Données personnelles : détermination du responsable du traitement et de l’autorité nationale de contrôle compétente

CJUE, 5 juin 2018, C-210/16.

Saisie, à l’occasion d’un litige relatif à un traitement de données à caractère personnel, d’une question préjudicielle qui lui a été transmise par les juridictions allemandes, la Cour de justice de l’Union européenne (CJUE) eut encore à se prononcer sur la base de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Celle-ci était en vigueur au moment des faits, avant d’être remplacée, depuis le 25 mai 2018, par l’actuel règlement (UE), n° 2016/679 du 27 avril 2016 dit RGPD, ayant le même objet. L’un et l’autre de ces textes européens visent, par l’harmonisation des législations nationales, conformément aux principes qu’ils énoncent, tout à la fois à renforcer la protection des données personnelles et, dès lors qu’il en est ainsi, à en faciliter la libre circulation entre les États membres de l’Union.

En l’espèce, la Cour de justice eut principalement à se prononcer tout à la fois sur la détermination du responsable du traitement, tenu au respect des dispositions protectrices des données personnelles, et sur celle de l’autorité nationale de contrôle compétente pour y veiller.

Détermination du responsable du traitement

L’article 2 de la directive d’octobre 1995 identifiait le « responsable du traitement », auquel le respect des dispositions relatives à la protection des données personnelles s’imposait, comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ».

En cette affaire, était en cause un service en ligne que l’arrêt décrit comme étant offert « au moyen d’une page fan hébergée sur Facebook ». Explication y est apportée que « les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des particuliers ou des entreprises » ; que « pour ce faire, l’auteur de la page fan, une fois enregistré auprès de Facebook, peut utiliser la plateforme aménagée par ce dernier pour se présenter aux utilisateurs de ce réseau social ainsi qu’aux personnes visitant la page fan et diffuser des communications de toute nature » ; et surtout que « les administrateurs de pages fan peuvent obtenir des données statistiques anonymes concernant les visiteurs de ces pages ». Face à de telles pratiques, la question posée était donc de déterminer la personne responsable de la collecte et du traitement des données (certaines étant anonymisées) des internautes utilisateurs du service.

Pour se prononcer, la Cour de justice considère que « l’administrateur d’une page fan hébergée sur Facebook », tel que le service allemand en cause, « participe, par son action de paramétrage, en fonction notamment de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan » et que, « de ce fait », il « doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement ». L’arrêt précise que « le fait, pour un administrateur d’une page fan, d’utiliser la plateforme mise en place par Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations en matière de protection des données à caractère personnel » et que, « dans ces conditions, la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan ».

Les responsables conjoints d’un tel traitement de données à caractère personnel étant déterminés, il convenait également, pour la Cour de justice, de déterminer l’autorité nationale de contrôle investie du pouvoir de veiller au respect des dispositions protectrices.

Détermination de l’autorité nationale de contrôle

En son article 28, la directive d’octobre 1995 prévoyait que, de manière non exclusive, une part des compétences en matière de contrôle du respect des dispositions relatives à la protection des données personnelles était confiée à une autorité publique indépendante du type, pour la France, de la Commission nationale de l’informatique et des libertés (Cnil). Dès lors que les responsables du traitement, dont il était admis qu’ils pouvaient être plusieurs, étaient susceptibles d’être de différentes nationalités ou implantés dans différents pays, il convenait de déterminer l’autorité nationale de contrôle compétente.

L’arrêt énonce que « du fait que le traitement en cause est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de cet État membre, cette autorité de contrôle peut exercer l’ensemble des pouvoirs qui lui sont conférés par ce droit à l’égard de cet établissement, et ce indépendamment du point de savoir si le responsable du traitement dispose d’établissements également dans d’autres États membres ».

L’arrêt relève que « l’établissement de Facebook situé en Allemagne est destiné à assurer, dans cet État membre, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par Facebook, les activités de cet établissement doivent être considérées comme indissociablement liées au traitement de données à caractère personnel en cause […] dont Facebook Inc. est le responsable conjointement avec Facebook Ireland » et que, le droit allemand étant applicable, « l’autorité de contrôle allemande était compétente […] aux fins d’assurer le respect, sur le territoire allemand, des règles en matière de protection des données à caractère personnel ».

Des dispositions en vigueur, l’arrêt conclut que « lorsque l’autorité de contrôle d’un État membre entend exercer, à l’égard d’un organisme établi sur le territoire de cet État membre, les pouvoirs d’intervention » qui sont les siens « en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir ».

Sur cet aspect au moins de la détermination de l’autorité nationale de contrôle compétente, l’entrée en vigueur du règlement général sur la protection des données (RGPD) modifie et clarifie le régime applicable puisque, comme le relève l’avocat général dans ses conclusions, conformément au considérant 124 dudit règlement et en application de son article 56, est désormais institué « un mécanisme de guichet unique. […] Cela signifie qu’un responsable du traitement effectuant des traitements transfrontaliers, tel que Facebook, ne disposera que d’une seule autorité de contrôle en tant qu’interlocuteur, à savoir l’autorité de contrôle chef de file, qui sera celle du lieu où se situe l’établissement principal du responsable du traitement ».

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here