CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:388

Affaire C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contre

Wirtschaftsakademie Schleswig-Holstein GmbH

(demande de décision préjudicielle, introduite par le Bundesverwaltungsgericht)

« Renvoi préjudiciel – Directive 95/46/CE – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Injonction visant à désactiver une page Facebook (fan page) permettant de collecter et de traiter certaines données liées aux visiteurs de cette page – Article 2, sous d) – Responsable du traitement de données à caractère personnel – Article 4 – Droit national applicable – Article 28 – Autorités nationales de contrôle – Pouvoirs d’intervention de ces autorités »

Sommaire – Arrêt de la Cour (grande chambre) du 5 juin 2018

1. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Responsable du traitement – Notion – Administrateur d’une page fan hébergée sur un réseau social – Inclusion

[Directive du Parlement européen et du Conseil 95/46, art. 2, d)]

2. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Autorités nationales de contrôle – Pouvoirs – Pouvoirs d’investigation, d’intervention et d’ester en justice – Habilitation de l’autorité de contrôle d’un État membre pour exercer ces pouvoirs à l’égard d’une entreprise située sur le territoire de cet État membre – Appartenance de l’entreprise à un groupe ayant confié la responsabilité de la collecte et du traitement des données à caractère personnel à un établissement dans un autre État membre – Absence d’incidence

(Directive du Parlement européen et du Conseil 95/46, art. 4 et 28)

3. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Autorités nationales de contrôle – Pouvoirs – Pouvoirs d’intervention – Exercice à l’égard d’un tiers responsable du traitement des données à caractère personnel situé dans un autre État membre – Compétence pour apprécier la légalité du traitement et pour intervenir sans recourir à l’assistance de l’autorité de contrôle de l’autre État membre

[Directive du Parlement européen et du Conseil 95/46, art. 4, § 1, a), et 28, § 3 et 6]

1. L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

Or, si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46. En effet, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel. Dans ces conditions, la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive 95/46.

(voir points 35, 39, 40, 42, 44, disp. 1)

2. Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

(voir point 64, disp. 2)

3. L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

(voir point 74, disp. 3)