CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Demande de décision préjudicielle présentée par le Bundesverwaltungsgericht (Allemagne) le 14 avril 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH

(Affaire C-210/16)

Langue de procédure: l'allemand

Juridiction de renvoi

Bundesverwaltungsgericht

Parties dans la procédure au principal

Partie requérante: Wirtschaftsakademie Schleswig-Holstein GmbH

Partie défenderesse: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Intervenante au principal: Facebook Ireland Limited

En présence de: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht [le représentant des intérêts de l’État fédéral devant le Bundesverwlatungsgericht]

Questions préjudicielles

L’article 2, sous d), de la directive 95/46/CE ¹ doit-il être interprété en ce sens qu’il régit de manière définitive et exhaustive la responsabilité en cas d’atteinte à la protection des données, ou peut-on encore, dans le cadre des «mesures appropriées» visées à l’article 24 de la directive 95/45/CE et des «pouvoirs effectifs d’intervention» visés à l’article 28, paragraphe 3, deuxième tiret, de la directive 95/46/CE, en présence de fournisseurs d’informations en cascade, retenir la responsabilité d’un organisme qui n’est pas le responsable du traitement des données au sens de l’article 2, sous d), de la directive 95/46/CE au titre du choix d’un administrateur pour son offre d’informations?

Résulte-t-il, a contrario, de l’obligation des États membres découlant de l’article 17, paragraphe 2, de la directive 95/46/CE d’exiger, dans le traitement des données en sous-traitance, que le responsable du traitement «[choisisse] un sous traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer», qu’il n’existe, dans le cadre d’autres utilisations n’impliquant aucun traitement de données en sous-traitance au sens de l’article 2, sous e), de la directive 95/46/CE, aucune obligation de faire un choix rigoureux, et que celle-ci ne peut pas non plus être instituée sur le fondement du droit national?

Lorsqu’une société mère établie en dehors de l’Union européenne dispose d’établissements juridiquement indépendants (filiales) dans différents États membres, l’autorité de contrôle d’un État membre (en l’espèce l’Allemagne) est elle également habilitée, en vertu de l’article 4 et de l’article 28, paragraphe 6, de la directive 95/46/CE, à exercer les pouvoirs dont elle est investie conformément à l’article 28, paragraphe 3, de la directive 95/46/CE à l’encontre de l’établissement situé sur son territoire, si cet établissement assure uniquement la promotion et la vente d’espaces publicitaires ainsi que d’autres mesures de marketing destinées aux habitants de cet État membre, alors que l’établissement indépendant (filiale) établi dans un autre État membre (en l’espèce l’Irlande) a, en vertu de la répartition des missions au sein du groupe, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel sur l’ensemble du territoire de l’Union européenne et donc également dans l’autre État membre (en l’espèce l’Allemagne), si la décision relative au traitement des données est en fait prise par la société mère?

L’article 4, paragraphe 1, et l’article 28, paragraphe 3, de la directive 95/46/CE doivent-ils être interprétés en ce sens que, lorsque le responsable du traitement possède un établissement sur le territoire d’un État membre (en l’espèce l’Irlande), et qu’il existe un autre établissement juridiquement indépendant sur le territoire d’un autre État membre (en l’espèce l’Allemagne), lequel est chargé, entre autres, de la vente d’espaces publicitaires, et dont l’activité est destinée aux habitants de cet État, l’autorité de contrôle compétente dans cet autre État membre (en l’espèce l’Allemagne) peut prendre des mesures et des injonctions en vue de mettre en œuvre le droit applicable à la protection des données, y compris à l’encontre de l’autre établissement qui n’est pas responsable du traitement des données d’après la répartition des missions et responsabilités au sein du groupe (en l’espèce l’Allemagne), ou les mesures et injonctions ne doivent-elles, dans ce cas, être prises que par l’autorité de contrôle de l’État membre (en l’espèce l’Irlande) sur le territoire duquel l’organisme responsable au sein du groupe a son siège?

L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46/CE doivent-ils être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre (en l’espèce l’Allemagne) met en cause une personne ou un organisme exerçant ses activités sur son territoire en application de l’article 28, paragraphe 3, de la directive 95/46/CE en raison du choix non rigoureux d’un tiers impliqué dans le processus de traitement des données (en l’espèce Facebook), au motif que ce tiers a enfreint le droit applicable à la protection des données, l’autorité de contrôle intervenante (en l’espèce l’Allemagne) est liée par l’appréciation au regard du droit applicable à la protection des données émanant de l’autorité de contrôle de l’autre État membre, dans lequel le tiers responsable du traitement des données a son établissement (en l’espèce l’Irlande), en ce sens qu’elle n’est pas habilitée à émettre une appréciation juridique divergente, ou l’autorité de contrôle intervenante (en l’espèce l’Allemagne) peut-elle examiner de manière autonome la légalité du traitement des données effectué par le tiers établi dans un autre État membre (en l’espèce l’Irlande) à titre incident?

Dans l’hypothèse où l’autorité de contrôle intervenante (en l’espèce l’Allemagne) est habilitée à effectuer un contrôle autonome: l’article 28, paragraphe 6, deuxième phrase, de la directive 95/46/CE doit-il être interprété en ce sens que cette autorité de contrôle ne peut exercer les pouvoirs effectifs d’intervention dont elle est investie conformément à l’article 28, paragraphe 3, de la directive 95/46/CE à l’encontre d’une personne ou d’un organisme établis sur son territoire au titre de leur part de responsabilité dans les atteintes à la protection des données commises par le tiers établi dans un autre État membre que si elle a préalablement appelé l’autorité de contrôle de cet autre État membre (en l’espèce l’Irlande) à exercer ses pouvoirs?

____________

¹ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23 novembre 1995, p. 31.