectarea normelor de protecție a datelor cu caracter personal, desemnându‑i ca operatori, este de natură, printr‑un efect indus, să stimuleze platforma rețelei sociale înseși să devină conformă cu asemenea norme.
75. Trebuie precizat de asemenea că existența unei răspunderi solidare nu înseamnă o răspundere pe picior de egalitate. Dimpotrivă, diferiții operatori pot fi implicați în prelucrarea datelor cu caracter personal în diferite etape și în diferite grade(35).
76. Potrivit grupului de lucru „Articolul 29”, „[p]osibilitatea unei responsabilități pluraliste ține seama de numărul în creștere de situații în care diferite părți acționează în calitate de operatori. Evaluarea acestei răspunderi solidare trebuie să se calchieze pe cea a răspunderii «unice», prin adoptarea unei abordări concrete și practice, pentru a stabili dacă scopurile și elementele esențiale ale mijloacelor sunt determinate de mai multe părți. Participarea părților la stabilirea scopurilor și mijloacelor de prelucrare în cadrul unei răspunderi solidare poate prezenta diferite forme și nu este în mod necesar împărțită în mod egal”(36). Astfel, „atunci când există mai mulți actori, aceștia pot avea o relație foarte apropiată (împărțind, de exemplu, ansamblul scopurilor și mijloacelor unei prelucrări) sau, dimpotrivă, mai distantă (împărțind doar scopurile sau mijloacele sau o parte a acestora). În consecință, o serie largă de tipologii ale corespunderii trebuie examinată, iar consecințele lor juridice evaluate cu o anumită flexibilitate pentru a ține seama de complexitatea crescândă a realității actuale a prelucrării datelor”(37).
77. Din considerațiile ce precedă decurge că, în opinia noastră, administratorul unei pagini pentru fani pe rețeaua socială Facebook trebuie considerat ca fiind, împreună cu Facebook Inc. și Facebook Ireland, responsabil de prelucrarea datelor cu caracter personal efectuată în vederea întocmirii unor statistici cu privire la utilizatori referitoare la această pagină.
B. Cu privire la cea de a treia și la cea de a patra întrebare preliminară
78. Prin intermediul celei de a treia și al celei de a patra întrebări preliminare, care, în opinia noastră, trebuie examinate împreună, instanța de trimitere urmărește să obțină din partea Curții precizări în ceea ce privește interpretarea articolului 4 alineatul (1) litera (a) și a articolului 28 alineatele (1), (3) și (6) din Directiva 95/46 într‑o situație în care o societate‑mamă cu sediul în afara Uniunii Europene, precum Facebook Inc., furnizează servicii cu privire la o rețea socială pe teritoriul Uniunii prin intermediul mai multor filiale. Printre aceste filiale, una este desemnată de societatea‑mamă ca fiind responsabilă de prelucrarea datelor cu caracter personal pe teritoriul Uniunii (Facebook Ireland), iar cealaltă asigură promovarea și vânzarea de spații de publicitate, precum și activități de marketing destinate locuitorilor Germaniei (Facebook Germany). În această situație, instanța de trimitere urmărește să afle, pe de o parte, dacă autoritatea de supraveghere germană își poate exercita competențele de intervenție prin care se urmărește ca prelucrarea datelor cu caracter personal în litigiu să fie întreruptă și, pe de altă parte, împotriva cărei filiale pot fi exercitate asemenea competențe.
79. Ca răspuns la îndoielile exprimate de ULD și de guvernul italian cu privire la admisibilitatea celei de a treia și a celei de a patra întrebări preliminare, subliniem că Bundesverwaltungsgericht (Curtea Administrativă Federală) explică în decizia sa de trimitere că are nevoie de lămuriri cu privire la aceste aspecte pentru a se putea pronunța cu privire la legalitatea somației în discuție în litigiul principal. În special, această instanță arată că măsura luată împotriva Wirtschaftsakademie ar putea ține de o eroare de apreciere și, în consecință, ar putea fi nelegală în cazul în care încălcările invocate de ULD ale dreptului la protecția datelor aplicabil s‑ar putea remedia printr‑o măsură îndreptată în mod direct împotriva filialei Facebook Germany care este stabilită în Germania(38). Această observație a instanței de trimitere permite, în opinia noastră, să se sesizeze chiar motivele pentru care aceasta adresează Curții cea de a treia și cea de a patra întrebare preliminară. Având în vedere prezumția de pertinență aferentă cererilor de trimitere preliminară(39), propunem, în consecință, Curții să răspundă la aceste întrebări.
80. Potrivit articolului 4 din Directiva 95/46, intitulat „Dreptul intern aplicabil”:
„(1) Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:
(a) prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru; dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil;”
[…]”
81. În Avizul 8/2010 din 16 decembrie 2010 privind dreptul aplicabil(40), grupul de lucru „Articolul 29” evocă aplicarea articolului 4 alineatul (1) litera (a) din Directiva 95/46 în următoarea situație: „O platformă a rețelei sociale are sediul într‑o țară terță și o filială într‑un stat membru. Filiala definește și aplică politicile referitoare la prelucrarea datelor cu caracter personal cu privire la rezidenții [Uniunii]. Rețeaua socială vizează activ rezidenții tuturor statelor membre ale [Uniunii], care reprezintă o parte semnificativă a clienților și veniturilor sale. Aceasta instalează de asemenea cookie‑uri pe calculatoarele utilizatorilor în [Uniune]. În această situație, conform articolului 4 alineatul (1) litera (a) din [Directiva 95/46], dreptul aplicabil în materie de protecție a datelor este dreptul statului membru al [Uniunii] pe teritoriul căruia este stabilită întreprinderea. Prezintă importanță redusă faptul că rețeaua socială utilizează sau nu utilizează mijloace situate pe teritoriul altor state membre, întrucât toate prelucrările se efectuează în cadrul activităților sediului unic, iar directiva exclude aplicarea cumulată a literelor (a) și (c) ale articolului 4 alineatul (1) [din această directivă]”(41). Grupul de lucru „Articolul 29” precizează de asemenea că, „în temeiul articolului 28 alineatul (6) [din directiva menționată,] autoritatea de supraveghere a statului membru pe teritoriul căruia este stabilită rețeaua socială este obligată să coopereze cu celelalte autorități de supraveghere, de exemplu pentru a examina cererile sau reclamațiile care provin de la rezidenții altor state membre ale [Uniunii]”(42).
82. Situația prezentată la punctul precedent nu ridică niciun fel de dificultăți în ceea ce privește determinarea dreptului intern aplicabil. Astfel, în această ipoteză, întrucât societatea‑mamă dispune de o singură filială în cadrul Uniunii, dreptul statului membru în care este stabilită această filială se aplică prelucrării datelor cu caracter personal în discuție.
83. Situația devine mai complexă atunci când, la fel ca în cadrul prezentei cauze, o societate stabilită într‑un stat terț, precum Facebook Inc., își desfășoară activitățile în interiorul Uniunii, pe de o parte, prin intermediul unei filiale care este desemnată de această societate ca având răspundere exclusivă cu privire la colectarea și prelucrarea datelor cu caracter personal în interiorul grupului Facebook pe întregul teritoriu al Uniunii Europene (Facebook Ireland) și, pe de altă parte, prin intermediul altor filiale, dintre care una este stabilită în Germania (Facebook Germany) și răspunde, conform informațiilor care figurează în decizia de trimitere, de promovarea și de vânzarea spațiilor de publicitate și de alte activități de marketing adresate locuitorilor acestui stat membru(43).
84. Într‑o asemenea situație, autoritatea de supraveghere germană are dreptul să exercite competențe de intervenție prin care se urmărește să se pună capăt prelucrării datelor cu caracter personal pentru care Facebook Inc. și Facebook Ireland răspund în solidar?
85. Pentru a răspunde la această întrebare, trebuie să se stabilească dacă autoritatea de supraveghere germană este îndreptățită să aplice dreptul său intern unei asemenea prelucrări.
86. În această privință, din articolul 4 alineatul (1) litera (a) din Directiva 95/46 rezultă că prelucrarea datelor efectuată în cadrul activităților unei filiale este guvernată de dreptul statului membru pe teritoriul căruia este stabilită această filială.
87. Curtea a statuat deja că, având în vedere obiectivul urmărit de această directivă, care constă în asigurarea protejării eficiente și complete a drepturilor și a libertăților fundamentale ale persoanelor fizice și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal, expresia „în cadrul activităților unui sediu”, care figurează la articolul 4 alineatul (1) litera (a) din directiva menționată, nu poate primi o interpretare restrictivă(44).
88. Aplicabilitatea unei legi de transpunere a unui stat membru în cazul unei prelucrări a datelor cu caracter personal implică îndeplinirea a două condiții. În primul rând, operatorul trebuie să aibă un „sediu” pe teritoriul acestui stat membru. În al doilea rând, această prelucrare trebuie să aibă loc „în cadrul activităților” acestui sediu.
89. În ceea ce privește, în primul rând, noțiunea „sediu”, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46, Curtea a precizat deja, interpretând în sens larg și în mod flexibil această noțiune, că aceasta se extinde la orice activitate reală și efectivă, chiar minimă, realizată într‑o formă de instalare stabilă(45), excluzând astfel orice abordare formalistă(46).
90. Din această perspectivă, se impune evaluarea atât a gradului de stabilitate a formei de instalare, cât și a efectivității desfășurării de activități în acest alt stat membru(47), ținând seama de natura specifică a activităților economice și a prestărilor de servicii în cauză(48). Nu se contestă în această privință că Facebook Germany, al cărui sediu se află la Hamburg (Germania), desfășoară în mod efectiv și real o activitate într‑o formă de instalare stabilă în Germania. În consecință, ea constituie un „sediu” în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46.
91. În ceea ce privește, în al doilea rând, aspectul dacă prelucrarea datelor cu caracter personal în cauză este efectuată „în cadrul activităților” acestui sediu, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46, Curtea a amintit deja că această dispoziție nu impune ca prelucrarea datelor cu caracter personal în discuție să fie efectuată „de” însuși sediul în cauză, ci doar ca ea să fie efectuată „în cadrul activităților” acestuia(49).
92. Astfel cum reiese din Avizul 8/2010, „noțiunea «cadrul activităților», iar nu localizarea datelor, este un factor determinant pentru definirea dreptului intern aplicabil. Această noțiune presupune că dreptul aplicabil nu este dreptul statului membru în care operatorul este stabilit, ci cel al statului în care un sediu al operatorului participă la activități [legate de prelucrarea datelor cu caracter personal sau care implică respectiva prelucrare]. În acest context, gradul de participare a sediului sau a sediilor la activitățile în cadrul cărora sunt prelucrate date cu caracter personal prezintă o importanță capitală. În plus, trebuie să se ia în considerare natura activităților filialelor, precum și necesitatea de a asigura protecția efectivă a drepturilor persoanelor. Este necesară adoptarea unei abordări funcționale pentru a analiza aceste criterii: sunt determinante mai degrabă comportamentul părților și interacțiunea dintre acestea decât evaluarea teoretică a dreptului aplicabil”(50).
93. În Hotărârea din 13 mai 2014, Google Spain și Google(51), Curtea a trebuit să verifice respectarea acestei condiții. Ea a reținut o interpretare largă, considerând că prelucrarea datelor cu caracter personal care este efectuată pentru nevoile funcționării unui motor de căutare precum Google Search, care este operat de o întreprindere stabilită într‑un stat terț, dar care dispune de un sediu într‑un stat membru, este efectuată „în cadrul activităților” sediului respectiv în cazul în care acesta este destinat să asigure în acel stat membru promovarea și vânzarea spațiului publicitar oferit de motorul de căutare, care servesc la rentabilizarea serviciului oferit de motorul amintit(52). Astfel, Curtea a arătat că, „în asemenea împrejurări, activitățile operatorului motorului de căutare și cele ale sediului său situat în statul membru în cauză sunt indisociabil legate, întrucât activitățile referitoare la spațiile publicitare constituie mijlocul de a face motorul de căutare în cauză rentabil din punct de vedere economic, iar acest motor este în același timp mijlocul care permite realizarea activităților menționate”(53). Curtea a adăugat în susținerea soluției sale că, întrucât afișarea unor date cu caracter personal pe o pagină cu rezultatele unei căutări „este însoțită, pe aceeași pagină, de afișarea publicității legate de termenii de căutare, trebuie să se constate că prelucrarea datelor cu caracter personal în discuție este efectuată în cadrul activității publicitare și comerciale a sediului operatorului de pe teritoriul unui stat membru, în speță teritoriul spaniol”(54).
94. Or, conform informațiilor conținute în decizia de trimitere, Facebook Germany răspunde de promovarea și de vânzarea de spații publicitare și de alte activități de marketing adresate locuitorilor Germaniei. Întrucât prelucrarea datelor cu caracter personal care este în discuție în litigiul principal, care constă în colectarea unor asemenea date prin intermediul unor cookie‑uri instalate pe calculatoarele vizitatorilor unor pagini pentru fani, are în special scopul de a permite Facebook să orienteze mai eficient publicitatea pe care o difuzează, trebuie să se considere că o asemenea prelucrare are loc în cadrul activităților pe care le efectuează Facebook Germany în Germania. În această privință, ținând seama de faptul că o rețea socială precum Facebook generează majoritatea veniturilor sale din publicitatea difuzată pe paginile de internet pe care utilizatorii le înființează și la care au acces(55), este necesar să se considere că activitățile responsabililor în solidar de prelucrare precum Facebook Inc. și Facebook Ireland sunt indisociabil legate de cele ale unei filiale precum Facebook Germany. Pe de altă parte, în urma prelucrării datelor cu caracter personal permise de instalarea unui cookie pe calculatorul unei persoane care vizitează o pagină care aparține domeniului Facebook.com, consultarea unei pagini de Facebook determină afișarea, pe aceeași pagină de internet, a publicității care a avut legătură cu centrele de interes ale acestui vizitator. Este necesar să se deducă de aici că prelucrarea datelor cu caracter personal în discuție se efectuează în cadrul activității publicitare și comerciale a sediului operatorului pe teritoriul unui stat membru, în speță pe teritoriul german.
95. Circumstanța că grupul Facebook, spre deosebire de situația din cadrul cauzei în care s‑a pronunțat Hotărârea din 13 mai 2014, Google Spain și Google(56), dispune de un sediu european, în speță în Irlanda, nu se opune ca interpretarea articolului 4 alineatul (1) litera (a) din Directiva 95/46 pe care Curtea a reținut‑o în această hotărâre să fie transpusă în cadrul prezentei cauze. În hotărârea menționată, Curtea și‑a exprimat intenția de a evita ca o prelucrare a datelor cu caracter personal să se sustragă de la obligațiile și garanțiile prevăzute de această directivă. În cadrul prezentei proceduri, s‑a arătat că problema legată de o asemenea eludare nu s‑ar ridica în cauză întrucât operatorul este stabilit într‑un stat membru, în speță în Irlanda. Prin urmare, conform acestei logici, ar trebui să se interpreteze articolul 4 alineatul (1) litera (a) din directiva menționată în sensul că impune acestui operator să țină seama de o singură legislație națională și să depindă de o singură autoritate de supraveghere, respectiv legislația și autoritatea irlandeză.
96. Cu toate acestea, o asemenea interpretare este contrară modului de redactare a articolului 4 alineatul (1) litera (a) din Directiva 95/46, precum și genezei acestei dispoziții. Astfel, după cum a arătat în mod întemeiat guvernul belgian la ședință, această directivă nu instituie nici mecanismul ghișeului unic, nici principiul țării de origine(57). În această privință, nu trebuie să se confunde ceea ce ținea de obiectivul politic care era urmărit de Comisia Europeană în propunerea sa de directivă și soluția care a fost consacrată în cele din urmă de Consiliul Uniunii Europene. În directiva menționată, acest legiuitor a optat să nu acorde prioritate aplicării dreptului național al statului membru în care se află sediul principal al operatorului. Rezultatul, respectiv Directiva 95/46, exprimă voința statelor membre de a‑și păstra competența de punere în aplicare națională. Prin faptul că nu a reținut principiul țării de origine, legiuitorul Uniunii a permis fiecărui stat membru să aplice propria legislație națională și a făcut astfel posibil cumulul legislațiilor naționale aplicabile(58).
97. Prin articolul 4 alineatul (1) litera (a) din directiva menționată, legiuitorul Uniunii a ales în mod deliberat să permită, în cazul prezenței mai multor sedii ale unui operator în cadrul Uniunii, ca mai multe legislații naționale cu privire la protecția datelor cu caracter personal să se poată aplica prelucrărilor de date cu caracter personal ale rezidenților statelor membre în cauză pentru a garanta o protecție eficientă a drepturilor acestora din urmă în cadrul statelor membre respective.
98. Acesta aspect este confirmat de considerentul (19) al Directivei 95/46, care precizează că, „dacă un singur operator are sediul pe teritoriul mai multor state membre, în special prin intermediul filialelor, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplinește obligațiile prevăzute de dreptul intern aplicabil activităților sale”.
99. Prin urmare, deducem din articolul 4 alineatul (1) litera (a) din Directiva 95/46, a cărui a doua teză prevede, în aceeași direcție ca și considerentul (19) al acestei directive, că, dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil, că structura unui grup caracterizată prin prezența unor sedii ale operatorului în mai multe state membre nu trebuie să aibă drept efect posibilitatea ca acesta din urmă să eludeze dreptul statului membru în circumscripția căruia este stabilit fiecare dintre aceste sedii.
100. Adăugăm că interpretarea favorabilă aplicării exclusive a dreptului statului membru în care se află sediul european al unui grup internațional nu mai poate fi, în opinia noastră, susținută de la Hotărârea din 28 iulie 2016, Verein für Konsumenteninformation(59). În această hotărâre, Curtea a decis că prelucrarea de date cu caracter personal efectuată de o întreprindere de comerț electronic este reglementată de dreptul statului membru spre care această întreprindere își direcționează activitățile dacă se dovedește că această întreprindere efectuează prelucrarea datelor în cauză în cadrul activităților unui sediu situat în acest stat membru. Curtea s‑a pronunțat în acest sens în pofida faptului că Amazon, la fel ca Facebook, este o întreprindere care dispune nu numai de un sediu european într‑un stat membru, ci are și o prezență fizică în mai multe state membre. Și într‑o asemenea ipoteză, trebuie să se analizeze dacă prelucrarea datelor se înscrie în cadrul activităților unui sediu în alt stat membru decât cel în care se află sediul european al operatorului.
101. Astfel cum arată guvernul belgian, este, prin urmare, perfect posibil ca un alt sediu decât sediul european al unei întreprinderi să fie relevant pentru aplicarea articolului 4 alineatul (1) litera (a) din Directiva 95/46.
102. În cadrul sistemului instituit prin această directivă, locul unde se efectuează prelucrarea, precum și locul unde și‑a stabilit sediul operatorul în cadrul Uniunii nu sunt, așadar, determinante, în cazul prezenței mai multor sedii ale acestui operator în cadrul Uniunii, pentru a identifica dreptul intern aplicabil unei prelucrări a datelor și pentru a conferi unei autorități de supraveghere misiunea de a‑și exercita competențele de intervenție.
103. În această privință, Curtea nu ar trebui, în opinia noastră, să anticipeze sistemul care a fost instituit prin reglementarea generală privind protecția datelor(60), care se va aplica de la 25 mai 2018. În cadrul acestui sistem, a fost instituit mecanismul ghișeului unic. Aceasta înseamnă că un operator care efectuează prelucrări transfrontaliere, precum Facebook, va dispune de o singură autoritate de supraveghere în calitate de interlocutor, și anume autoritatea de supraveghere principală, care va fi cea de la locul unde se află sediul principal al operatorului. Totuși, acest sistem, precum și mecanismul sofisticat de cooperare pe care îl instituie nu se aplică încă.
104. Desigur, întrucât Facebook a ales să își instaleze sediul principal în Uniune în Irlanda, autoritatea de supraveghere din acest stat membru trebuie să joace un rol semnificativ pentru a verifica dacă Facebook respectă normele rezultate din Directiva 95/46. Și totuși, astfel cum recunoaște chiar respectiva autoritate, aceasta nu înseamnă că dispune, în cadrul sistemului actual întemeiat pe această directivă, de o competență exclusivă cu privire la activitățile Facebook în cadrul Uniunii(61).
105. Ansamblul acestor elemente ne determină să considerăm, la fel ca și guvernul belgian, guvernul neerlandez și ULD, că interpretarea pe care Curtea a reținut‑o cu privire la articolul 4 alineatul (1) litera (a) din Directiva 95/46 în Hotărârea din 13 mai 2014, Google Spain și Google(62), este în egală măsură aplicabilă într‑o situație precum cea în discuție în litigiul principal, în care un operator este stabilit într‑un stat membru al Uniunii și dispune de mai multe sedii în cadrul Uniunii.
106. Prin urmare, pe baza informațiilor furnizate de instanța de trimitere în ceea ce privește natura activităților efectuate de Facebook Germany, este necesar să se considere că prelucrarea datelor cu caracter personal în litigiu este efectuată în cadrul activităților acestui sediu și că articolul 4 alineatul (1) litera (a) din Directiva 95/46 permite, într‑o situație precum cea în discuție în litigiul principal, aplicarea dreptului german cu privire la protecția datelor cu caracter personal(63).
107. Prin urmare, autoritatea de supraveghere germană este competentă să aplice dreptul național prelucrării de date cu caracter personal în discuție în litigiul principal.
108. Din articolul 28 alineatul (1) din această directivă reiese că fiecare autoritate de supraveghere instituită de un stat membru veghează la respectarea pe teritoriul acestui stat membru a dispozițiilor adoptate de statele membre în temeiul directivei menționate.
109. În temeiul articolului 28 alineatul (3) din Directiva 95/46, aceste autorități de supraveghere sunt în special învestite cu competențe de investigare, cum ar fi cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere, și cu competențe efective de intervenție, cum ar fi cele de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul. Aceste competențe de intervenție o pot cuprinde pe cea de sancționare a operatorului de date, prin aplicarea unei amenzi(64).
110. În ceea ce privește articolul 28 alineatul (6) din Directiva 95/46, acesta are următorul cuprins:
„Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru.
Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.”
111. Având în vedere faptul că dreptul statului membru din care provine este aplicabil prelucrării datelor cu caracter personal în discuție în litigiul principal, autoritatea de supraveghere germană este în măsură să își exercite în integralitate competențele de intervenție pentru a garanta ca dreptul german să fie aplicat și respectat de Facebook pe teritoriul german. O asemenea concluzie decurge din Hotărârea din 1 octombrie 2015, Weltimmo(65), care a permis să se precizeze domeniul de aplicare al articolului 28 alineatele (1), (3) și (6) din Directiva 95/46.
112. Implicațiile principale ale acestei cauze priveau stabilirea competenței autorității de supraveghere maghiare pentru aplicarea unei amenzi unui prestator de servicii stabilit într‑un alt stat membru, și anume Slovacia. Stabilirea acestei competențe trebuia să treacă de examinarea prealabilă a aspectului dacă, prin aplicarea criteriului prevăzut la articolul 4 alineatul (1) litera (a) din Directiva 95/46, dreptul maghiar era sau nu era aplicabil.
113. În prima parte a răspunsului său, Curtea a furnizat instanței de trimitere anumite indicații care să permită acesteia din urmă să stabilească existența unui sediu al operatorului în Ungaria. Ea a considerat, pe de altă parte, că această prelucrare era efectuată în cadrul activităților acestui sediu și că articolul 4 alineatul (1) litera (a) din Directiva 95/46 permitea, într‑o situație precum cea în discuție în această cauză, aplicarea dreptului maghiar cu privire la protecția datelor cu caracter personal.
114. Prin urmare, această primă parte a răspunsului Curții era de natură să confirme că autoritatea de supraveghere maghiară era competentă să aplice, în temeiul dreptului maghiar, o amendă unui prestator de servicii stabilit într‑un alt stat membru, în speță Weltimmo.
115. Cu alte cuvine, din momentul în care, în temeiul criteriului care figurează la articolul 4 alineatul (1) litera (a) din Directiva 95/46, dreptul maghiar putea fi recunoscut ca fiind dreptul intern aplicabil, autoritatea de supraveghere maghiară dispunea de competența de a asigura respectarea acestui drept în cazul încălcării acestuia de către un operator, deși acesta din urmă este înmatriculat în Slovacia. Ca efect al acestei dispoziții din Directiva 95/46, se putea considera că Weltimmo, deși înmatriculată în Slovacia, era totodată stabilită în Ungaria. Prezența în Ungaria a unui sediu al operatorului care desfășura activități în cadrul cărora era efectuată prelucrarea datelor constituia astfel punctul de fixare necesar pentru recunoașterea aplicabilității dreptului maghiar și, ca un corolar, a competenței autorității de supraveghere maghiare pentru a asigura respectarea acestui drept pe teritoriul maghiar.
116. Cea de a doua parte a răspunsului Curții, în care aceasta a trebuit să sublinieze principiul aplicării teritoriale a competențelor fiecărei autorități de supraveghere, a fost enunțată doar în subsidiar, și anume „pentru ipoteza în care autoritatea de supraveghere maghiară ar considera că Weltimmo dispune, nu în Ungaria, ci într‑un alt stat membru, de un sediu, în sensul articolului 4 alineatul (1) litera (a) din Directiva 95/46, care exercită activități în cadrul cărora este efectuată prelucrarea datelor cu caracter personal […]”(66). Prin urmare, este vorba despre răspunsul la problema dacă, „în cazul în care autoritatea de supraveghere maghiară ar ajunge la concluzia că dreptul aplicabil prelucrării datelor cu caracter personal este nu dreptul maghiar, ci dreptul unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 ar trebui interpretat în sensul că această autoritate nu ar putea exercita decât competențele prevăzute la articolul 28 alineatul (3) din această directivă, în conformitate cu dreptul acestui alt stat membru, și nu ar putea aplica sancțiuni”(67).
117. În această a doua parte a răspunsului, Curtea a precizat, în consecință, atât întinderea materială, cât și teritorială a competențelor pe care o autoritate de supraveghere le poate exercita într‑o situație specială, și anume cea în care dreptul statului membru din care provine această autoritate de supraveghere nu este aplicabil.
118. Într‑o asemenea ipoteză, Curtea a considerat că „competențele [respectivei] autorități nu cuprind în mod necesar ansamblul celor cu care este învestită în conformitate cu dreptul statului membru din care provine”(68). Astfel, „această autoritate își poate exercita competențele de investigare indiferent de dreptul aplicabil și chiar înainte de a ști care este dreptul național care este aplicabil prelucrării în cauză. Cu toate acestea, dacă ajunge la concluzia că este aplicabil dreptul unui alt stat membru, ea nu poate impune sancțiuni în afara teritoriului statului membru din care provine. Într‑o asemenea situație, îi revine, în executarea obligației de cooperare pe care o prevede articolul 28 alineatul (6) din [Directiva 95/46], să solicite autorității de supraveghere din acest alt stat membru să constate o eventuală încălcare a acestui drept și să impună sancțiuni, dacă acesta din urmă le permite, sprijinindu‑se, eventual, pe informațiile pe care ea i le va fi transmis”(69).
119. Din Hotărârea din 1 octombrie 2015, Weltimmo(70), deducem următoarele învățăminte pentru prezenta cauză.
120. Spre deosebire de ipoteza pe care Curtea și‑a construit raționamentul cu privire la competențele autorităților de supraveghere în această a doua parte din Hotărârea din 1 octombrie 2015, Weltimmo(71), cauza care ne preocupă corespunde unei situații, analoagă cu cea care corespunde primei părți din această hotărâre, în care, astfel cum am indicat anterior, dreptul intern aplicabil este chiar cel al statului membru din care provine autoritatea de supraveghere care exercită competențele sale de intervenție, ca urmare a prezenței pe teritoriul acestui stat membru a unui sediu al operatorului a cărui activitate este indisociabil legată de această prelucrare. Prezența în Germania a acestui sediu constituie punctul de fixare necesar pentru aplicarea dreptului german în cazul prelucrării datelor cu caracter personal în litigiu.
121. Odată cu îndeplinirea acestei condiții prealabile, autoritatea de supraveghere germană trebuie recunoscută ca fiind competentă să asigure respectarea pe teritoriul german a normelor de protecție a datelor cu caracter personal, punând în aplicare în integralitate competențele de care dispune în temeiul dispozițiilor germane de transpunere a articolului 28 alineatul (3) din Directiva 95/46. Asemenea competențe pot cuprinde o somație de interdicție temporară sau definitivă a unei prelucrări.
122. În ceea ce privește problema entității care trebuie să fie destinatara unei asemenea măsuri, două soluții pot fi avute în vedere.
123. Prima soluție constă în a se considera, la finalul unei interpretări stricte a domeniului de aplicare teritorial al competențelor de intervenție de care dispun autoritățile de supraveghere, că acesta pot exercita doar competențele în cauză împotriva sediului operatorului care se află pe teritoriul statului membru din care provine. Dacă, astfel cum este cazul în cadrul prezentei cauze, acest sediu, în speță Facebook Germany, nu este operatorul și, prin urmare, nu poate da el însuși curs unei cereri a autorității de supraveghere prin care se urmărește să se pună capăt unei prelucrări a datelor, va trebui să transmită această cerere operatorului pentru ca acesta din urmă să o poată pune în aplicare.
124. În schimb, cea de a doua soluție constă în a se considera că, întrucât operatorul este singurul care exercită o influență determinantă asupra prelucrării de date în discuție, acestuia ar trebui să i se adreseze direct o măsură prin care se pune capăt unei asemenea prelucrări.
125. În opinia noastră, această a doua soluție ar trebui să prevaleze în măsura în care este concordantă cu rolul fundamental pe care operatorul îl ocupă în cadrul sistemului instituit prin Directiva 95/46(72). O asemenea soluție, evitând să treacă în mod obligatoriu pe la intermediarul reprezentat de sediul care desfășoară activități în cadrul cărora se efectuează o prelucrare, este de natură să garanteze o aplicare imediată și efectivă a normelor naționale cu privire la protecția datelor cu caracter personal. Pe de altă parte, autoritatea de supraveghere care adresează direct unui operator care nu este stabilit pe teritoriul statului membru din care provine, precum Facebook Inc. sau Facebook Ireland, o măsură prin care se pune capăt unei prelucrări de date rămâne în limitele competenței sale, care constă în a se asigura ca această prelucrare să fie conformă cu dreptul statului respectiv pe teritoriul acestuia. În această privință, prezintă importanță redusă ca operatorul sau operatorii să fie stabiliți într‑un alt stat membru sau chiar într‑un stat terț.
126. Precizăm de asemenea în legătură cu propunerea noastră de răspuns la prima și la a doua întrebare preliminară că, având în vedere obiectivul care vizează asigurarea celei mai complete protecții cu putință a drepturilor persoanelor care consultă paginile pentru fani, posibilitatea ULD de a‑și exercita competențele de intervenție împotriva Facebook Inc. și a Facebook Ireland nu exclude nicidecum, în opinia noastră, luarea de măsuri în privința Wirtschaftsakademie și nu poate deci, ca atare, să afecteze legalitatea acestora din urmă(73)
127. Din considerațiile ce precedă rezultă că articolul 4 alineatul (1) litera (a) din Directiva 95/46 trebuie interpretat în sensul că o prelucrare a datelor cu caracter personal precum cea în discuție în litigiul principal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care o întreprindere care exploatează o rețea socială înființează în acest stat membru o filială pentru a asigura promovarea și vânzarea spațiului publicitar propus de această întreprindere, a cărei activitate este orientată către locuitorii acelui stat membru.
128. Pe de altă parte, într‑o situație precum cea în discuție în litigiul principal, în care dreptul intern aplicabil prelucrării datelor cu caracter personal în cauză este dreptul statului membru din care provine o autoritate de supraveghere, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 trebuie interpretat în sensul că această autoritate de supraveghere poate exercita în integralitate competențele efective de intervenție care i‑au fost conferite conform articolului 28 alineatul (3) din această directivă împotriva operatorului, inclusiv atunci când acest operator este stabilit în alt stat membru sau chiar într‑un stat terț.
C. Cu privire la a cincea și la a șasea întrebare preliminară
129. Prin intermediul celei de a cincea și al celei de a șasea întrebări preliminare, care, în opinia noastră, trebuie examinate împreună, instanța de trimitere solicită în esență Curții să declare dacă articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 trebuie interpretat în sensul că, în împrejurări precum cele în discuție în litigiul principal, autoritatea de supraveghere care provine din statul membru în care se află sediul operatorului (Facebook Germany) își poate exercita competențele de intervenție în mod independent și fără a fi obligată să solicite în prealabil autorității de supraveghere din statul membru în care se află operatorul (Facebook Ireland) să își exercite competențele.
130. În decizia de trimitere, Bundesverwaltungsgericht (Curtea Administrativă Federală) explică legătura dintre aceste două întrebări preliminare și controlul legalității somației pe care trebuie să îl efectueze în cadrul litigiului principal. Această instanță indică astfel în esență că pronunțarea unei somații împotriva Wirtschaftsakademie ar putea fi considerată ca ținând de o eroare de apreciere din partea ULD în cazul în care articolul 28 alineatul (6) din Directiva 95/46 ar trebui interpretat în sensul că prevede, în circumstanțe precum cele din litigiul principal, o obligație pentru o autoritate de supraveghere precum ULD de a solicita autorității de supraveghere din alt stat membru, în speță autoritatea de supraveghere în materie de protecție a datelor, să își exercite competențele în cazul unei divergențe de apreciere între aceste două autorități în ceea ce privește conformitatea prelucrării datelor efectuată de Facebook Ireland cu normele rezultate din Directiva 95/46.
131. Astfel cum a statuat Curtea în Hotărârea din 1 octombrie 2015, Weltimmo(74), în ipoteza în care dreptul aplicabil prelucrării datelor cu caracter personal în cauză nu este cel al statului membru din care provine autoritatea de supraveghere care urmărește să își exercite competențele de intervenție, ci dreptul unui alt stat membru, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 trebuie interpretat în sensul că această autoritate nu poate aplica sancțiuni pe baza dreptului statului membru din care provine operatorul care nu este stabilit pe teritoriul statului membru respectiv, ci ar trebui, în temeiul articolului 28 alineatul (6) din aceeași directivă, să solicite autorității de supraveghere care provine din statul membru al cărui drept este aplicabil să intervină(75).
132. Într‑o asemenea situație, autoritatea de supraveghere din primul stat membru își pierde competența să își exercite atribuția de sancționare în privința unui operator care este stabilit în alt stat membru. Cu alte cuvinte, aceasta nu poate aplica dreptul unui alt stat membru pentru sancționarea operatorului respectiv. Aceasta trebuie astfel, în executarea obligației de cooperare pe care o prevede articolul 28 alineatul (6) din Directiva 95/46, să solicite autorității de supraveghere din acest alt stat membru să constate o eventuală încălcare a acestui drept și să impună sancțiuni, dacă acesta din urmă le permite, sprijinindu‑se, eventual, pe informațiile pe care ea i le va fi transmis(76).
133. Astfel cum am indicat anterior, situația în discuție în prezenta cauză este cu totul diferită întrucât dreptul aplicabil este chiar dreptul statului membru din care provine autoritatea de supraveghere care urmărește să își exercite competențele de intervenție. În această situație, articolul 28 alineatul (6) din Directiva 95/46 trebuie interpretat în sensul că nu impune acestei autorități de supraveghere să solicite autorității de supraveghere care provine din statul membru în care operatorul este stabilit să își exercite competențele de intervenție împotriva acestuia din urmă.
134. Adăugăm că, în conformitate cu ceea ce prevede articolul 28 alineatul (1) a doua teză din Directiva 95/46, autoritatea de supraveghere care este competentă să își exercite competențele de intervenție împotriva unui operator stabilit în alt stat membru decât cel din care provine își exercită în condiții de independență deplină atribuțiile care i se conferă.
135. Astfel cum rezultă din considerațiile noastre anterioare, Directiva 95/46 nu prevede nici principiul țării de origine, nici mecanismul ghișeului unic precum cel care figurează în Regulamentul 2016/679. Un operator care are sedii în mai multe state membre este, în consecință, supus pe deplin controlului mai multor autorități de supraveghere atunci când drepturile statelor membre din care provin aceste autorități sunt aplicabile. Deși concertarea și cooperarea dintre aceste autorități de supraveghere sunt, bineînțeles, de dorit, nimic nu obligă totuși o autoritate de supraveghere a cărei competență este recunoscută să își alinieze poziția la cea reținută de o altă autoritate de supraveghere.
136. Din considerațiile care precedă deducem că articolul 28 alineatele (1), (3) și (6) din Directiva 95/46 trebuie interpretat în sensul că, în circumstanțe precum cele în discuție în litigiul principal, autoritatea de supraveghere care provine din statul membru în care se află sediul operatorului poate să își exercite competențele de intervenție împotriva acestui operator în mod independent și fără a fi obligată să solicite în prealabil autorității de supraveghere din statul membru în care se află operatorul respectiv să își exercite competențele.
III. Concluzie
137. Având în vedere considerațiile care precedă, propunem să se răspundă la întrebările preliminare adresate de Bundesverwaltungsgericht (Curtea Administrativă Federală, Germania) după cum urmează:
„1) Articolul 2 litera (d) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003 al Parlamentului European și al Consiliului din 29 septembrie 2003, trebuie interpretat în sensul că constituie un operator, în sensul acestei dispoziții, administratorul unei pagini pentru fani de pe o rețea socială precum Facebook în ceea ce privește etapa prelucrării datelor cu caracter personal care constă în colectarea prin intermediul acestei rețele sociale a datelor referitoare la persoanele care consultă această pagină în vederea întocmirii de statistici cu privire la utilizatori referitoare la pagina amintită.
2) Articolul 4 alineatul (1) litera (a) din Directiva 95/46, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că o prelucrare a datelor cu caracter personal precum cea în discuție în litigiul principal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care o întreprindere care exploatează o rețea socială înființează în acest stat membru o filială destinată promovării și vânzării spațiului publicitar propuse de această întreprindere, a cărei activitate este orientată către locuitorii acelui stat membru.
3) Într‑o situație precum cea în discuție în litigiul principal, în care dreptul intern aplicabil prelucrării datelor cu caracter personal în cauză este dreptul statului membru din care provine o autoritate de supraveghere, articolul 28 alineatele (1), (3) și (6) din Directiva 95/46, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că această autoritate de supraveghere poate exercita în integralitate competențele efective de intervenție care i‑au fost conferite conform articolului 28 alineatul (3) din această directivă împotriva operatorului, inclusiv atunci când acest operator este stabilit în alt stat membru sau chiar într‑un stat terț.
4) Articolul 28 alineatele (1), (3) și (6) din Directiva 95/46, astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003, trebuie interpretat în sensul că, în circumstanțe precum cele în discuție în litigiul principal, autoritatea de supraveghere care provine din statul membru în care se află sediul operatorului poate să își exercite competențele de intervenție împotriva acestui operator în mod independent și fără a fi obligată să solicite în prealabil autorității de supraveghere din statul membru în care se află operatorul respectiv să își exercite competențele.”