La Cour de jus­tice de l’Union euro­péenne a jugé que l’administrateur d’une page Face­book, dans la mesure où ce der­nier contri­bue, par les réglages de sa page, à la déter­mi­na­tion des fina­li­tés et des moyens du trai­te­ment des don­nées des visi­teurs, était res­pon­sable du trai­te­ment des don­nées per­son­nelles, conjoin­te­ment à Face­book, tout en dis­tin­guant les res­pon­sa­bi­li­tés respectives.

Les auto­ri­tés natio­nales de contrôle com­pé­tentes à l’égard des éta­blis­se­ments de Face­book char­gés de la vente d’espaces publi­ci­taires le sont sur base de cette acti­vi­té liée au trai­te­ment en cause, sans empê­cher la com­pé­tence des autres auto­ri­tés et sans qu’une auto­ri­té de contrôle d’un autre État Membre com­pé­tente en ver­tu de son droit natio­nal soit tenue à la juris­pru­dence rete­nue par une autre auto­ri­té de contrôle dans une situa­tion analogue.

Cette réponse de la Cour concerne la direc­tive 95/46/CE du Par­le­ment euro­péen et du Conseil, du 24 octobre 1995, rela­tive à la pro­tec­tion des per­sonnes phy­siques à l’égard du trai­te­ment des don­nées à carac­tère per­son­nel et à la libre cir­cu­la­tion de ces don­nées et non sur le RGPD, mais une inter­pré­ta­tion ana­logue devrait sans doute prévaloir.


Consul­ter la décision :

CJUE (grande chambre), 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH, en présence de Facebook Ireland Ltd et Vertreter des Bundesinteresses beim Bundesverwaltungsgericht, C‑210/16

1)      L’article 2, sous d), de la direc­tive 95/46/CE du Par­le­ment euro­péen et du Conseil, du 24 octobre 1995, rela­tive à la pro­tec­tion des per­sonnes phy­siques à l’égard du trai­te­ment des don­nées à carac­tère per­son­nel et à la libre cir­cu­la­tion de ces don­nées, doit être inter­pré­té en ce sens que la notion de « res­pon­sable du trai­te­ment », au sens de cette dis­po­si­tion, englobe l’administrateur d’une page fan héber­gée sur un réseau social.

2)      Les articles 4 et 28 de la direc­tive 95/46 doivent être inter­pré­tés en ce sens que, lorsqu’une entre­prise éta­blie en dehors de l’Union euro­péenne dis­pose de plu­sieurs éta­blis­se­ments dans dif­fé­rents États membres, l’autorité de contrôle d’un État membre est habi­li­tée à exer­cer les pou­voirs que lui confère l’article 28, para­graphe 3, de cette direc­tive à l’égard d’un éta­blis­se­ment de cette entre­prise situé sur le ter­ri­toire de cet État membre, alors même que, en ver­tu de la répar­ti­tion des mis­sions au sein du groupe, d’une part, cet éta­blis­se­ment est char­gé uni­que­ment de la vente d’espaces publi­ci­taires et d’autres acti­vi­tés de mar­ke­ting sur le ter­ri­toire dudit État membre et, d’autre part, la res­pon­sa­bi­li­té exclu­sive de la col­lecte et du trai­te­ment des don­nées à carac­tère per­son­nel incombe, pour l’ensemble du ter­ri­toire de l’Union euro­péenne, à un éta­blis­se­ment situé dans un autre État membre.

3)      L’article 4, para­graphe 1, sous a), et l’article 28, para­graphes 3 et 6, de la direc­tive 95/46 doivent être inter­pré­tés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exer­cer à l’égard d’un orga­nisme éta­bli sur le ter­ri­toire de cet État membre les pou­voirs d’intervention visés à l’article 28, para­graphe 3, de cette direc­tive en rai­son d’atteintes aux règles rela­tives à la pro­tec­tion des don­nées à carac­tère per­son­nel, com­mises par un tiers res­pon­sable du trai­te­ment de ces don­nées et ayant son siège dans un autre État membre, cette auto­ri­té de contrôle est com­pé­tente pour appré­cier, de manière auto­nome par rap­port à l’autorité de contrôle de ce der­nier État membre, la léga­li­té d’un tel trai­te­ment de don­nées et peut exer­cer ses pou­voirs d’intervention à l’égard de l’organisme éta­bli sur son ter­ri­toire sans préa­la­ble­ment appe­ler l’autorité de contrôle de l’autre État membre à intervenir.