Académique Documents
Professionnel Documents
Culture Documents
Sur le thème :
2
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
3
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Remerciements :
Dédicaces :
4
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Obs. Observations.
OCDE L’organisation de Coopération et de Développement Économiques
5
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Aperçu
Nous parlons d’un enjeu qui concerne chacun d’entre nous, de notre capacité au
travail, à la maison, dans nos achats, notre santé, à voir notre vie privée effectivement
garantie au sein d’un univers qui a tellement changé depuis dix ans. En quelques
années en effet, le monde numérique s’est installé. Il ne s’agit pas seulement
d’Internet. Il s’agit de la dématérialisation progressive de toutes les activités
humaines qui s’étendent désormais du monde physique au monde virtuel ; l’individu
passe de l’un à l’autre souvent sans même s’en apercevoir et la donnée est au cœur de
ce monde « sans couture ».1
1
Isabelle Falque- Pierrotin, « Quelle protection européenne pour les données personnelles ? », Fondation Robert
Schuman, Questions d’Europe, n° 250, 3 septembre 2012.
6
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
SOMMAIRE
7
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Introduction
Nul ne peut plus ignorer le droit des données personnelles. Au carrefour des libertés
informatiques, des impératifs sécuritaires et de l’économie, il a pour fonction et ambition
d’assurer un équilibre délicat entre des intérêts différents, si ce n’est souvent divergents.
Car la dernière décennie a profondément affecté le couple informatique et libertés au
point que le rapport entre ces deux termes est le plus souvent envisagé sur un mode
conflictuel.
Internet et les nouvelles technologies ont également mis à l’épreuve des principes
élaborés alors que le fichage étatique et l’informatique centralisée se présentaient
comme la principale menace. Ainsi, la notion de donnée personnelle au cœur de la loi «
Informatique et libertés » du 6 janvier 1978 se brouille alors que se dessinent les
volontés, principalement communautaires et industrielles, de déplacer le centre de
gravité de la protection vers un droit sur la maîtrise de ses données fondées sur la
responsabilisation des intéressés.
Historiquement le terme des données personnelles fut utilisé pour la première fois en
1980 dans les Lignes directrices de l’Organisation de Coopération et de Développement
Économiques (OCDE) sur la vie privée et les flux transfrontières de données à caractère
personnel2. Puis, l’expression fut reprise dans la Convention du Conseil de l’Europe
pour la protection des personnes à l’égard des traitements automatisés des données à
caractère personnel signée à Strasbourg le 28 janvier 1981 3, dans les Lignes directrices
concernant les fichiers informatisés de données personnelles 4 de l’Organisation des
Nations Unies ainsi que dans divers textes sectoriels tels que celui élaboré par exemple
par l’Organisation mondiale du commerce 5. Surtout, le vocable « données à caractère
personnel » est employé en 1995 lorsque l’Europe décide de se doter d’un instrument
contraignant. La directive 95/46/CE du 24 octobre 1995 est ainsi relative à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à
2
OCDE, 23 septembre 1980, Editions OCDE, 2002.
3
Convention 108, JOCE du 20 novembre 1985, p. 13436
4
Résolution n° 45/95 du 14 décembre 1990, consultable à l’adresse
http://www1.umn.edu/humanrts/instree/french/Fq2grcpd.html.
5
Accord Général sur le commerce des services du 15 avril 1994, consultable à l’adresse
http://www.wto.org/french/docs_f/legal_f/26-gats.pdf. Voir en particulier l’article XIV c) ii) qui dispose que «
sous réserve que ces mesures ne soient pas appliquées de façon à constituer soit un moyen de discrimination
arbitraire ou injustifiable entre les pays où des conditions similaires existent, soit une restriction déguisée au
commerce des services, aucune disposition du présent accord ne sera interprétée comme empêchant l’adoption
ou l’application par tout Membre de mesures […] nécessaires pour assurer le respect des lois ou réglementations
qui ne sont pas incompatibles avec les dispositions du présent accord, y compris celles qui se rapportent […] à la
protection de la vie privée des personnes pour ce qui est du traitement et de la dissémination de données
personnelles, ainsi qu’à la protection du caractère confidentiel des dossiers et comptes personnels », p. 328.
8
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
la libre circulation de ces données 6. Ce texte est précisé et complété deux ans après son
adoption par une seconde directive s’appliquant exclusivement au secteur des
télécommunications 7 et est intégré dans le corpus juridique français avec six ans de
retard par la loi de transposition du 6 août 2004 modifiant la loi n° 78-17 du 6 janvier
1978 8. Entre-temps, l’expression « données personnelles » a été consacrée par la Charte
des droits fondamentaux de l’Union européenne 9 et tous les textes nationaux et
européens postérieurs la reprennent.
La réponse à cette question est d’autant plus importante qu’elle s’inscrit dans un
courant actuel fort visant à réformer les législations relatives à la protection des données,
dont la directive du 24 octobre 1995 et la convention du 28 janvier 198110. Le processus
de modification de ladite directive actuellement en cours se fait naturellement selon
plusieurs étapes 11 dont l’une a consisté en la publication par la Commission d’un projet
de Règlement européen relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces données le
25 janvier 2012 12. La tendance à l’adoption d’un règlement plutôt que d’une directive
doit être saluée tant il apparaît nécessaire d’harmoniser les législations présentes au sein
de l’Union européenne pour y éviter la mise en place de « paradis de données ». Les
6
Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, JOCE du 23 novembre 1995, p 31
7
Directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, JOCE L
24 du 30 janvier 1998, p. 1.
8
Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de
données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978, JO du 7 août 2004, p. 14063.
9
Art. 8, JOCE C 364 du 18 décembre 2000, p. 1. Bien que signée en 2000, cette Charte n’a acquis valeur
contraignante qu’avec l’entrée en vigueur du traité de Lisbonne modifiant le traité sur l’Union européenne et le
traité instituant la Communauté européenne, signé à Lisbonne le 13 décembre 2007 et entré en vigueur le 1 er
décembre 2009, JOUE C 306 du 17 décembre 2007, p. 1.
10
Conseil de l’Europe, Résolution n° 3 sur la protection des données à caractère personnel et la vie privée au
troisième millénaire, MJU-30 (2010) RESOL. 3 E, 26 novembre 2010, consultable à l’adresse
http://www.coe.int/t/dghl/standardsetting/minjust/mju30/MJU30%20_2010_%20RESOL%203%20E%20final.pd
f. Voir également le document de travail du Bureau du Comité consultatif de la Convention pour la protection des
personnes à l’égard du traitement automatisé des données à caractère personnel, « Moderniser la convention :
nouvelles propositions », T-PD-BUR(2012)01Rev_fr, 5 mars 2012.
11
Communication de la Commission européenne, « Une approche globale de la protection des données à
caractère personnel dans l’Union européenne », COM(2010) 609 final, 4 novembre 2010. Voir également L.
LINKOMIES, « European Union to strengthen privacy framework », Privacy Laws & Business, International
Newsletter, février 2010, p. 6, et V. REDING, « Towards a true Single Market of data protection »
12
Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement
général sur la protection des données), COM(2012) 11 final, 25 janvier 2012.
9
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Ce règlement doit être complété d’une directive pour les matières relevant de la
prévention, de la détection, d’enquêtes et de poursuites des infractions pénales ainsi que
de l’exécution des sanctions pénales. Cette dichotomie est aujourd’hui critiquée, les
instances de protection des données considérant qu’une approche globale aurait été
préférable.
Il faut par ailleurs noter que même les États-Unis qui, pourtant, ont toujours été
favorables à une auto régulation du marché, réfléchissent à l’adoption de divers textes
tels que le projet de loi pour encadrer la collecte et l’utilisation des informations
individuelles obtenues par le traçage de l’activité d’un internaute 14 ou le projet de loi
visant à protéger la vie privée des consommateurs américains sur l’Internet 15. Dès lors,
un changement profond semble s’être opéré depuis l’adoption des premières
législations.
Or, ce changement devrait apparaître expressément dans les textes actuels qui
devraient en tirer toutes les conséquences. Les travaux préparatoires de la loi du 6 août
2004 énoncent trois raisons à ce passage de l’information nominative à la donnée
personnelle. Premièrement, « la notion de “donnée à caractère personnel” paraît plus
pertinente compte tenu du développement des mesures d’identification indirecte 16 ». La
portée de cette justification est immédiatement tempérée, les auteurs notant que « la
CNIL adopte déjà une conception large des informations nominatives, qui inclut par
exemple les numéros de téléphone, les plaques d’immatriculation ou les numéros de
certains badges, ainsi que les clichés permettant d’identifier une personne ».
13
CNIL, « Projet de Règlement européen : point d’étape et calendrier prévisionnel », 17 décembre 2012.
14
J. ROCKEFFELLER, « Bill to require the Federal Trade Commission to prescribe regulations regarding the
collection and use of personal information obtained by tracking the online activity of an individual, and for other
purposes », 9 mai 2011.
15
The White House, « Consumer Data Privacy in a networked world : a framework for protecting privacy and
promoting innovation in the global digital economy », février 2012.
16
A. TÜRK, Rapport n° 218 sur le projet de loi, adopté par l’Assemblée nationale, relatif à la protection des
personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés, déposé le 19 mars 2003, p. 47
10
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
C’est ce que soulignent les travaux préparatoires de la loi du 6 août 2004 au moment
de justifier l’abandon de l’expression d’« informations nominatives » au profit de celle
de « données à caractère personnel ». Néanmoins, cette motivation n’est pas
convaincante dans la mesure où le mot « nominatif » avait disparu du vocabulaire utilisé
dans le cadre de l’accès aux documents administratifs depuis la loi du 12 août 2000 20.
Dès cette date, chaque administré a pu en effet demander à accéder aux différents
documents administratifs à l’exception de ceux qui portaient atteinte au secret de la vie
privée ou au secret médical, qui portaient une appréciation ou un jugement de valeur ou
qui révélaient un comportement dont la divulgation pouvait porter préjudice.
17
A. TÜRK, Rapport n° 218 sur le projet de loi, adopté par l’Assemblée nationale, relatif à la protection des
personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés, déposé le 19 mars 2003, p. 47
18
Commission d’accès aux documents administratifs, Guide de l’accès aux documents administratifs, La
Documentation française, 1997, p. 47.
19
Voir notamment B. LASSERRE et J.-M. DELARUE, AJDA, 1983, chron., p. 405.
20
Loi n° 2000-321 du 12 août 2000 relative aux droits des citoyens dans leurs relations avec les administrations,
JO n° 88 du 13 avril 2000, p. 5646.
21
A. TÜRK, Rapport n° 218, op. cit.
11
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le législateur marocain a défini, dans son article premier de la loi 09-08, les données
à caractère personnel comme étant : « toute information de quelque nature qu’elle soit
et indépendamment de son support, y compris le son et l’image, concernant une
personne physique identifiée ou identifiable »28. Les personnes concernées sont celles
qui sont identifiées ou qui peuvent être identifiées directement ou indirectement,
notamment par référence à un numéro d’identification ou à un ou plusieurs éléments
spécifiques de leur identité physique, physiologique, génétique, psychique, économique,
culturelle ou sociale. »
22
Le terme de « données » est précisément défini dans l’arrêté du 22 décembre 1981 relatif à l’enrichissement du
vocabulaire de l’informatique (JO du 17 janvier 1982, p. 624) comme « la représentation d’une information sous
une forme conventionnelle destinée à faciliter son traitement ».
23
Malgré cette différence, ces deux termes sont, en général et par commodité, utilisés comme des synonymes. Tel
est aussi le parti pris tout au long de ce travail.
24
A. BELLEIL, E-privacy : le marché des données personnelles : protection de la vie privée à l’âge d’Internet,
Dunod, septembre 2001.
25
M. CONTIS, « Secret médical et évolutions du système de santé », Thèse Toulouse, 10 décembre 2001
26
Le rapport d’information n° 1548 sur les fichiers de police déposé à l’Assemblée nationale par D. BATHO et
J. A. BENISTI fait état de l’existence de 58 fichiers de police en 2009, 24 mars 2009, spéc. p. 13
27
Le data mining peut être défini comme une technique fondée sur les statistiques, les mathématiques et
l’informatique qui permet d’analyser et d’interpréter des données volumineuses, contenues dans une ou plusieurs
bases de données afin de dégager des tendances. Le Big Data, quant à lui, permet le traitement et l’analyse de
toutes les données captables, sans limitation aux seules données contenues dans une base de données interne.
28
L’article 1 de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel.
12
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Cette impression de synonymie est en outre confortée, d’une part, par la doctrine de
la CNIL qui a développé une conception large de la notion d’informations nominatives
au fur et à mesure des avancées techniques 29 et, d’autre part, par l’application de régimes
de protection semblables. Que l’on se situe sous l’empire de la loi de 1978 ou sous celui
des textes postérieurs, les responsables de fichiers désireux d’utiliser des informations
concernant les individus doivent en effet répondre aux mêmes conditions de collecte et
de traitement. Cette dernière doit ainsi par exemple se faire de façon loyale, dans un but
précis et donner lieu à l’accomplissement de formalités auprès de la CNIL.
Le responsable ne peut conserver les données indéfiniment et doit les purger une
fois le but pour lequel elles avaient été collectées atteint. Dans ce cadre, l’informations
nominatives et données personnelles partageant une définition et un régime légal
communs, elles paraissent renvoyer aux mêmes renseignements individuels.
L’intérêt de notre sujet s’incline par les efforts des législateurs afin de favoriser
l’efficacité et l’efficience de l’arsenal juridique assurant la protection des données à
caractère personnel, à l’échelle nationale , ainsi qu’au niveau international tout en
maintenant une comparaison entre les systèmes juridiques des différents pays faisant
l’objet de cette étude à savoir ; Le Maroc , l’Allemagne , la France et le Canada afin de
constater l’évolution des différents systèmes juridiques au fur et à mesure avec
l’évolution de la société numérique. Toutefois, nous nous intéressons aux obstacles qui
empêchent la mise en œuvre de l’arsenal juridique ainsi les lacunes et les vides
juridiques qui marques l’ordre juridique de certains pays, en outre, les solutions
proposées afin d’y remédier.
29
Ainsi, Jean FRAYSSINET écrit-il que « les textes donnent un sens très extensif à la notion de donnée personnelle
correspondant exactement à la conception développée par la CNIL depuis vingt ans à partir du concept de
“données nominatives”, in A. LUCAS, J. DEVEZE et J. FRAYSSINET, Droit de l’informatique et de l’Internet,
PUF, 2001, p. 77.
13
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Notre travail se scindera en deux grands chapitres. En premier lieu, les principales
définitions et la protection juridique des données à caractère personnel. Sans oublier
l’analyse des textes légaux et réglementaires de ces cadres législatifs,
Dans le deuxième chapitre, nous présenterons le traitement des données personnelles,
analysant en premier lieu la règlementation des traitements, puis la confidentialité et la
sécurité.
14
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Notons que ces deux textes raisonnent en termes de « fichier », seul mode
d’organisation des données répandu à l’époque. Les mêmes principes s’appliquent pour
tout autre mode de traitement. Nous donnons ici le résumé de chaque principe. Les
modalités et les exceptions seront détaillées plus loin. 30
Finalité du traitement :
Un traitement de données doit avoir une finalité explicite et préalable ; les données
recueillies ne peuvent ensuite être utilisées pour une autre finalité.
Information et consentement :
Toute personne physique doit être informée que ses données vont faire l’objet d’un
traitement dans une finalité donnée, et ce traitement ne peut avoir lieu qu’avec son
consentement.
30
David Forest, Droit des données personnelles, Gualino, lextenso éditions 2011, p 21
15
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Limitation de l’exportation :
Les données ne peuvent être exportées que dans un pays garantissant un niveau
comparable de protection.
Les principales exceptions à ces dispositions concernent la sécurité de l’État et la
répression des infractions pénales, la sauvegarde de la vie humaine, la recherche et les
traitements statistiques. 31
31
Aurélie Banck & Catherine Schultis, Vade-mecum de la protection des données personnelles pour le secteur
bancaire et financier, RB édition 2018 p 63
32
BENSOUSSAN (A.), Informatique et libertés, coll. Mémento, 2eme éd., Francis Lefebvre, 2010.
16
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Au cours des dernières années, le Maroc s’est positionné en faveur d’une meilleure
protection des citoyens contre l’usage abusif du traitement automatisé des données à
caractère personnel.
Le Royaume a notamment :
- Créé la Commission Nationale de contrôle de la protection des Données à caractère
Personnel (CNDP) 33,
Afin que le pays respecte ses engagements internationaux, une mise à niveau
juridique et institutionnelle semble indispensable.
33
La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) a été créée
par la loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel.
34
La direction générale de la sécurité des systèmes d'information (dgssi) a été créée par décret n° 2-11-509 du 21
septembre 2011. Elle est rattachée à l'administration de la défense nationale du royaume du Maroc.
35
Voir présentation de la Convention page 11.
17
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
judiciaires, des services de sécurité, de la CNDP, des médias et de la société civile, ainsi
que des experts internationaux.
Ces événements présentent un résumé des discussions menées lors des séminaires.
La publication vise d’une part à faire le point sur la protection des données personnelles
dans le cadre du secteur de la sécurité au Maroc. D’autre part, il a pour objectif de
sensibiliser les acteurs concernés à l’importance de la protection de la vie privée des
citoyens en tant qu’enjeu majeur de la gouvernance sécuritaire dans les sociétés
connectées.
Dans le cadre des réformes en cours depuis le début des années 2000, le Royaume tente
de trouver le juste équilibre entre impératifs sécuritaires et droit à la protection de la vie
privée. De ce fait, la protection des données personnelles constitue un chantier en plein
essor. Plusieurs textes nationaux vont dans ce sens, dont notamment (par ordre
d’importance juridique) :
36
Rapport sur la protection des données personnelles dans le cadre du secteur de la sécurité au Maroc/ Séminaire
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc
37
La vie privée, c’est ce qui n’appartient pas à la vie publique, c’est ce qui reste caché. C’est tout ce que les autres
ne connaissent pas de vous, ou ce qui vous concerne et qui doit rester non connu. Cela peut aussi être défini par
l’intimité de chacun, et toutes les activités qui en découlent.
18
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Dans son article 24 38, la nouvelle Constitution souligne ce droit fondamental en ces
termes : « Toute personne a droit à la protection de sa vie privée. Le domicile est
inviolable.
Les perquisitions ne peuvent intervenir que dans les conditions et les formes prévues
par la loi. Les communications privées, sous quelque forme que ce soit, sont secrètes.
Seule la justice peut autoriser, dans les conditions et selon les formes prévues par la loi,
l’accès à leur contenu, leur divulgation totale ou partielle ou leur invocation à la charge
de quiconque.
Est garantie pour tous, la liberté de circuler et de s’établir sur le territoire national,
d’en sortir et d’y retourner, conformément à la loi».
Lorsque la Constitution affirme le principe du droit à la protection de la vie privée, elle
entend protéger les droits des individus quant aux informations qui leurs sont
personnelles.
À l’origine, cette loi générale a été adoptée afin de protéger les personnes de l’utilisation
abusive des données personnelles, en premier lieu et de faciliter par ailleurs la
délocalisation de certaines activités du secteur tertiaire de l’Europe vers le Maroc (ex :
call center). Elle précise notamment que « l’informatique est au service du citoyen (...)
elle ne doit pas porter atteinte aux droits de l’homme 40 » (09-08). Elle inclut les piliers
suivants :
- les droits des personnes physiques concernées par le traitement de leurs données
personnelles.
- les obligations des responsables du traitement des données à caractère personnel.
- les exigences de confidentialité́ à remplir.
- la mise en place d’une autorité́ de contrôle indépendant.
38
Article 24 de la constitution Marocaine
39
Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09-08 relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel
40
Rapport sur la protection des données personnelles dans le cadre du secteur de la sécurité au Maroc/ Séminaire
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc
19
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Il est important de souligner ici que l’article 2 de la loi 09-08 exclut les données
recueillies dans le cadre des activités de défense et sécurité́ du champ d’application de
la loi. Ceci n’est pas une exception en comparaison internationale. La question est à
présent de savoir si l’article 24 de la Constitution pourrait éventuellement servir de base
à la protection des données personnelles dans le cadre des activités de défense et de
sécurité.
La charte de nommage.
41
La loi sur l’échange électronique des données juridiques, n° 53-05, a été promulguée par Dahir du 30 novembre
2007, Bulletin Officiel n° 5584.
42
Le plan Maroc Numérique 2013 s’articule autour de quatre axes : favoriser l’accès à l’internet et à la
connaissance, développer le programme e-gouvernement, améliorer l’informatisation destinée aux petites et
moyennes entreprises afin d’accroître leur productivité, et soutenir les acteurs TI locaux ou exerçant en offshore.
20
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
La CDNP a été instaurée par la loi 09-08 du 18 février 2009. Elle a pour prérogative
générale de mettre en œuvre et de veiller au respect des dispositions de la loi 09-08 et
des autres textes de références en matière de protection des données à caractère
personnel. La CNDP est composée de :
43
COUNCIL OF EUROPE - Convention pour la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel
21
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
- six membres, nommés également par Sa Majesté le Roi, suite à une proposition du
Premier ministre (deux membres), du Président de la Chambre des représentants (deux
membres), du président de la Chambre des conseillers (deux membres).
Les membres de la commission sont désignés pour une période de cinq ans, renouvelable
une seule fois. 44
Information et sensibilisation :
La CNDP mène auprès des individus, des organismes et des institutions publiques et
privées des activités de sensibilisation visant à renforcer la connaissance de leurs droits
et obligations en matière de protection des données personnelles. Dans ce cadre, la
CNDP a mis à disposition un portail électronique actualisé régulièrement, produit des
brochures d’information, des spots pour la radio et la télévision, et une émission radio
hebdomadaire. La CNDP accompagne également les acteurs concernes dans la mise en
conformité de leurs procédures de traitement des données personnelles. La priorité est
en général donnée aux secteurs qui traitent le plus de données personnelles (ex:
télécommunications, banques, assurances, centres d’appel, sites de vente en ligne,
santé).
Conseil et proposition :
La CNDP a pour rôle de conseiller tous les acteurs publics actifs dans le domaine de la
protection des données personnelles (gouvernement, parlement, administration). Elle
peut donner son avis sur les projets de loi et de règlements, présenter au gouvernement
des propositions de législation, ou encore aider à préparer la position du Maroc lors de
négociations internationales en la matière.
44
Site officiel du CNDP, consultable sur https://www.cndp.ma/fr/cndp/qui-sommes-nous/commision.html
22
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
personnelles. Ce dernier contient par exemple la liste les fichiers traités par les autorités
publiques et les autorisations de traitement délivrées. 45
Contrôle et investigation :
La CNDP dispose de pouvoirs d’investigation et d’enquête lui permettant de contrôler
et de vérifier que les traitements des données personnelles sont effectués conformément
à la loi. Dans ce but, les agents de la CNDP peuvent accéder directement à tous les
éléments intervenant dans les processus de traitement (les données, les équipements, les
locaux, les supports d’information, etc.).
Ces contrôles peuvent aboutir à des sanctions administratives, pécuniaires ou pénales.
45
Rapport sur la protection des données personnelles dans le cadre du secteur de la sécurité au Maroc/ Séminaire
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc.
46
Le terme « informatique légale » est une adaptation de l’anglais « digital forensics». Il fait référence à
l’ensemble des connaissances et méthodes qui permettent, dans le cadre d’enquêtes judiciaires, de collecter,
conserver et analyser des preuves issues de supports numériques (ordinateurs, smartphones).
23
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
- des atteintes aux personnes (y compris menace et extorsion qui ont fortement augmenté
depuis 2013),
- des fraudes bancaires,
- des attaques aux systèmes d’information (généralement du type déni-de-service).
47
Rapport sur la protection des données personnelles dans le cadre du secteur de la sécurité au Maroc/ Séminaire
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc.
24
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Comme évoqué précédemment, le Maroc a adopté une loi sur la protection des données
personnelles dans le but de mettre en conformité sa législation nationale avec ses
engagements internationaux.
En outre, il convient de préciser qu’à ce jour seuls trois types de fichiers concernant des
données à caractère personnel sont encadrés par la loi, à savoir :
Dans le cadre de leur métier, les avocats sont parfois mis dans la confidence de
certaines informations sensibles pouvant concerner par exemple la sécurité de l’Etat.
Il convient de se demander si l’avocat doit dénoncer son client ou bien respecter le
secret professionnel afin de protéger ce dernier. Les médecins rencontrent des difficultés
similaires étant donné que certaines informations à caractère personnel peuvent avoir un
impact social.
25
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Par exemple, les patients séropositifs ne peuvent pas occuper certaines positions
militaires ou civiles et se retrouvent marginalisées si l’information circule. Le dilemme
est ainsi de protéger la société d’un côté, et le patient lui- même de l’autre. 48
Sur le plan opérationnel, la mise en œuvre des deux Conventions nécessite de mettre
en place des garde-fous afin d’assurer que les interventions et pouvoirs des autorités
policières et judiciaires respectent le principe de proportionnalité (gradation des
mesures). Il s’agira également de renforcer :
48
Rapport sur la protection des données personnelles dans le cadre du secteur de la sécurité au Maroc/ Séminaire
DCAF-CEDHD 19 et 20 octobre 2015- Rabat, Maroc.
49
La Convention est le premier traité international sur les infractions pénales commises via l'Internet et d'autres
réseaux informatiques, traitant en particulier des infractions portant atteinte aux droits d'auteurs, de la fraude
liée à l'informatique, de la pornographie enfantine, ainsi que des infractions liées à la sécurité des réseaux. Il
contient également une série de pouvoirs de procédures, tels que la perquisition de réseaux informatiques et
l'interception.
26
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Pour protéger ses acquis et s’intégrer pleinement dans l’ère numérique, cette
dernière doit faire face à un défi majeur qui lui imposera une approche nouvelle.
Elle doit à la fois assumer pleinement son rôle d’autorité de contrôle et suivre le
développement des nouvelles technologies. Et ce, non seulement dans la promotion de
l’économie numérique marquée par une concurrence internationale sans précédent, mais
également sur le plan éthique en protégeant la vie privée des individus installés et vivant
au Maroc afin de garantir le traitement de leurs données personnelles dans un cadre
juridique légal. Ce défi est basé sur une stratégie clairement définie qui mettra en place
des outils qui lui assureront une mise en œuvre rigoureuse. Cette boîte à outils, dont le
fondement existe déjà, doit être complétée et mise en adéquation, et ce en collaboration
avec les professionnels nationaux et étrangers. Les manuels de procédures, les contrôles,
la sensibilisation ou encore les modules de formation dédiés, doivent être mis au service
de la conformité à la loi 09-08.50
Cette évolution doit correspondre aussi à une prise de conscience de la part des
pouvoirs publics nationaux à l’égard des enjeux de la protection des données à caractère
personnel. C’est en assurant à la CNDP l’appui politique indispensable, en la dotant de
moyens humains et matériels en vue de faire face aux défis précités, que le Maroc
profitera pleinement des avantages qu’offre l’ère numérique.
50
Association des Utilisateurs des Systèmes d’Information au Maroc en collaboration avec la société SOLUCOM,
Livre Blanc Données à caractère personnel : Quels enjeux et comment se préparer à la loi 09-08 ?
27
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Une construction juridique qui s’adapte au fur et à mesure aux évolutions des
technologies de l’information et de la communication
I- Le modèle français
En adoptant, le 6 janvier 1978, une loi relative à l’informatique, aux fichiers et aux
libertés, la France marquait sa volonté de protéger les données personnelles face aux
dangers que leur mise sur ordinateur fait courir à la vie privée. Était clairement refusée
une informatisation sauvage et liberticide permettant de surveiller l’individu dans ses
moindres faits et gestes. Ce n’était pas la première législation en la matière, mais c’est
une des mieux conçues et des plus complètes pour l’époque. L’article premier de la loi
témoigne éloquemment de ses ambitions : « L’informatique doit être au service de
28
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Il reste à donner une définition de la « vie privée ». Or, cette notion n’est pas précisée
par le droit. C’est donc par une construction progressive de la jurisprudence que l’on
constate, au gré des jugements, que ce concept peut englober aussi bien le droit à
l’intimité et le droit au secret des correspondances écrites, téléphoniques et
électroniques, que la protection contre l’informatique, voire le droit à l’image (qui est
pourtant plutôt d’ordre patrimonial).
51
Commission nationale de l’informatique et des libertés
52
Dans Hermès, La Revue 2009/1 (n° 53)
29
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Il s’applique aux entreprises, aux organismes publics et aux associations quelles que
soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de
personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère
d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.
Le RGPD s’applique également aux entreprises ayant leur siège en dehors de l’UE qui
traitent les données de citoyens européens. 54
Ce sont les autorités indépendantes de chaque Etat (en France, la CNIL) qui
contrôlent l’application de la législation relative à la protection des données. Elles sont
dotées de pouvoirs d’enquête et peuvent imposer des mesures correctrices, en cas
d’infraction. Elles fournissent des conseils d’experts sur les questions liées à la
protection des données et traitent les réclamations introduites relatives à des violations
du Règlement général sur la protection des données et des législations nationales en la
matière.
Jusqu’à aujourd’hui, la CNIL 55 était relativement tolérante à l’égard des entités non
conformes, privilégiant systématiquement une démarche d’accompagnement, via des
échanges constructifs aboutissant à la régularisation amiable, plutôt que l’application
immédiate des sanctions financières en cas d’écart avec les dispositions contraignantes
du RGPD. Pour accompagner les organismes dans la compliance, la CNIL a
régulièrement publié tout au long de l’année sur son site web des recommandations, des
conseils et des outils concrets pour aider les entreprises à se mettre en conformité et à
maîtriser les grands principes du RGPD.
Ainsi, la CNIL propose des modèles de registre des traitements, des exemples types
de mentions d’informations, ou encore l’accès à un logiciel libre 56 pour réaliser des
analyses d’impacts. Elle publie des référentiels 57, des kits de bonnes pratiques 58 ou
encore des fiches pratiques classées par thème pour encourager les entités à engager une
53
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018 p 46.
55
Commission Nationale de l’Informatique et des Libertés.
56
CNIL, site officiel, Analyse d’impact : la version 2.0 de l’outil PIA est disponible - 06 décembre 2018
57
CNIL, site officiel, Gestion des ressources humaines et des alertes professionnelles : la CNIL lance une
consultation publique sur deux futurs référentiels - 11 avril 2019
58
CNIL, site officiel, Développeurs : la CNIL met en ligne un kit de bonnes pratiques - 13 mai 2019
30
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
démarche de conformité et les faire progresser dans leur maturité numérique 59. La CNIL
propose également des plans d’actions de mise en conformité par étapes, visant à
permettre aux entités de toutes tailles (y compris les start-ups 60) de mettre en œuvre la
réglementation rapidement avec un minimum de moyens et de ressources.
Au canada, la charte canadienne des droits et libertés est une loi fondamentale
garantissant la protection des droits de la personne en vertu de la Constitution. Cela
comprend le droit à la vie, à la liberté et à la sécurité de sa personne en vertu de l’article
7, le droit à la protection contre les fouilles, les perquisitions ou les saisies abusives en
vertu de l’article 8 et l’égalité devant la loi en vertu de l’article 15. Toutes les lois et
mesures gouvernementales d’ordre fédéral et provincial doivent se conformer à la
Charte, que les tribunaux peuvent faire respecter. Intégrée dans la Constitution du
Canada, la Charte prévaut sur les autres lois et définit les limites de l’action
gouvernementale.
Au niveau fédéral, le cadre de protection de la vie privée du Canada repose sur deux lois
centrales en la matière. La Loi sur la protection des renseignements personnels et les
documents électroniques (LPRPDE) 61 constitue l’assise juridique pour le secteur privé,
en établissant la manière dont les entreprises doivent protéger et gérer les
renseignements personnels dans le cadre d’activités commerciales. La Loi sur la
protection des renseignements personnels constitue l’assise juridique pour la collecte,
la conservation, l’utilisation et la communication de renseignements personnels par les
institutions gouvernementales qui lui sont assujetties.
Toute activité gouvernementale, qu’elle soit autorisée par la loi ou la common law,
est assujettie aux restrictions de la Charte. En outre, le traitement des renseignements
personnels par le gouvernement obéit toujours à un cadre de lois du secteur public.
Certaines de ces lois confèrent au gouvernement des pouvoirs spécifiques lui permettant
de recueillir, d’utiliser, de conserver ou de communiquer des renseignements personnels
à des fins particulières.
De la magistrature indépendante émane la jurisprudence servant à interpréter les
pouvoirs publics et les droits civils. Les particuliers ont accès à des mécanismes de
surveillance spécialisés tels que le Commissariat à la protection de la vie privée du
Canada et le Bureau du vérificateur général du Canada, ainsi qu’à plusieurs organes
59
CNIL, site officiel - RGPD : passer à l'action Les méthodes, les outils et les documents de référence pour engager
une démarche de conformité au RGPD, et faire progresser votre organisme dans sa maturité numérique.
60
Revue Village justice , Un an après l'entrée en vigueur du RGPD : bilan et perspectives -Donatienne Blin ,
Avocat 24 JUIN 2019
61
Les lois fédérales canadiennes se trouvent à http://laws.justice.gc.ca/fra/.
31
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
chargés d’examiner les activités des principaux organismes de sécurité nationale (p. ex.
le Comité de surveillance des activités de renseignement de sécurité et la Commission
civile d’examen et de traitement des plaintes relatives à la Gendarmerie royale du
Canada). 62
Les ministères sont tenus d’exercer les pouvoirs qui leur sont conférés par la loi dans le
respect des politiques et des lignes directrices établies par le président du Conseil du
Trésor, en sa qualité de ministre responsable, et, le cas échéant, de tout règlement
promulgué en vertu d’une loi.
En résumé, le Canada dispose à la fois d’un cadre de protection des données régissant
le secteur privé et d’un tel cadre régissant le secteur public, que l’on comprendra mieux
sachant que, dans système juridique canadien, les activités du gouvernement sont
assujetties à la primauté du droit, aux exigences de la raisonnabilité, au respect de limites
réglementaires équilibrées, aux institutions de surveillance et à des mécanismes internes
de conformité.
62
PROTECTION
DES DONNEES PERSONNELLES - ANALYSE COMPAREE DES LEGISLATIONS ET DES
PRATIQUES /DANS NEUF PAYS EUROPEENS - dans le contexte du cadre juridique européen- page 18
32
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Nouvelle section 1.1 sur la notification des atteintes à la protection des données:
Au nombre des modifications apportées en 2015 à la LPRPDE figure une nouvelle
section intitulée « Atteintes aux mesures de sécurité », qui fait état des exigences de
signalement par les organisations de toute violation aux renseignements personnels
découlant d’une atteinte aux mesures de sécurité présentant un « risque réel de préjudice
grave à l’endroit de l’intéressé ». Les organisations devront déclarer toute atteinte aux
63
Les dix principes énoncés à l’annexe 1 de la LPRPDE sont : la responsabilité, la détermination des fins de la
collecte des renseignements, le consentement, la limitation de la collecte, la limitation de l’utilisation, de la
communication et de la conservation, l’exactitude, les mesures de sécurité, la transparence, l’accès aux
renseignements personnels et la possibilité de porter plainte à l’égard du non ‐respect des principes.
64
Lignes directrices de l’OCDE en matière de vie privée, 2013 : https://www.oecd.org/fr/sti/ieconomie/privacy‐
guidelines.htm.
33
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Consentement amélioré :
De nouvelles exigences entourant l’obtention du consentement à la collecte, à
l’utilisation ou à la communication de renseignements personnels ont été adoptées afin
de protéger les personnes vulnérables, en particulier les enfants. Elles veillent à ce que
les organisations souhaitant recueillir des renseignements personnels en communiquent
clairement et intelligiblement le but aux utilisateurs cibles.
La Loi sur la protection des renseignements personnels s’applique à tous les ministères
et à la plupart des organismes du gouvernement fédéral de même qu’aux sociétés d’État
et à leurs filiales à cent pour cent. Elle limite la collecte de renseignements personnels
par les institutions gouvernementales à ceux liés directement à leurs programmes ou
activités. La Loi exige des institutions gouvernementales qu’elles recueillent des
renseignements personnels à des fins administratives directement auprès des individus
autant que possible et qu’elles informent ceux‐ci de l’objet de cette collecte. Elle exige
également de ces institutions qu’elles utilisent les renseignements personnels aux fins
auxquelles ils ont été recueillis, pour les usages qui sont compatibles avec ces fins, avec
le consentement de l’individu à qui ils se rapportent ou pour les fins auxquelles ils
peuvent être communiqués en vertu de la Loi.
34
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
La loi fédérale allemande sur la protection des données a été révisée à plusieurs reprises
au fil des ans, avec une révision majeure en 2002 afin de transposer la directive
européenne sur la protection des données. La modification la plus récente a été faite le
15 novembre 2006. L'objectif général de cette loi est de protéger les personnes physiques
contre la mauvaise utilisation de leurs données personnelles. La loi couvre la collecte,
le traitement et l'utilisation de données personnelles par les autorités publiques fédérales
et les administrations d’Etat (tant qu'il n'y a pas de régulation par l’Etat et dans la mesure
où les lois fédérales s'appliquent), et par les organismes privés, s’ils s'appuient sur des
65
PROTECTION
DES DONNEES PERSONNELLES - ANALYSE COMPAREE DES LEGISLATIONS ET DES
PRATIQUES /DANS NEUF PAYS EUROPEENS - dans le contexte du cadre juridique européen- page 18
35
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Spécificités nationales
66
PROTECTION
DES DONNEES PERSONNELLES - ANALYSE COMPAREE DES LEGISLATIONS ET DES
PRATIQUES /DANS NEUF PAYS EUROPEENS - dans le contexte du cadre juridique européen- page 18
36
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
67
Annexe 1 : Cour de justice de l’Union européenne, Grande chambre, arrêt du 5 juin 2018
37
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Activités et réalisations
Communication
La dpa fédérale a organisé des manifestations pour célébrer la journée européenne de
protection des données et à l'échelle locale a célébré le 25e anniversaire de la décision
de la cour constitutionnelle qui a créé la jurisprudence en matière d'autodétermination
de l'information.
La dpa fédérale organise également des conférences annuelles sur des sujets
d'actualité liés à la vie privée (les questions des moteurs de recherche en 2007 ; les bases
de données relatives aux télécommunications et à la révision de la directive vie privée
et communications électroniques). Certaines dpa des länder sont actives dans le domaine
de la sensibilisation à la vie privée, à commencer par des campagnes sur les différents
sujets « chauds », des guides sur la façon de protéger la vie privée et participent à des
projets européens inter secteurs sur la vie privée.
Le logiciel client jap fournit une communication anonyme et non observable sur
l'internet. Jap fonctionne sur une plateforme java et est facile à installer et à utiliser, pour
permettre aux utilisateurs de l'internet néophytes de protéger leur vie privée. Elle met
également en œuvre un système de certification dans le pays et promeut de tels systèmes
au niveau de l'UE via un projet soutenu par la commission européenne dans lequel des
dpa d’autres pays sont impliqués.
38
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Les règlements :
Le règlement de 2013 :
Le règlement 611/2013 du 24 juin 2013 précise les formes selon lesquelles le fournisseur
de services de communications électroniques accessibles au public doit procéder aux
notifications des violations de données personnelles aux autorités compétentes et aux
abonnés ou aux particuliers. Il détaille notamment le contenu de la notification.
68
Il est à noter l’implication forte de la Commission européenne…
39
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le dispositif juridique conçu dans les années 1970 et fondé sur une directive rédigée au
début des années 1990 reposait sur des principes fondamentaux qui sont toujours
valables, mais dont l’application n’était plus adaptée aux évolutions des dernières
années: adoption par le grand public d’Internet puis des réseaux sociaux, généralisation
du cloud computing, du big data et de l’internationalisation des données, apparition de
modèles économiques basés sur l’exploitation des données personnelles, vogue des
objets connectés et du quantified self qui démultiplient la quantité de données traitées,
ajout de fonctionnalités communicantes aux objets usuels comme les automobiles ou les
compteurs électriques…
Parmi les pistes évoquées pour redonner aux personnes le contrôle de leurs données,
figure la proposition de rendre les individus propriétaires de leurs données
personnelles 69.
Ceux qui veulent traiter les données devraient alors conclure un contrat avec le
propriétaire. Il s’agit cependant d’une fausse bonne idée, pour plusieurs raisons. Tout
d’abord, la notion de propriété ne peut pas s’appliquer aux données personnelles, car
cette notion recouvre différents droits, comme le droit de détruire la chose possédée,
dont l’application serait absurde dans ce cas : on ne peut pas « détruire » des données
personnelles comme son état civil ou son adresse.
Ensuite, même si une forme de propriété était reconnue aux individus sur leurs
données, les sociétés désireuses de s’en emparer n’auraient qu’à insérer une clause de
cession dans leurs conditions générales d’utilisation (celles que personne ne lit avant de
les signer) : le résultat serait pire qu’actuellement, puisque non seulement la collecte des
données ne serait pas diminuée, mais l’individu aurait définitivement perdu tout droit
sur les données cédées. Le droit de propriété se muerait alors en droit d’être dépossédé.
La solution actuelle, qui établit pour l’individu des droits fondamentaux incessibles, est
de loin la plus protectrice.
Par ailleurs, alors que les violations des lois sur la protection des données
personnelles se multiplient, l’action des autorités de contrôle semblait insuffisante.
69
Fabrice Mattatia et Morgane Yaïche, « Être propriétaire de ses données personnelles » (article en deux parties),
Revue Lamy Droit de l’immatériel, avril 2015, juin 2015 p 213.
40
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
La directive de 1995
La directive 95/46/CE s’applique aux traitements de données personnelles dont le
responsable est établi dans l’un des États de l’Union, ou recourt à des moyens de
traitements localisés dans l’un des États de l’Union.
Les États membres peuvent ne pas reprendre dans leur droit national certaines des
dispositions de la directive dans certains cas, notamment lorsqu’une telle limitation est
nécessaire à la sûreté de l’État, la défense ou la sécurité publique, aux recherches
pénales, à un intérêt économique important de l’État…
Données « sensibles » :
Le traitement de certaines catégories de données (origine raciale, opinions politiques,
syndicales, philosophiques ou religieuses, santé, sexualité, Condamnations pénales…)
est interdit, sauf exceptions.
Le traitement de données relatives aux infractions et condamnations pénales ne peut être
effectué que sous le contrôle de l’autorité publique, ou si des garanties appropriées et
spécifiques sont prévues par le droit national.
70
Philippe Boucher, cité par le site ldh-toulon.net, 2 avril 2011
41
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Sécurité du réseau
La directive aborde deux aspects de la protection des données. D’une part, elle impose
au fournisseur d’un service de communications électroniques de prendre « les mesures
d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses
services » et d’informer les utilisateurs en cas de risque de violation de la sécurité du
réseau (article 4). Notons que l’obligation d’informer l’utilisateur en cas de divulgation
de données personnelles ne figure pas dans cette directive : elle figurera dans le « Paquet
Télécom » de 2009.
Prospection commerciale :
D’autre part, concernant le démarchage publicitaire, la directive :
• impose le principe de l’obtention d’un consentement préalable à toute prospection
automatisée ; sauf à démarcher des personnes déjà clientes pour leur proposer des
produits et services analogues, mais en leur fournissant un moyen de faire cesser les
sollicitations ;
• interdit de dissimuler l’adresse réelle de l’expéditeur d’un message électronique
de prospection directe ; de ne pas indiquer une adresse valable pour faire cesser les
sollicitations.
Conservation des données de connexion et de localisation
La directive réglemente également la conservation et l’utilisation des données de
connexion (identification de l’abonné, heure de connexion, durée…) et de localisation.
Elle a été modifiée par la directive 2006/24/CE afin d’harmoniser la durée de
conservation des données générées ou traitées dans le cadre de la fourniture de services
de communications électroniques accessibles au public ou de réseaux publics de
communications. En effet, la conservation des données de trafic et de localisation est
importante pour la recherche, la détection et la poursuite d’infractions pénales. Pour ces
données, la directive prescrit une durée de conservation comprise entre six mois et deux
ans.
Notons que la directive 2006/24/CE ne s’applique pas au contenu des communications
électroniques, notamment aux informations consultées en utilisant un réseau de
communications électroniques.
71
LAFFAIRE M.-L., Protection des données à caractère personnel, Éd. d’Organisation, 2005 p 17.
42
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
On notera par ailleurs que la directive impose d’avertir l’autorité compétente, sans
préciser laquelle. Il ne s’agit pas obligatoirement de l’autorité de protection des données
(pour la France, la CNIL). Ce peut être aussi l’autorité de régulation des télécoms (pour
la France, l’ARCEP), voire celle en charge de la sécurité si elle existe.
C’est dans le cadre de la transposition que chaque État précise à quelle autorité notifier.
Les autorités nationales doivent pouvoir contrôler si les fournisseurs ont satisfait à leurs
obligations de notification, et infliger des sanctions, si ce n’est pas le cas.
Cookies :
L’utilisation de cookies par les prestataires web pour suivre, voire espionner la
navigation des internautes a engendré de nombreux débats pour en déterminer l’impact
sur la vie privée.
43
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le message du RGPD est fort, car la responsabilité des acteurs est accrue (« Principe
d’accountability »), ces derniers devant être à même de démontrer qu’ils traitent les
données conformément aux principes édictés dans le Règlement, avec pour corollaire
un alourdisse- ment des sanctions en cas de manquement pouvant aller de 10 à 20
millions d’euros ou de 2% à 4% du chiffre d’affaires annuel mondial total de l’exercice
précédent pour une entreprise.
Les établissements de santé privés comme publics sont naturellement concernés par
ces nouvelles obligations, puisqu’ils sont amenés à traiter tant des données personnelles,
telles que les données administratives, que des données de santé. Le traitement des
données de santé définies comme « les données à caractère personnel relatives à la
santé physique ou mentale d’une personne physique, y compris la prestation de services
72
LAFFAIRE M.-L., Protection des données à caractère personnel, Éd. d’Organisation, 2005.
44
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »
est, aux termes de l’article 9 §1 du RGPD, interdit sauf exceptions, les Etats membres
pouvant à ce titre introduire des conditions supplémentaires.
En France, la réforme de la loi informatiques et libertés est engagée puisque le projet
de loi CNIL 3 est depuis le 6 février 2018 soumis au débat parlementaire avec, pour les
données de santé, le maintien de la même philosophie, à savoir un système
d’autorisation préalable de la CNIL pour le traitement des données de santé et dans
certains cas des formalités simplifiées par les méthodologies de référence.
73
Lmt avocats , Olivier Samyn et Ghislaine Issenhuth , Les défis inhérents à la mise en application du RGPD ,
Lmt avocats -site officiel , date de consultation 2019
45
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
En conclusion, la mise en application du RGPD, qui a pour but de renforcer les droits
des personnes dont les données sont collectées, comporte de nombreux défis dans la
redéfinition des procédures internes et dans la création de nouveaux outils de
conformité.
L’effectivité de ces mesures sera suivie avec attention par la CNIL mais leur mise
en œuvre pratique semble complexe. A titre d’exemple, le droit à la portabilité des
données selon lequel les données doivent pouvoir être transmises directement d’un
établissement à un autre va être confronté à l’actuel système d’information hospitalier
qui n’apparaît pas adapté aux exigences nouvelles.
74
Lmt avocats , Olivier Samyn et Ghislaine Issenhuth , Les défis inhérents à la mise en application du RGPD ,
Lmt avocats -site officiel , date de consultation 2019
75
Lmt avocats, Olivier Samyn et Ghislaine Issenhuth , Les défis inhérents à la mise en application du RGPD , Lmt
avocats -site officiel , date de consultation 2019
46
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
76
Site officiel de la CNIL, consultable sur le lien suivant : https://www.cnil.fr/fr/cnil-direct/question/un-
traitement-de-donnees-caractere-personnel-cest-quoi
47
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
La notion de fichier 77
La notion de fichier s’applique aux données personnelles qui font l’objet d’un traitement
manuel i.e. non informatisé (ex. : fichier carton). La L. 78 ne s’applique qu’aux fichiers
structurés i.e. « accessibles selon des critères déterminés, que cet ensemble soit
centralisé, décentralisé, ou réparti de manière fonctionnelle ou géographique » (article
2, directive 95/46/CE). C’est le cas des annuaires, collections de données sous forme de
listes, fichiers ou dossiers structurés selon un critère classificatoire quelconque.
La notion de collecte
La collecte de données personnelles est une des opérations qui constitue un traitement 78.
Pour autant, la loi ne définit pas la collecte. Selon la CNIL, « collecter consiste à
récupérer des données personnelles par tout moyen notamment à l’aide d’un formulaire
en ligne » (Lexique de la CNIL).
De son côté, la jurisprudence confère une portée très large à la notion de collecte. Pour
la Cour de cassation, « constitue une collecte de données nominatives le fait d’identifier
des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier,
pour adresser à leur titulaire des messages électroniques ». Par ailleurs, selon la Cour,
les données sont collectées et traitées dès lors que « les adresses sont mémorisées ne
serait-ce qu’un instant dans la mémoire de l’ordinateur » (Crim., 14 mars 2006). Il en
résulte que des données personnelles peuvent être collectées y compris en l’absence de
stockage79
77
David Forest, Droit des données personnelles, Gualino, lextenso éditions, page 34
78
L’article. 2al. 3, L. 78
79
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et la
CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013
48
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
80
Loi n° 09-08, l’article. 1, alinéa .2
81
L. n° 09-08, art. 1er
82
Article 5 du RGPD
49
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le principe de collecte loyale existe déjà depuis longtemps en droit français ; il est en
effet mentionné à l’article 226-18 du Code Pénal, qui interdit la collecte de données
personnelles « par un moyen frauduleux, déloyal ou illicite ». Une jurisprudence existe
donc déjà à ce sujet, on sait ainsi83 qu’est déloyal un traitement consistant, pour une
société de recouvrement, à collecter des informations concernant une personne, à partir
de ses lettres écrites au propriétaire ou syndic de copropriété, à l’exception évidente de
ses informations de contact usuelles.
Aussi, la jurisprudence française, qui devrait rester applicable suite au RGPD, précise
qu’une information librement accessible ne peut pas forcément être librement
réutilisée 84, et constitue, sans consentement de l’utilisateur, et hors cas d’exception (je
pense ici à la sécurité nationale, ou au traitement effectué par une personne physique),
une atteinte au principe de loyauté. Pages Jaunes avait en effet « aspiré » les données de
millions d’utilisateurs – qu’ils avaient eux-mêmes mis en ligne sur les réseaux sociaux
– pour remplir son célèbre annuaire.
Le RGPD, quant à lui, définit clairement ce principe, mais hors de son champ de
définitions 85 : il précise que la personne concernée doit être informée de l’existence et
des finalités du traitement ; entre aussi dans cette définition le fait de porter à la
connaissance de l’utilisateur les conséquences pour lui s’il refuse ce traitement. En
outre, est aussi précisée la possibilité de recourir à des icônes pour faciliter la
compréhension par l’utilisateur du traitement et de ses conditions ; cela montre que le
Règlement n’est pas formel concrètement : la seule chose qui importe est l’information
de l’utilisateur – notons que l’utilisation unique d’icônes ne saurait par contre, à elle
seule, informer suffisamment l’utilisateur.
Plus loin, le RGPD, après avoir mentionné l’obligation de ce principe de loyauté,
mentionne, sans les attribuer directement au principe, deux obligations qui y sont liés :
l’obligation de finalités « déterminées, explicites et légitimes » 86 (c’est le principe de
proportionnalité), ainsi qu’un traitement « adéquat, pertinent et limité » des données.
Ces nouvelles définitions se passent de commentaire, et permettent déjà de bien mieux
cerner le principe de collecte loyale.
Pour revenir un instant sur le principe de proportionnalité, qui est à la fois lié et considéré
indépendamment du principe de loyauté 87 : il s’apprécie au cas par cas, en fonction des
règles applicables, c’est donc principalement la jurisprudence à venir qui nous donnera
les cas particuliers où il est respecté ou non. Un exemple n’est jamais de refus, on
pourrait ainsi citer le Code du Travail88, en matière de traitement dans un cadre RH, qui
83
Cass. Crim., 3 nov. 1987, n° 87-83429
84
CE, 9 et 10ème chambre, 12 mars 2014, n° 353193, dite « PagesJaunes »
85
RGPD, considérant 68
86
RGPD, art. 5, considérant (b) et (c)
87
Il est indépendant sur la forme (séparé au niveau législatif), mais poursuit un même objectif de fond
88
C. trav., art. L1132-1 et autres
50
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
prévoit des dispositions de lutte contre les discriminations, un fichage ethnique est donc
une collecte disproportionnée, en vertu des textes applicables.
Il convient de faire légalement attention aux collectes indirectes, comme les adresses IP
qui sont collectées et stockées, généralement avec des données temporelles et de
connexion, par les prestataires d’hébergement. Ces données sont pour la plupart (sauf à
être anonymisées avant stockage) soumises au même RGPD que les traitements «
volontaires ». 89
Pour terminer, et comme le sujet est très dense, je vous recommande de regarder les
recommandations de la CNIL à ce sujet, par exemple ici pour le commerce et le
marketing.
89
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018.
90
RGPD, art. 12
91
RGPD, art. 13
51
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Un rappel des différents droits des utilisateurs (les six fondamentaux et le droit
au recours effectif).
Les informations à fournir varient légèrement si elles ont été collectées de manière
indirecte, le dernier point ci-dessus est en effet inapplicable et remplacé la mention de
la catégorie des données concernées ainsi que de la source de ces données.
Pour
terminer sur ce principe de transparence, il est constitué d’un dernier volet concernant
une certaine transparence concernant l’utilisation des données : le Règlement rappelle 92,
particulièrement, le droit de ne pas faire l’objet d’une décision fondée exclusivement
sur un traitement automatisé (limitant ainsi le profilage, c’est-à-dire l’analyse
informatisée d’un comportement) ; ce principe est l’un des seuls précisés concernant
l’utilisation des données (transparence a posteriori ).
La licéité du traitement, dernier principe consacré par le droit nouveau, est mentionnée
juste après la liste des trois principes 93, et consiste en une liste à puce précisant les cas
de licéité du traitement. Le premier cas est plutôt simple : il définit le traitement comme
licite dès lors que l’utilisateur y a consenti, pour une ou des finalités définies et
spécifiques – ce concept de spécificité est très important, vous l’avez peut-être remarqué
si vous utilisez Facebook : pour chaque finalité, et pour chaque donnée collectée, le site
demande maintenant un consentement précis.
92
RGPD, art. 22
93
RGPD, art. 6
52
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
particulier peuvent lui être refusées ; il ne peut en aucun cas être privé d’accès total au
service, sauf si le traitement est strictement nécessaire au dit service 94.
Le consentement n’est pas forcément la base légale privilégiée lors d’un traitement de
données : pour éviter les contraintes de celui-ci le législateur prévoit de nombreuses
exceptions au principe général (de consentement). Le traitement peut ainsi être effectué
s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée a souscrit –
on pense ici particulièrement aux contrats commerciaux, où le traitement, par exemple,
de l’adresse de livraison, est évidemment nécessaire à la réalisation du contrat.
Je mentionne ici la justice comme ayant un intérêt légitime, mais ce principe peut être
appelé par une structure privée et constitue sûrement une des exceptions qui sera la plus
utilisée, mais elle est à prendre avec des pincettes pour le moment, étant donné le flou
absolu qui règne autour, et l’opposition claire entre les principes, par exemple, du droit
français, et le RGPD. La CNIL, en effet, considère la prospection commerciale comme
interdite 95, mais le Règlement précise bien que « Le traitement de données à caractère
personnel à des fins de prospection peut être considéré comme étant réalisé pour
répondre à un intérêt légitime »96, et doit à ce titre être autorisé ; seule la jurisprudence
94
RGPD, art. 7, alinéa 4
95
C. consom., art. L. 121-20-5 ; CPCE, art. L. 34-5 ; voir dépliant CNIL « La publicité par voie électronique
96
RGPD, considérant 47
53
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
future pourra donc borner correctement cette notion d’intérêt légitime, restreint par la
préservation des libertés fondamentales 97.
I- Le Privacy by design
97
RGPD, art. 6, alinéa 1.f
98
Nathalie WALCZAK, La protection des données personnelles sur l'internet : Analyse des discours et des enjeux
sociopolitiques. Thèse de doctorat en Sciences de l'information et de la communication
Sous la direction
d’Isabelle GARCIN-MARROU et de Franck REBILLARD Présentée et soutenue publiquement le 4 juillet 2014.
54
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le « privacy by default » est le fait que, par défaut, la personne dont les données sont
traitées bénéficie du niveau maximal de protection.
Le Privacy by Default est tout particulièrement intéressant dans le cadre de l’utilisation
d’internet et du développement des applications. Les paramètres par défaut font donc en
sorte que la plus grande protection des données possible soit garantie. L’utilisateur
pourra alors aller modifier les paramètres (permettre la localisation par exemple) à sa
guise même s’il se verra notifier les dangers de ces changements.
La confidentialité par défaut s'étend également aux périodes de conservation des
données : les données personnelles ne doivent être conservées et stockées que tant que
cela est nécessaire au fonctionnement du produit ou du service, ce qui se traduit souvent
par la création du programme de conservation obligatoire des données, ainsi que par la
conception et le test des utilisateurs, processus pour l'exécution de périodes de rétention.
Les produits, les technologies et les services doivent par défaut protéger au maximum
les données des individus, même si les entreprises souhaitent toujours inclure des
options permettant à la personne concernée de désactiver ces mesures.
III- Accountability
99
Aurélie Banck & Catherine Schultis, Vade-mecum de la protection des données personnelles pour le secteur
bancaire et financier, RB édition 2018, page 29.
55
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
100
« Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données à
caractère personnel », adoptées le 23 septembre 1980 et révisées le 11 juillet 2013.
101
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018. Page numéro
75 et 76.
102
L’article 24 du RGPD.
103
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Règlement relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
56
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
57
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
I- L’aspect personnel
Le premier élément de la définition a trait à l’aspect personnel : qui peut être responsable
du traitement, et donc considéré comme responsable en dernier ressort des obligations
découlant de la directive.
La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a
fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle
renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du
traitement, de la personne physique à la personne morale, en passant par « tout autre
organisme ».
104
David Forest, Droit des données personnelles, Gualino, lextenso éditions, Page 34 et 35.
58
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
105
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et
la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013.
59
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Une analyse distincte s’impose dans le cas où une personne physique agissant au sein
d’une personne morale utilise des données à des fins personnelles, en dehors du cadre
et de l’éventuel contrôle des activités de la personne morale.
Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et
assumerait la responsabilité de cette utilisation de données à caractère personnel. Le
responsable du traitement initial pourrait néanmoins conserver une certaine part de
responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures
de sécurité.
Ainsi, le rôle du responsable du traitement est décisif et revêt une importance
particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.
Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon
les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale
responsable des infractions à la législation sur la protection des données est sans nul
doute un préalable indispensable à la bonne application de la loi informatique et libertés.
60
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Par exemple, le simple fait que différentes parties coopèrent dans le traitement de
données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles
sont coresponsables dans tous les cas. En effet, un échange de données entre deux
parties, sans partage des finalités ou des moyens dans un ensemble commun
d’opérations, doit être considéré uniquement comme un transfert de données entre des
responsables distincts.
61
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le responsable du traitement est celui qui « détermine les finalités et les moyens du
traitement de données à caractère personnel ».106
Cette composante comporte deux éléments qu’il convient d’analyser séparément :
Détermine
Les finalités et les moyens du traitement
Détermine
La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer
les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc
sur une analyse factuelle plutôt que formelle.
Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer
cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche
pragmatique pour assurer une prévisibilité de la responsabilité.
À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour
guider et simplifier l’application de la législation en matière de protection des données.
Ceci implique une interprétation de la directive garantissant que « l’organisme qui
détermine» puisse être facilement et clairement identifié dans la plupart des cas, en
106
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018.
62
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement
déduire une influence de fait, en l’absence d’indices contraires.
Ces contextes peuvent être analysés et classés selon les trois catégories de situations
suivantes, qui permettent d’aborder ces questions de façon systématique:
107
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et
la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013.
63
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux
entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour
leur compte, ou par une personne physique dans le cadre de fonctions similaires.
Responsabilité découlant d’une influence de fait
Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des
circonstances factuelles. Un examen des relations contractuelles entre les différentes
parties concernées sera bien souvent nécessaire.
Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les
obligations de responsable du traitement à une ou plusieurs parties.
Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il
contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne
qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le
contrat soit plus explicite en ce qui concerne le responsable du traitement.
S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas
exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne
sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité
d’attribuer la responsabilité à qui elles l’entendent.
Le fait même qu’une personne détermine comment les données à caractère personnel
sont traitées peut entraîner la qualification de responsable du traitement, même si cette
qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue
par un contrat.
Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le
traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels
108
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018.
64
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Les questions qui se posent alors sont celle du motif du traitement et celle du rôle
d’éventuels acteurs liés, tels que les sociétés d’externalisation de services : la société qui
a confié ses services à un prestataire extérieur aurait-elle traité les données si le
responsable du traitement ne le lui avait pas demandé, et à quelles conditions ?
Un sous-traitant pourrait suivre les indications générales données principalement sur les
finalités et ne pas entrer dans les détails en ce qui concerne les moyens.
S’agissant de la détermination des « moyens », ce terme comprend de toute évidence
des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.
En effet, « moyens » ne désigne pas seulement les moyens techniques de traiter des
données à caractère personnel, mais également le « comment » du traitement, qui
comprend des questions comme « quelles données seront traitées », « quels sont les tiers
qui auront accès à ces données », « à quel moment les données seront-elles effacées »,
etc.
Dans cette optique, il est tout à fait possible que les moyens techniques et
d’organisation soient déterminés exclusivement par le sous-traitant des données.
65
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune
indication sur les moyens techniques et d’organisation, les moyens devraient représenter
une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement
devrait être parfaitement informé des moyens utilisés.
Si un contractant avait une influence sur la finalité et qu’il procédait au traitement
(également) à des fins personnelles, par exemple en utilisant les données à caractère
personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors
responsable du traitement (ou éventuellement coresponsable du traitement) pour une
autre activité de traitement et serait donc soumis à toutes les obligations prévues par la
législation applicable en matière de protection des données. 109
109
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et
la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013
110
(Haas, 2018, p. 35).
111
Desgens-Pasanau, 2018, p. 5
112
chap. II, §I, B.3.
113
RGPD, art. 24 ; art. 57 de l’ordonnance
66
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le RGPD prescrit donc la mise en place d'une approche individuelle par le traitement
ou par sous-traitant en fonction des traitements opérés et des risques en résultant pour
les personnes concernées. Cette démarche doit être dynamique, dans la mesure ou l'état
de l'art en matière de sécurité ou les risques inhérents à un traitement peuvent évoluer
dans le temps. Elle pourrait également être qualifiée de subjective, l'appréciation des
risques pouvant varier d'un individu à l'autre et donc d'un responsable du traitement à
l'autre.
C’est un vrai changement de paradigme pour l’ensemble des acteurs, habitués à faire
des formalités préalables sur la base d’une liste de finalités identifiées au travers de la
doctrine de la CNIL, L’analyse des mesures à mettre en place doit être effectuée pour
chaque traitement avant sa mise en œuvre. En outre, pour les traitements les plus risqués,
une analyse d ' impact devra être réalisée.
114
L’article 32 du règlement européen.
115
L’analyse d’impact est désignée sous différentes terminologies et abréviations, notamment PIA pour «
Privacy Impact Assessment » et DPIA pour « Data Protection Impact Assessment ». Dans le cadre de cet
ouvrage, nous retiendrons la terminologie « analyse d’impact ». À noter que la terminologie de « Privacy
Impact Assessment » peut induire en erreur dans la mesure où l’analyse d’impact prescrite par le Règlement ne
se limite pas au seul droit à la vie privée, cf. Le Délégué à la protection des données (DPO) – Clé de voûte de la
conformité. Garance Mathias, Amandine Kashani-Poor, Aline Alfer, Les essentiels de la Banque et de la
Finance, RB Édition, 2017.
67
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et
libertés des personnes concernées, le responsable du traitement devra analyser, avant sa
mise en œuvre, ses impacts potentiels pour les droits et libertés des personnes
physiques 116, C'est donc bien l'impact pour les personnes qui doit être évalué et non les
risques pour l'entreprise en cas de non-conformité avec les dispositions du Règlement.
La notion de « risque élevé » apparaît relativement floue. Le RGPD vient compléter ces
dispositions en précisant qu'une analyse d'impact est en particulier requise dans certaines
situations, notamment :
- « En cas d'évaluation systématique et approfondie d'aspects personnels concernant des
personnes physiques qui est fondée sur un traitement automatisé (...) et sur la base de
laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une
personne physique ou l'affectant de manières similaires »
- Le traitement à grande échelle de catégories particulières de données » (données dites
« sensibles » au sens de l'article 9 ou portant sur des condamnations pénales)
- La surveillance systématique à grande échelle d'une zone accessible au public ».
Face à l'imprécision de ces critères, le G29 a adopté des lignes directrices le 4 octobre
2017117. Il propose une série de neuf critères permettant de déterminer si un traitement
présente ou non un risque élevé pour les personnes. Il s'agit des traitements comportant:
116
L’article 35, § 1 du RGPD
117
« Lignes directrices concernant l’Analyse d’Impact relative à la Protection des Données (AIPD) et la manière
de déterminer si le traitement est « susceptible d’engendrer un risque élevé « aux fins du Règlement (UE) 2016/69
», Working Paper 248, rev.01, modifiées et adoptées le 4 octobre 2017.
68
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le RGPD que chaque autorité de contrôle élabore et publie une liste des traitements
pour lesquels une étude d'impact est requise et leur donne la possibilité de publier une
liste des traitements pour lesquels une telle analyse n'est pas requise. Ces listes doivent
être communiquées au Comité européen de la protection des données (cf. infra).
Lorsqu'elles incluent des traitements liés à l'offre de biens ou de services à des personnes
concernées ou au suivi de leur comportement dans plusieurs États membres ou
lorsqu'elles sont susceptibles d’« affecter sensiblement la libre circulation des
données… au sein de l’Union », ces listes devront être soumises au mécanisme de
contrôle de cohérence. 118
118
Ce mécanisme prévu à l’article 63 du RGPD vise à assurer une harmonisation des décisions et des positions
des autorités de contrôle en Europe. Il est placé sous l’égide du Comité européen de la protection des données,
qui émet des avis et peut régler des litiges.
119
Fabrice Mattatia, RGPD ET DROIT DES DONNÉES PERSONNELLES, 3 éme édition 2018, Enfin un manuel
complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et libertés de 2018, Obligation de
sécurisation page 84
120
Cette disposition avait été introduite à l’article 34 bis de la loi Informatique et Libertés par l’ordonnance du
24 août 2011 transposant la Directive dite « Paquet Télécom »
121
Art. 33 du Règlement Général pour la Protection des Données.
122
Art. 34 du Règlement Général pour la Protection des Données.
69
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
On peut citer la Directive sur les Services de paiement 2 123, transposée par
l'ordonnance du 9 août 2017 124, et la Directive concernant des mesures Destinées à
assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information
(directive SRI 125).
123
Directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.
124
Ordonnance n° 2017-1252 du 9 août 2017.
125
Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures
destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
(non transposée en droit français à la date de rédaction de cet ouvrage).
70
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
En propre :
La tenue d’un registre des traitements
126
CNIL, Rapport annuel, La Documentation française, 2010.
127
LACOUR S. (sous la direction de), La Sécurité aujourd’hui dans la société de l’information, L’Harmattan,
2007.
71
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
128
Mattatia, Fabrice Traitement des données personnelles : Le guide juridique - La loi Informatique et libertés et
la CNIL - Jurisprudences Ed 1, Editeur: Eyrolles, Année de Publication: 2013.
129
Jessica Eynard, Les données personnelles, Quelle définition pour un régime de protection efficace ? prix de la
CNIL, 2013, Michalon Editeur
72
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
130
C. Pierre-Beaux, La protection des données personnelles : Éd. Promoculture, 2005
131
David Forest, Droit des données personnelles, Gualino, lextenso éditions
73
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le Chapitre VII fixe les sanctions civiles et pénales applicables qui peuvent aller, en cas
de récidive jusqu’à quatre années d’emprisonnement et 300.000DH d’amende.
Lorsque l’auteur de l’une de ces infractions est une personne morale, « et sans préjudice
des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées
132
LACOUR S. (sous la direction de), La Sécurité aujourd’hui dans la société de l’information, L’Harmattan,
2007.
133
C. Pierre-Beaux, La protection des données personnelles : Éd. Promoculture, 2005
74
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
au double » (article 64). La personne morale peut voir ses biens confisqués et ses
établissements fermés.
Est considérée comme infraction à la loi :
o Tout transfert de DP vers un pays n’étant pas reconnu comme assurant une
protection adéquate.
75
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Lorsque l’auteur de l’infraction est une personne morale, et sans préjudice des peines
qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées
au
double. La personne morale peut voir ses biens confisqués et ses établissements fermés.
On constate que le législateur a voulu faire preuve de sévérité quant aux sanctions
prévues dans le cadre de la loi n° 09-08. L’objectif évident est, dans un premier temps,
de dissuader les personnes qui manipulent des données personnelles de contrevenir aux
dispositions légales et de les inciter à faire preuve d’une vigilance extrême lors des
traitements effectués. Dans un second temps, l’objectif est d’appliquer des peines
exemplaires à l’encontre des contrevenants pour qu’ils évitent de porter atteinte à
nouveau aux droits des citoyens.
Conclusion
Dès 1995, l'Union européenne a mis en place un cadre juridique via la directive
95/46/CE sur "la protection des personnes physiques à l'égard du traitement des données
à caractère personnel et à la libre circulation de ces données".
La Commission européenne souhaitait ainsi mettre en place un cadre uniforme de
protection favorisant la circulation des données personnelles résultant de l'ouverture des
frontières. Selon les mots de Viviane Reding en 2002, l'objectif était de "donner un coup
d'accélérateur à l'économie européenne". L'esprit du texte visait à protéger des risques
qui accompagnent le développement des usages et la consolidation des services en ligne,
sans étouffer les opportunités que représente ce formidable marché.
76
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Le droit à la protection des données personnelles et le droit à la vie privée sont affirmés
comme deux droits à part entière. Le second postule ce que l'on appelle souvent "un
droit à être laissé tranquille". Ainsi en France, l'article 9 du Code civil énonce que
"chacun a droit au respect de sa vie privée". Il s'y adjoint une protection pénale du secret
des correspondances qui s'applique de manière transversale de la lettre missive au
courrier électronique.
Le premier, le droit à la protection des données personnelles, vise toutes les données
relatives à une personne physique, identifiée ou identifiable. Ce sont les noms et
prénoms mais aussi une vidéo ou une adresse IP sur internet. Le traitement de telles
données est réglementé comme toute opération de collecte, d'enregistrement,
d'organisation, d'adaptation, de conservation, d'interconnexion ou encore de destruction
de ces données.
Depuis 2009, la protection des données personnelles est un droit fondamental dans
l'Union européenne. C'est alors que se dessinent les contours d'un nouveau cadre
juridique qui s'applique désormais depuis le 25 mai 2018, le RGPD. Les négociations
autour de ce règlement se sont étalées sur quatre ans de janvier 2012 au 14 avril 2016 et
ont débouché sur une réforme globale du cadre juridique de la protection des données
personnelles. Une période transitoire d'applicabilité de deux ans a été l'occasion de
sensibiliser et de responsabiliser les citoyens européens comme les responsables de
traitement et leurs sous-traitants.
Ce règlement, qui remplace la directive de 1995, est complété d'une directive relative à
la protection des données à caractère personnel dans le cadre des activités policières et
judiciaires. Le rôle des régulateurs, nationaux comme la CNIL en France, et du Comité
européen de la protection des données (CEPD) qui vient remplacer le groupe de travail
de l'article 29 au niveau de l'Union, est étendu. Une coopération renforcée entre les
régulateurs nationaux et européen est en effet essentielle à une application cohérente et
prospective du RGPD.
Au Maroc La loi 09-08 accompagne et structure l’ensemble des volets du plan Maroc
Numérique 2013.
Son entrée totale en application, fin 2012, va progressivement faire évoluer la relation
qu’entretient le citoyen avec les technologies de l’information. Dès lors, il s’agit pour
les organismes marocains de se mettre en ordre de marche pour accompagner, voire
anticiper ce mouvement.
Pour autant, et même si des chantiers transverses peuvent dès à présent être lancés, il est
indispensable de prendre le temps de la réflexion et de procéder par étapes, en fonction
de ses enjeux et priorités propres. Progressivement, c’est l’ensemble des acteurs de
l’entreprise qu’il conviendra de mobiliser afin de mettre en place les dispositifs
transverses permettant d’assurer la conformité sur le long terme.
77
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Ouvrages généraux :
ITEANU O., L’Identité numérique en question, Eyrolles, 2008.
IFRAH L., L’Information et le renseignement par Internet. Comment gérer
l’information à l’heure du Web 2.0 ?, Que sais-je ?, n° 3881, PUF, 2010.
KAPLAN D., Informatique, libertés, identités, Éditions FYP, Fing #8, 2010.
MADEC A., Les Flux transfrontières de données : vers une économie
internationale de l’information ?, La Documentation française, Informatisation
et société, n° 12, 1982.
KAYSER P., La Protection de la vie privée. Protection du secret de la vie privée,
Economica, PUAM, 1984.
La Sécurité de l’individu numérisé. Réflexions prospectives et internationales,
L’Harmattan, 2008.
VIVANT (M.) (dir.), Lamy droit de l’informatique et des réseaux, éd. Wolters
Kluwer, 2010.
MAISL H., Le Droit des données publiques, LGDJ, 1996.
LUCAS A., DEVÈZE J., FRAYSSINET J., Droit de l’informatique et de l’Internet,
Collection Thémis Droit privé, PUF, 2001.
LEMOINE P., Commerce électronique, Marketing et Libertés, Cahier Laser n°
2, Descartes et Cie, 1999.
LEPAGE A., Libertés et droits fondamentaux à l’épreuve de l’Internet : droits de
l’internaute, liberté d’expression sur l’Internet, responsabilité, Litec, 2002.
Ouvrages spéciaux :
78
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Thèses :
Nathalie WALCZAK, La protection des données personnelles sur l'internet :
Analyse des discours et des enjeux sociopolitiques. Thèse de doctorat en Sciences
de l'information et de la communication
Sous la direction d’Isabelle GARCIN-
MARROU et de Franck REBILLARD Présentée et soutenue publiquement le 4
juillet 2014.
Articles :
Revue actualités du droit, publiée le 11 SEPTEMBRE 2018. consultable sur le
site : https://www.actualitesdudroit.fr/browse/techdroit/donnees/15626/les-
defis-du-rgpd
Dans Hermès, La Revue 2009/1 (n° 53)
Revue Cairn info. De nouvelles dispositions pour protéger les données personnelles
Florence Raynal, avec la collaboration de Fabienne Amiard et Delphine Carnel
Dans Documentaliste-Sciences de l'Information 2014/3 (Vol. 51), pages 23 à 25
consultable sur le site : https://www.cairn.info/revue-documentaliste-sciences-de-l-
79
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
information-2014-3-page
23.htm?contenu=plan&fbclid=IwAR2VX5ZskV5Duize7D1xCiBN4XNiz4uJqdJv8Nnbj
mb9hSrkmdnwjvD0GXk#pa2
Rapports :
Rapport sur la protection des données personnelles dans le cadre du secteur de
la sécurité au Maroc/ Séminaire DCAF-CEDHD 19 et 20 octobre 2015- Rabat,
Maroc.
PROTECTION
DES DONNEES PERSONNELLES - ANALYSE COMPAREE
DES LEGISLATIONS ET DES PRATIQUES /DANS NEUF PAYS EUROPEENS
- dans le contexte du cadre juridique européen.
Sites :
www.village-justice.com/articles/administrateur-une-page-facebook-epreuve-
droit-des-donnees-personnelles-cjue,28713.html
Site officiel de la CNDP consultable sur https://www.cndp.ma/fr/cndp/qui-
sommes-nous/commision.html
Site officiel de la CNIL consultable sur https://www.cnil.fr/fr/reglement-europeen-
protection-donnees
ANNEXE
80
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
Co-responsable de traitement - données personnelles - finalité - réseau social - responsable d’une page
de fan
81
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais
doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans [l’Union]
(18) considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui
est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel
effectué dans [l’Union] respecte la législation de l’un des États membres ; que, à cet égard, il est
opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité
du responsable du traitement établi dans un État membre à l’application de la législation de cet État ;
(19) considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel
d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel
établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique,
n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de
plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue
d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit
national applicable aux activités de chacun d’eux ;
[…]
(26) considérant que les principes de la protection doivent s’appliquer à toute information concernant
une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient
de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le
responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes
de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne
concernée n’est plus identifiable ; […] »
4 L’article 1er de la directive 95/46, intitulé « Objet de la directive », prévoit :
« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits
fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des
données à caractère personnel.
2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère
personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe
1. »
5 L’article 2 de cette directive, intitulé « Définitions », est libellé comme suit :
« Aux fins de la présente directive, on entend par :
b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations
effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel,
telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage,
l’effacement ou la destruction
d) “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout
autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du
traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont
déterminés par des dispositions législatives ou réglementaires nationales ou [de l’Union], le responsable
du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou [de
l’Union] ;
e) [“sous-traitant”] : la personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
f) “tiers” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre
que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées
sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les
données ;
82
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
6 L’article 4 de ladite directive, intitulé « Droit national applicable », énonce, à son paragraphe 1 :
« Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive
aux traitements de données à caractère personnel lorsque :
a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement
sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de
plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de
ses établissements, des obligations prévues par le droit national applicable ;
b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa
loi nationale s’applique en vertu du droit international public ;
c) le responsable du traitement n’est pas établi sur le territoire de [l’Union] et recourt, à des fins de
traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire
dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de
[l’Union]. »
7 L’article 17 de la directive 95/46, intitulé « Sécurité des traitements », dispose, à ses paragraphes 1 et
2:
« 1. Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures
techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la
destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non
autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi
que contre toute autre forme de traitement illicite.
Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un
niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données
à protéger.
2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour
son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de
sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect
de ces mesures. »
8 L’article 24 de cette directive, intitulé « Sanctions », prévoit :
« Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions
de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des
dispositions prises en application de la présente directive. »
9 L’article 28 de ladite directive, intitulé « Autorité de contrôle », est libellé comme suit :
« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller
l’application, sur son territoire, des dispositions adoptées par les États membres en application de la
présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des
mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à
l’égard du traitement de données à caractère personnel.
3. Chaque autorité de contrôle dispose notamment :
– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement
et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,
– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la
mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de
ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire
temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une
admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres
institutions politiques,
83
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la
présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.
Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.
6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a
compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est
investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur
demande d’une autorité d’un autre État membre.
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs
missions, notamment en échangeant toute information utile.
Le droit allemand
10 L’article 3, paragraphe 7, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données),
dans sa version applicable aux faits au principal (ci-après le « BDSG »), est libellé comme suit :
« On entend par organisme responsable toute personne ou tout organisme qui collecte, traite ou utilise
des données à caractère personnel pour son compte ou par l’intermédiaire d’autrui en sous-traitance. »
11 L’article 11 du BDSG, intitulé « Collecte, traitement ou utilisation de données à caractère personnel
par l’intermédiaire d’autrui en sous-traitance », est ainsi rédigé :
« (1) Si des données à caractère personnel sont collectées, traitées ou utilisées par l’intermédiaire
d’autres organismes en sous-traitance, le responsable du traitement en sous-traitance est responsable du
respect des dispositions de la présente loi et d’autres dispositions relatives à la protection des données.
[…]
(2) Le sous-traitant doit être rigoureusement choisi en tenant particulièrement compte du caractère
approprié des mesures techniques et organisationnelles qu’il a prises. La sous-traitance requiert la forme
écrite, étant entendu qu’il convient en particulier de déterminer en détail : […]
Le responsable du traitement en sous-traitance doit s’assurer du respect des mesures techniques et
organisationnelles prises par le sous-traitant avant le début du traitement des données, puis de manière
régulière. Le résultat doit être consigné.
[…] »
12 L’article 38, paragraphe 5, du BDSG dispose :
« Pour garantir le respect de la présente loi et d’autres dispositions relatives à la protection des données,
l’autorité de surveillance peut ordonner des mesures visant à remédier aux infractions constatées dans
la collecte, le traitement ou l’utilisation de données à caractère personnel ou à des manquements
techniques ou organisationnels. En cas d’infractions ou de manquements graves, notamment lorsque
ceux-ci représentent un risque particulier d’atteinte au droit à la vie privée, elle peut interdire la collecte,
le traitement ou l’utilisation, voire le recours à certaines procédures, lorsqu’il n’est pas remédié aux
infractions ou manquements en temps utile, en violation de l’injonction visée dans la première phrase et
en dépit de l’application d’une astreinte. Elle peut demander le renvoi de l’agent de protection des
données, s’il ne possède pas l’expertise et la fiabilité nécessaires pour accomplir ses tâches. »
13 L’article 12 du Telemediengesetz (loi sur les médias électroniques), du 26 février 2007 (BGBl. 2007
I, p. 179, ci-après le « TMG »), est libellé comme suit :
« (1) Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel aux fins
de la mise à disposition de médias électroniques que si la présente loi ou un autre instrument juridique
qui vise expressément les médias électroniques l’autorise ou si l’utilisateur y a consenti.
[…]
(3) Sauf dispositions contraires, la législation en vigueur régissant la protection des données à caractère
personnel doit être appliquée même si les données ne font pas l’objet d’un traitement automatisé. »
Le litige au principal et les questions préjudicielles
14 Wirtschaftsakademie offre des services de formation au moyen d’une page fan hébergée sur
Facebook.
84
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
15 Les pages fan sont des comptes d’utilisateurs qui peuvent être configurés sur Facebook par des
particuliers ou des entreprises. Pour ce faire, l’auteur de la page fan, une fois enregistré auprès de
Facebook, peut utiliser la plateforme aménagée par ce dernier pour se présenter aux utilisateurs de ce
réseau social ainsi qu’aux personnes visitant la page fan et diffuser des communications de toute nature
sur le marché des médias et de l’opinion. Les administrateurs de pages fan peuvent obtenir des données
statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulée Facebook
Insight, mise gratuitement à leur disposition par Facebook selon des conditions d’utilisation non
modifiables. Ces données sont collectées grâce à des fichiers témoins (ci-après les « cookies »)
comportant chacun un code utilisateur unique, actifs pendant deux ans et sauvegardés par Facebook sur
le disque dur de l’ordinateur ou sur tout autre support des visiteurs de la page fan. Le code utilisateur,
qui peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook,
est collecté et traité au moment de l’ouverture des pages fan. À cet égard, il ressort de la décision de
renvoi que ni Wirtschaftsakademie ni Facebook Ireland Ltd n’ont évoqué l’opération de sauvegarde et
le fonctionnement de ce cookie ou le traitement consécutif des données, tout au moins au cours de la
période pertinente pour la procédure au principal.
16 Par décision du 3 novembre 2011 (ci-après la « décision attaquée »), l’ULD, en sa qualité d’autorité
de contrôle, au sens de l’article 28 de la directive 95/46, chargée de surveiller l’application sur le
territoire du Land du Schleswig-Holstein (Allemagne) des dispositions adoptées par la République
fédérale d’Allemagne en application de cette directive, a ordonné à Wirtschaftsakademie, conformément
à l’article 38, paragraphe 5, première phrase, du BDSG, de désactiver la page fan qu’elle avait créée sur
Facebook à l’adresse www.facebook.com/wirtschaftsakademie, sous peine d’astreinte en cas de non-
exécution dans le délai prescrit, au motif que ni Wirtschaftsakademie ni Facebook n’informaient les
visiteurs de la page fan que ce dernier collectait, à l’aide de cookies, des informations à caractère
personnel les concernant et qu’ils traitaient ensuite ces informations. Wirtschaftsakademie a introduit
une réclamation contre cette décision, en faisant valoir, en substance, qu’elle n’était responsable, au
regard du droit applicable à la protection des données, ni du traitement des données effectué par
Facebook ni des cookies installés par ce dernier.
17 Par décision du 16 décembre 2011, l’ULD a rejeté cette réclamation en considérant que la
responsabilité de Wirtschaftsakademie en tant que fournisseur de services était établie en application de
l’article 3, paragraphe 3, point 4, et de l’article 12, paragraphe 1, du TMG, en combinaison avec l’article
3, paragraphe 7, du BDSG. L’ULD a exposé que, en ayant créé sa page fan, Wirtschaftsakademie
apportait une contribution active et volontaire à la collecte, par Facebook, de données à caractère
personnel concernant les visiteurs de cette page fan, données dont elle profitait au moyen des statistiques
mises à sa disposition par ce dernier.
18 Wirtschaftsakademie a introduit un recours contre cette décision devant le Verwaltungsgericht
(tribunal administratif, Allemagne), en faisant valoir que le traitement des données à caractère personnel
effectué par Facebook ne pouvait lui être imputé et qu’elle n’avait pas non plus chargé Facebook de
procéder, au sens de l’article 11 du BDSG, au traitement de données qu’elle contrôlerait ou qu’elle
pourrait influencer. Wirtschaftsakademie en déduisait que l’ULD aurait dû agir directement contre
Facebook, et non adopter contre elle la décision attaquée.
19 Par un arrêt du 9 octobre 2013, le Verwaltungsgericht (tribunal administratif) a annulé la décision
attaquée au motif, en substance, que, l’administrateur d’une page fan sur Facebook n’étant pas un
organisme responsable au sens de l’article 3, paragraphe 7, du BDSG, Wirtschaftsakademie ne pouvait
être destinataire d’une mesure prise au titre de l’article 38, paragraphe 5, du BDSG.
20 L’Oberverwaltungsgericht (tribunal administratif supérieur, Allemagne) a rejeté l’appel introduit par
l’ULD contre cet arrêt comme étant non fondé. Cette juridiction a considéré en substance que
l’interdiction du traitement des données, énoncée dans la décision attaquée, était illégale, dans la mesure
où l’article 38, paragraphe 5, deuxième phrase, du BDSG prévoit un processus progressif, dont la
85
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
première étape permet uniquement d’adopter des mesures visant à remédier aux infractions constatées
lors du traitement de données. Une interdiction immédiate du traitement de données ne serait
envisageable que si une procédure de traitement de données est illicite dans sa globalité et que seule la
suspension de cette procédure permet d’y remédier. Or, selon l’Oberverwaltungsgericht (tribunal
administratif supérieur), tel n’aurait pas été le cas en l’espèce, dès lors que Facebook aurait eu la
possibilité de faire cesser les infractions alléguées par l’ULD.
21 L’Oberverwaltungsgericht (tribunal administratif supérieur) a ajouté que la décision attaquée était
illégale également pour le motif qu’une injonction au titre de l’article 38, paragraphe 5, du BDSG ne
peut être prononcée qu’à l’encontre de l’organisme responsable, au sens de l’article 3, paragraphe 7, du
BDSG, ce que ne serait pas Wirtschaftsakademie s’agissant des données collectées par Facebook. En
effet, seul Facebook déciderait de la finalité et des moyens relatifs à la collecte et au traitement des
données à caractère personnel utilisées dans le cadre de la fonction Facebook Insight,
Wirtschaftsakademie ne recevant, quant à elle, que des informations statistiques rendues anonymes.
22 L’ULD a introduit un recours en Revision devant le Bundesverwaltungsgericht (Cour administrative
fédérale, Allemagne), en invoquant, entre autres arguments, une violation de l’article 38, paragraphe 5,
du BDSG ainsi que plusieurs erreurs procédurales entachant la décision de la juridiction d’appel. Elle
considère que l’infraction commise par Wirtschaftsakademie tient au fait que celle-ci a confié à un
fournisseur inapproprié, car non respectueux du droit applicable à la protection des données, en
l’occurrence Facebook Ireland, le soin de la réalisation, de l’hébergement et de la maintenance d’un site
Internet. L’injonction faite à Wirtschaftsakademie, par la décision attaquée, de procéder à la
désactivation de sa page fan viserait ainsi à remédier à cette infraction, puisqu’elle lui ferait interdiction
de continuer à utiliser l’infrastructure de Facebook comme base technique de son site Internet.
23 À l’instar de l’Oberverwaltungsgericht (tribunal administratif supérieur), le
Bundesverwaltungsgericht (Cour administrative fédérale) est d’avis que Wirtschaftsakademie ne saurait
elle-même être considérée comme étant responsable du traitement de données, au sens de l’article 3,
paragraphe 7, du BDSG ou de l’article 2, sous d), de la directive 95/46. Cette dernière juridiction estime,
néanmoins, que cette notion doit être, en principe, interprétée de manière extensive dans l’intérêt d’une
protection efficace du droit à la vie privée, ainsi que la Cour l’aurait admis dans sa jurisprudence récente
en la matière. Elle éprouve, par ailleurs, des doutes quant aux pouvoirs dont dispose en l’occurrence
l’ULD à l’égard de Facebook Germany, eu égard au fait que le responsable de la collecte et du traitement
de données personnelles au sein du groupe Facebook est, au niveau de l’Union, Facebook Ireland. Enfin,
elle s’interroge sur l’incidence, aux fins de l’exercice des pouvoirs d’intervention de l’ULD, des
appréciations portées par l’autorité de contrôle dont relève Facebook Ireland quant à la légalité du
traitement de données personnelles en cause.
24 Dans ces conditions, le Bundesverwaltungsgericht (Cour administrative fédérale) a décidé de surseoir
à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 2, sous d), de la directive [95/46] doit-il être interprété en ce sens qu’il régit de manière
définitive et exhaustive la responsabilité en cas d’atteinte à la protection des données, ou peut-on encore,
dans le cadre des “mesures appropriées” visées à l’article 24 de [cette directive] et des “pouvoirs effectifs
d’intervention” visés à l’article 28, paragraphe 3, deuxième tiret, de [celle-ci], en présence de
fournisseurs d’informations en cascade, retenir la responsabilité d’un organisme qui n’est pas le
responsable du traitement des données au sens de l’article 2, sous d), de [ladite directive] au titre du
choix d’un administrateur pour son offre d’informations ?
2) Résulte-t-il, a contrario, de l’obligation des États membres découlant de l’article 17, paragraphe 2, de
la directive [95/46] d’exiger, dans le traitement des données en sous-traitance, que le responsable du
traitement “[choisisse] un sous-traitant qui apporte des garanties suffisantes au regard des mesures de
sécurité technique et d’organisation relatives aux traitements à effectuer”, qu’il n’existe, dans le cadre
d’autres utilisations n’impliquant aucun traitement de données en sous-traitance au sens de l’article 2,
86
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
sous e), de [cette directive], aucune obligation de faire un choix rigoureux, et que celle-ci ne [puisse]
pas non plus être instituée sur le fondement du droit national ?
3) Lorsqu’une société mère établie en dehors de l’Union européenne dispose d’établissements
juridiquement indépendants (filiales) dans différents États membres, l’autorité de contrôle d’un État
membre (en l’espèce l’Allemagne) est-elle également habilitée, en vertu de l’article 4 et de l’article 28,
paragraphe 6, de la directive [95/46], à exercer les pouvoirs dont elle est investie conformément à
l’article 28, paragraphe 3, de [celle-ci] à l’encontre de l’établissement situé sur son territoire, si cet
établissement assure uniquement la promotion et la vente d’espaces publicitaires ainsi que d’autres
mesures de marketing destinées aux habitants de cet État membre, alors que l’établissement indépendant
(filiale) établi dans un autre État membre (en l’espèce l’Irlande) a, en vertu de la répartition des missions
au sein du groupe, la responsabilité exclusive de la collecte et du traitement des données à caractère
personnel sur l’ensemble du territoire de l’Union européenne et donc également dans l’autre État
membre (en l’espèce l’Allemagne), si la décision relative au traitement des données est en fait prise par
la société mère ?
4) L’article 4, paragraphe 1, et l’article 28, paragraphe 3, de la directive [95/46] doivent-ils être
interprétés en ce sens que, lorsque le responsable du traitement possède un établissement sur le territoire
d’un État membre (en l’espèce l’Irlande), et qu’il existe un autre établissement juridiquement
indépendant sur le territoire d’un autre État membre (en l’espèce l’Allemagne), lequel est chargé, entre
autres, de la vente d’espaces publicitaires, et dont l’activité est destinée aux habitants de cet État,
l’autorité de contrôle compétente dans cet autre État membre (en l’espèce l’Allemagne) peut prendre
des mesures et des injonctions en vue de mettre en œuvre le droit applicable à la protection des données,
y compris à l’encontre de l’autre établissement qui n’est pas responsable du traitement des données
d’après la répartition des missions et responsabilités au sein du groupe (en l’espèce l’Allemagne), ou les
mesures et injonctions ne doivent-elles, dans ce cas, être prises que par l’autorité de contrôle de l’État
membre (en l’espèce l’Irlande) sur le territoire duquel l’organisme responsable au sein du groupe a son
siège ?
5) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive [95/46] doivent-
ils être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre (en l’espèce
l’Allemagne) met en cause une personne ou un organisme exerçant ses activités sur son territoire en
application de l’article 28, paragraphe 3, de [cette directive] en raison du choix non rigoureux d’un tiers
impliqué dans le processus de traitement des données (en l’espèce Facebook), au motif que ce tiers a
enfreint le droit applicable à la protection des données, l’autorité de contrôle intervenante (en l’espèce
l’Allemagne) est liée par l’appréciation au regard du droit applicable à la protection des données
émanant de l’autorité de contrôle de l’autre État membre, dans lequel le tiers responsable du traitement
des données a son établissement (en l’espèce l’Irlande), en ce sens qu’elle n’est pas habilitée à émettre
une appréciation juridique divergente, ou l’autorité de contrôle intervenante (en l’espèce l’Allemagne)
peut-elle examiner de manière autonome la légalité du traitement des données effectué par le tiers établi
dans un autre État membre (en l’espèce l’Irlande) à titre incident ?
6) Dans l’hypothèse où l’autorité de contrôle intervenante (en l’espèce l’Allemagne) [serait] habilitée à
effectuer un contrôle autonome : l’article 28, paragraphe 6, deuxième phrase, de la directive [95/46]
doit-il être interprété en ce sens que cette autorité de contrôle ne peut exercer les pouvoirs effectifs
d’intervention dont elle est investie conformément à l’article 28, paragraphe 3, de [cette] directive à
l’encontre d’une personne ou d’un organisme établis sur son territoire au titre de leur part de
responsabilité dans les atteintes à la protection des données commises par le tiers établi dans un autre
État membre que si elle a préalablement appelé l’autorité de contrôle de cet autre État membre (en
l’espèce l’Irlande) à exercer ses pouvoirs ? »
Sur les questions préjudicielles
Sur les première et deuxième questions
87
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
25 Par ses première et deuxième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi
vise, en substance, à savoir si l’article 2, sous d), l’article 17, paragraphe 2, l’article 24 et l’article 28,
paragraphe 3, deuxième tiret, de la directive 95/46 doivent être interprétés en ce sens qu’ils permettent
de retenir la responsabilité d’un organisme, en sa qualité d’administrateur d’une page fan hébergée sur
un réseau social, en cas d’atteinte aux règles relatives à la protection des données à caractère personnel,
en raison du choix d’avoir recours à ce réseau social pour diffuser son offre d’informations.
26 Afin de répondre à ces questions, il convient de rappeler que, ainsi qu’il résulte de son article 1er,
paragraphe 1, et de son considérant 10, la directive 95/46 vise à garantir un niveau élevé de protection
des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, a’
l’égard du traitement des données a’ caractère personnel (arrêt du 11 décembre 2014, Ryneš, C-212/13,
EU:C:2014:2428, point 27 et jurisprudence citée).
27 Conformément à cet objectif, l’article 2, sous d), de cette directive définit de manière large la notion
de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le
service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les
moyens du traitement de données à caractère personnel.
28 En effet, ainsi que la Cour l’a déjà jugé, l’objectif de cette disposition est d’assurer, par une définition
large de la notion de « responsable », une protection efficace et complète des personnes concernées
(arrêt du 13 mai 2014, Google Spain et Google, C-131/12, EU:C:2014:317, point 34).
29 En outre, dès lors que, ainsi que le prévoit expressément l’article 2, sous d), de la directive 95/46, la
notion de « responsable du traitement » vise l’organisme qui, « seul ou conjointement avec d’autres »,
détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne
renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce
traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection
des données.
30 En l’occurrence, Facebook Inc. et, s’agissant de l’Union, Facebook Ireland doivent être regardées
comme déterminant, à titre principal, les finalités et les moyens du traitement des données à caractère
personnel des utilisateurs de Facebook ainsi que des personnes ayant visité les pages fan hébergées sur
Facebook, et relèvent ainsi de la notion de « responsable du traitement », au sens de l’article 2, sous d),
de la directive 95/46, ce qui n’est pas mis en doute dans la présente affaire.
31 Cela étant, et afin de répondre aux questions posées, il y a lieu d’examiner si et dans quelle mesure
l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, contribue, dans le
cadre de cette page fan, à déterminer, conjointement avec Facebook Ireland et Facebook Inc., les
finalités et les moyens du traitement des données personnelles des visiteurs de ladite page fan et peut
donc, lui aussi, être considéré comme étant « responsable du traitement », au sens de l’article 2, sous d),
de la directive 95/46.
32 À cet égard, il apparaît que toute personne souhaitant créer une page fan sur Facebook conclut avec
Facebook Ireland un contrat spécifique relatif à l’ouverture d’une telle page et souscrit, à ce titre, aux
conditions d’utilisation de cette page, y compris à la politique en matière de cookies qui y est relative,
ce qu’il appartient à la juridiction nationale de vérifier.
33 Ainsi qu’il ressort du dossier soumis à la Cour, les traitements de données en cause au principal sont
essentiellement effectués moyennant le placement, par Facebook, sur l’ordinateur ou sur tout autre
appareil des personnes ayant visité la page fan, de cookies visant à stocker des informations sur les
navigateurs web et qui restent actifs pendant deux ans s’ils ne sont pas effacés. Il en ressort également
que, en pratique, Facebook reçoit, enregistre et traite les informations stockées dans les cookies
notamment lorsqu’une personne visite « les services Facebook, les services proposés par d’autres
compagnies Facebook et des services proposés par d’autres entreprises qui utilisent les services
Facebook ». En outre, d’autres entités, telles que les partenaires de Facebook ou même des tiers, « sont
88
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
susceptibles d’utiliser des cookies sur les services Facebook pour [proposer des services directement à
ce réseau social] ainsi qu’aux entreprises qui font de la publicité sur Facebook ».
34 Ces traitements de données à caractère personnel visent notamment à permettre, d’une part, à
Facebook d’améliorer son système de publicité qu’il diffuse à travers son réseau et, d’autre part, à
l’administrateur de la page fan d’obtenir des statistiques établies par Facebook à partir des visites de
cette page, à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple,
le profil des visiteurs qui apprécient sa page fan ou qui utilisent ses applications, afin qu’il puisse leur
proposer un contenu plus pertinent et développer des fonctionnalités susceptibles de les intéresser
davantage.
35 Or, si le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook
coresponsable d’un traitement de données à caractère personnel effectué par ce réseau, il convient, en
revanche, de relever que l’administrateur d’une page fan hébergée sur Facebook, par la création d’une
telle page, offre à Facebook la possibilité de placer des cookies sur l’ordinateur ou sur tout autre appareil
de la personne ayant visité sa page fan, que cette personne dispose ou non d’un compte Facebook.
36 Dans ce cadre, il ressort des indications soumises à la Cour que la création d’une page fan sur
Facebook implique de la part de son administrateur une action de paramétrage, en fonction, notamment,
de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influe sur le
traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir
des visites de la page fan. Cet administrateur peut, à l’aide de filtres mis à sa disposition par Facebook,
définir les critères à partir desquels ces statistiques doivent être établies et même désigner les catégories
de personnes qui vont faire l’objet de l’exploitation de leurs données à caractère personnel par Facebook.
Par conséquent, l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des
données à caractère personnel des visiteurs de sa page.
37 En particulier, l’administrateur de la page fan peut demander à obtenir – et donc que soient traitées
– des données démographiques concernant son audience cible, notamment des tendances en matière
d’âge, de sexe, de situation amoureuse et de profession, des informations sur le style de vie et les centres
d’intérêt de son audience cible ainsi que des informations concernant les achats et le comportement
d’achat en ligne des visiteurs de sa page, les catégories de produits ou de services qui l’intéressent le
plus, de même que des données géographiques qui permettent à l’administrateur de la page fan de savoir
où effectuer des promotions spéciales ou organiser des événements et, de manière plus générale, de
cibler au mieux son offre d’informations.
38 S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à
l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que
l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par
Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement
des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive
95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même
traitement, que chacun ait accès aux données à caractère personnel concernées.
39 Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur
Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction,
notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la
détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa
page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de
l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la
directive 95/46.
40 En effet, le fait pour un administrateur d’une page fan d’utiliser la plateforme mise en place par
Facebook, afin de bénéficier des services y afférents, ne saurait l’exonérer du respect de ses obligations
en matière de protection des données à caractère personnel.
89
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
41 Au demeurant, il importe de souligner que les pages fan hébergées sur Facebook peuvent être visitées
également par des personnes qui ne sont pas utilisateurs de Facebook et qui ne disposent donc pas d’un
compte utilisateur sur ce réseau social. Dans ce cas, la responsabilité de l’administrateur de la page fan
à l’égard du traitement des données à caractère personnel de ces personnes apparaît encore plus
importante, car la simple consultation de la page fan par des visiteurs déclenche automatiquement le
traitement de leurs données à caractère personnel.
42 Dans ces conditions, la reconnaissance d’une responsabilité conjointe de l’exploitant du réseau social
et de l’administrateur d’une page fan hébergée sur ce réseau en relation avec le traitement des données
personnelles des visiteurs de cette page fan contribue à assurer une protection plus complète des droits
dont disposent les personnes qui visitent une page fan, conformément aux exigences de la directive
95/46.
43 Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses
conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une
responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère
personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et
selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être
évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.
44 Au regard des considérations qui précèdent, il y a lieu de répondre aux première et deuxième
questions que l’article 2, sous d), de la directive 95/46 doit être interprété en ce sens que la notion de «
responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan
hébergée sur un réseau social.
Sur les troisième et quatrième questions
45 Par ses troisième et quatrième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi
vise, en substance, à savoir si les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens
que, lorsqu’une entreprise établie en dehors de l’Union dispose de plusieurs établissements dans
différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs
que lui confère l’article 28, paragraphe 3, de cette directive, à l’égard d’un établissement situé sur le
territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe,
d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres
activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de
la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de
l’Union, à un établissement situé dans un autre État membre, ou s’il appartient à l’autorité de contrôle
de ce dernier État membre d’exercer ces pouvoirs à l’égard du second établissement.
46 L’ULD et le gouvernement italien émettent des doutes quant à la recevabilité de ces questions au
motif qu’elles ne seraient pas pertinentes pour la solution du litige au principal. En effet, la décision
attaquée aurait pour destinataire Wirtschaftsakademie et ne viserait donc ni Facebook Inc. ni aucune de
ses filiales établies sur le territoire de l’Union.
47 À cet égard, il convient de rappeler que, dans le cadre de la coopération entre la Cour et les
juridictions nationales instituée à l’article 267 TFUE, il appartient au seul juge national, qui est saisi du
litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au
regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure
de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors
que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue
de statuer (arrêt du 6 septembre 2016, Petruhhin, C-182/15, EU:C:2016:630, point 19 et jurisprudence
citée).
48 En l’occurrence, il convient de relever que la juridiction de renvoi fait valoir qu’une réponse de la
Cour aux troisième et quatrième questions préjudicielles lui est nécessaire pour statuer sur le litige au
principal. Elle explique en effet que, dans le cas où il serait constaté, à la lumière de cette réponse, que
90
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
l’ULD pouvait remédier aux atteintes alléguées au droit à la protection des données à caractère personnel
en prenant une mesure contre Facebook Germany, une telle circonstance serait susceptible d’établir
l’existence d’une erreur d’appréciation entachant la décision attaquée, en ce qu’elle aurait été prise à
tort à l’encontre de Wirtschaftsakademie.
49 Dans ces conditions, les troisième et quatrième questions sont recevables.
50 Afin de répondre à ces questions, il importe de rappeler à titre liminaire que, en vertu de l’article 28,
paragraphes 1 et 3, de la directive 95/46, chaque autorité de contrôle exerce l’ensemble des pouvoirs qui
lui ont été conférés par le droit national sur le territoire de l’État membre dont elle relève, afin d’assurer
sur ce territoire le respect des règles en matière de protection des données (voir, en ce sens, arrêt du 1er
octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, point 51).
51 La question de savoir quel droit national s’applique au traitement des données à caractère personnel
est régie par l’article 4 de la directive 95/46. Aux termes du paragraphe 1, sous a), de cet article, chaque
État membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements
de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un
établissement du responsable du traitement sur le territoire de cet État membre. Cette disposition précise
que, si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit
prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations
prévues par le droit national applicable.
52 Il découle ainsi d’une lecture combinée de cette disposition et de l’article 28, paragraphes 1 et 3, de
la directive 95/46 que, lorsque le droit national de l’État membre dont relève l’autorité de contrôle est
applicable en vertu de l’article 4, paragraphe 1, sous a), de celle-ci, en raison du fait que le traitement
en cause est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le
territoire de cet État membre, cette autorité de contrôle peut exercer l’ensemble des pouvoirs qui lui sont
conférés par ce droit à l’égard de cet établissement, et ce indépendamment du point de savoir si le
responsable du traitement dispose d’établissements également dans d’autres États membres.
53 Ainsi, afin de déterminer si une autorité de contrôle est fondée, dans des circonstances telles que
celles au principal, à exercer à l’égard d’un établissement situé sur le territoire de l’État membre dont
elle relève les pouvoirs qui lui sont conférés par le droit national, il y a lieu de vérifier si les deux
conditions posées par l’article 4, paragraphe 1, sous a), de la directive 96/46 sont réunies, à savoir, d’une
part, s’il s’agit d’un « établissement du responsable du traitement », au sens de cette disposition, et,
d’autre part, si ledit traitement est effectué « dans le cadre des activités » de cet établissement, au sens
de la même disposition.
54 S’agissant, en premier lieu, de la condition selon laquelle le responsable du traitement de données à
caractère personnel doit disposer d’un établissement sur le territoire de l’État membre dont relève
l’autorité de contrôle concernée, il importe de rappeler que, selon le considérant 19 de la directive 95/46,
l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au
moyen d’une installation stable et que la forme juridique retenue pour un tel établissement, qu’il s’agisse
d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante (arrêt du
1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, point 28 et jurisprudence citée).
55 En l’occurrence, il est constant que Facebook Inc., en tant que responsable du traitement de données
à caractère personnel, conjointement avec Facebook Ireland, dispose d’un établissement stable en
Allemagne, à savoir Facebook Germany, situé à Hambourg, et que cette dernière société exerce
réellement et effectivement des activités dans ledit État membre. De ce fait, elle constitue un
établissement, au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.
56 S’agissant, en second lieu, de la condition selon laquelle le traitement de données à caractère
personnel doit être effectué « dans le cadre des activités » de l’établissement concerné, il y a lieu de
rappeler, tout d’abord, que, au vu de l’objectif poursuivi par la directive 95/46, consistant à assurer une
protection efficace et complète des libertés et des droits fondamentaux des personnes physiques,
91
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel,
l’expression « dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation
restrictive (arrêt du 1er octobre 2015, Weltimmo, C-230/14, EU:C:2015:639, point 25 et jurisprudence
citée).
57 Ensuite, il importe de souligner que l’article 4, paragraphe 1, sous a), de la directive 95/46 exige non
pas qu’un tel traitement soit effectué « par » l’établissement concerné lui-même, mais uniquement qu’il
le soit « dans le cadre des activités » de celui-ci (arrêt du 13 mai 2014, Google Spain et Google,
C-131/12, EU:C:2014:317, point 52).
58 En l’occurrence, il ressort de la décision de renvoi ainsi que des observations écrites déposées par
Facebook Ireland que Facebook Germany est chargée de la promotion et de la vente d’espaces
publicitaires et se livre à des activités destinées aux personnes résidant en Allemagne.
59 Ainsi qu’il a été rappelé aux points 33 et 34 du présent arrêt, le traitement de données à caractère
personnel en cause au principal, effectué par Facebook Inc. conjointement avec Facebook Ireland et qui
consiste en la collecte de telles données par l’intermédiaire de cookies installés sur les ordinateurs ou
sur tout autre appareil des visiteurs des pages fan hébergées sur Facebook, a notamment pour objectif
de permettre à ce réseau social d’améliorer son système de publicité afin de mieux cibler les
communications qu’il diffuse.
60 Or, comme l’a relevé M. l’avocat général au point 94 de ses conclusions, étant donné, d’une part,
qu’un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment,
à la publicité diffusée sur les pages web que les utilisateurs créent et auxquelles ils accèdent et, d’autre
part, que l’établissement de Facebook situé en Allemagne est destiné à assurer, dans cet État membre,
la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services offerts par
Facebook, les activités de cet établissement doivent être considérées comme étant indissociablement
liées au traitement de données à caractère personnel en cause au principal, dont Facebook Inc. est le
responsable conjointement avec Facebook Ireland. Partant, un tel traitement doit être regardé comme
étant effectué dans le cadre des activités d’un établissement du responsable du traitement, au sens de
l’article 4, paragraphe 1, sous a), de la directive 95/46 (voir, en ce sens, arrêt du 13 mai 2014, Google
Spain et Google, C-131/12, EU:C:2014:317, points 55 et 56).
61 Il s’ensuit que, le droit allemand étant, en vertu de l’article 4, paragraphe 1, sous a), de la directive
95/46, applicable au traitement des données à caractère personnel en cause au principal, l’autorité de
contrôle allemande était compétente, conformément à l’article 28, paragraphe 1, de cette directive, pour
appliquer ce droit audit traitement.
62 Par conséquent, cette autorité de contrôle était compétente, aux fins d’assurer le respect, sur le
territoire allemand, des règles en matière de protection des données à caractère personnel, pour mettre
en œuvre, à l’égard de Facebook Germany, l’ensemble des pouvoirs dont elle dispose en vertu des
dispositions nationales transposant l’article 28, paragraphe 3, de la directive 95/46.
63 Il convient encore de préciser que la circonstance, mise en exergue par la juridiction de renvoi dans
sa troisième question, selon laquelle les stratégies décisionnelles quant à la collecte et au traitement de
données personnelles relatives à des personnes résidant sur le territoire de l’Union sont prises par une
société mère établie dans un pays tiers, telle que, en l’occurrence, Facebook Inc., n’est pas de nature à
remettre en cause la compétence de l’autorité de contrôle relevant du droit d’un État membre à l’égard
d’un établissement, situé sur le territoire de ce même État, du responsable du traitement desdites
données.
64 Au regard de ce qui précède, il convient de répondre aux troisième et quatrième questions que les
articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie
en dehors de l’Union dispose de plusieurs établissements dans différents États membres, l’autorité de
contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe
3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État
92
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
membre alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet
établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de
marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte
et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union, à
un établissement situé dans un autre État membre.
Sur les cinquième et sixième questions
65 Par ses cinquième et sixième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi
demande, en substance, si l’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la
directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre
entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs
d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles
relatives à la protection des données à caractère personnel, commises par un tiers responsable du
traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est
compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État
membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard
de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État
membre à intervenir.
66 Afin de répondre à ces questions, il y a lieu de rappeler, ainsi qu’il ressort de la réponse apportée aux
première et deuxième questions préjudicielles, que l’article 2, sous d), de la directive 95/46 doit être
interprété en ce sens qu’il permet, dans des circonstances telles que celles au principal, de retenir la
responsabilité d’un organisme, tel que Wirtschaftsakademie, en sa qualité d’administrateur d’une page
fan hébergée sur Facebook, en cas d’atteinte aux règles relatives à la protection des données à caractère
personnel.
67 Il s’ensuit que, en vertu de l’article 4, paragraphe 1, sous a), ainsi que de l’article 28, paragraphes 1
et 3, de la directive 95/46, l’autorité de contrôle de l’État membre sur le territoire duquel cet organisme
est établi est compétente pour appliquer son droit national et, ainsi, mettre en œuvre, à l’encontre dudit
organisme, l’ensemble des pouvoirs qui lui sont conférés par ce droit national, conformément à l’article
28, paragraphe 3, de cette directive.
68 Ainsi que le prévoit l’article 28, paragraphe 1, second alinéa, de ladite directive, les autorités de
contrôle chargées de surveiller l’application, sur le territoire des États membres dont elles relèvent, des
dispositions adoptées par ces derniers en application de la même directive exercent en toute
indépendance les missions dont elles sont investies. Cette exigence résulte également du droit primaire
de l’Union, notamment de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union
européenne et de l’article 16, paragraphe 2, TFUE (voir, en ce sens, arrêt du 6 octobre 2015, Schrems,
C-362/14, EU:C:2015:650, point 40).
69 En outre, si, en vertu de l’article 28, paragraphe 6, second alinéa, de la directive 95/46, les autorités
de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions,
notamment en échangeant toute information utile, cette même directive ne prévoit aucun critère de
priorité régissant l’intervention des autorités de contrôle les unes par rapport aux autres ni ne prescrit
l’obligation pour une autorité de contrôle d’un État membre de se conformer à la position exprimée, le
cas échéant, par l’autorité de contrôle d’un autre État membre.
70 Ainsi, rien n’oblige une autorité de contrôle dont la compétence est reconnue en vertu de son droit
national à faire sienne la solution retenue par une autre autorité de contrôle dans une situation analogue.
71 À cet égard, il importe de rappeler que, les autorités nationales de contrôle étant, conformément à
l’article 8, paragraphe 3, de la charte des droits fondamentaux et à l’article 28 de la directive 95/46,
chargées du contrôle du respect des règles de l’Union relatives à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel, chacune d’entre elles est donc investie de la
compétence de vérifier si un traitement de données à caractère personnel sur le territoire de l’État
93
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
membre dont elle relève respecte les exigences posées par la directive 95/46 (voir, en ce sens, arrêt du
6 octobre 2015, Schrems, C-362/14, EU:C:2015:650, point 47).
72 L’article 28 de la directive 95/46 s’appliquant, par sa nature même, à tout traitement de données à
caractère personnel, même en présence d’une décision d’une autorité de contrôle d’un autre État
membre, une autorité de contrôle, saisie par une personne d’une demande relative à la protection de ses
droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doit examiner,
en toute indépendance, si le traitement de ces données respecte les exigences posées par ladite directive
(voir, en ce sens, arrêt du 6 octobre 2015, Schrems, C-362/14, EU:C:2015:650, point 57).
73 Il s’ensuit que, en l’occurrence, en vertu du système établi par la directive 95/46, l’ULD était habilitée
à apprécier, de manière autonome par rapport aux évaluations effectuées par l’autorité de contrôle
irlandaise, la légalité du traitement de données en cause au principal.
74 Par conséquent, il convient de répondre aux cinquième et sixième questions que l’article 4,
paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en
ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme
établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3,
de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère
personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un
autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par
rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et
peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans
préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.
Sur les dépens
75 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la
juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre
des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un
remboursement.
DÉCISION
1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre
1995, relative à la protection des personnes physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la
notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur
d’une page fan hébergée sur un réseau social.
2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une
entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans
différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les
pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement
de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la
répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement
de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État
membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à
caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un
établissement situé dans un autre État membre.
3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent
être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à
l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés
à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la
protection des données à caractère personnel, commises par un tiers responsable du traitement
94
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est
compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce
dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs
d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler
l’autorité de contrôle de l’autre État membre à intervenir.
La Cour : K. Lenaerts (président), A. Tizzano (vice-président), M. Ilešič, L. Bay Larsen, T. von
Danwitz, A. Rosas, J. Malenovský et E. Levits (présidents de chambre), E. Juhász, A. Borg Barthet,
F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras et E. Regan (juges), C. Strömholm (greffier)
Aavocat général : Y. Bot
Avocats : Me U. Karpenstein, Me Kottmann, Me C. Wolff, Me C. Eggers, Me H.-G. Kamann,
Me Braun, Me I. Perego, Me P. Gentili
Source : curia.europa.eu
L’arrêt Wirtschafttsakademie du 5 juin 2018 a été l’occasion pour la Cour de justice d’affiner son
interprétation de la notion de responsable de traitement telle que définie par la directive du 24 octobre
1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et de retenir la qualification de responsable de
traitement à un administrateur d’une page fan Facebook.
95
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
La CJUE a considéré que cette communauté agissait à des fins propres sur le traitement en cause et
participait par conséquent à la définition de ses finalités, répondant ainsi aux critères juridiques d’un
responsable de traitement.
La communauté religieuse en question se voyait qualifiée de responsable de traitement alors même
qu’elle indiquait ne pas avoir accès aux données contenues dans les fiches litigieuses ni avoir émis
aucune consigne ou directives écrites concernant leur agencement.
La Cour de Justice franchissait donc un nouveau palier en affinant davantage son interprétation de cette
notion clé et rappelait que toute personne physique ou morale tirant essentiellement profit d’une activité
de traitement de données peut être qualifiée de responsable de traitement.
Mais bien plus que dans ces deux arrêts, de nouveaux enseignements sur l’évolution progressive de la
notion de responsable de traitement sont apportés dans les conclusions de l’avocat général rendues dans
l’affaire Wirtschafttsakademie et présentées le 24 octobre 2017.
Aux termes de ces conclusions, l’avocat général motive son argumentaire en faisant un judicieux
parallèle avec l’affaire FASHION ID actuellement pendante devant la Haute juridiction
communautaire au sujet de « la situation dans laquelle le gestionnaire d’un site web insère dans son
site ce que l’on appelle un « module social » (en l’occurrence le bouton « j’aime » de Facebook) .
Comme un couperet, celui-ci indique clairement au considérant 69 de ses conclusions qu’il n’existe pas
« de différence fondamentale entre la situation d’un administrateur de page fan et celle de l’exploitant
d’un site web qui intègre le code d’un fournisseur de service webtracking à son site web et favorise
ainsi, à l’insu de l’internaute, la transmission de données, l’installation de cookies et la collecte de
données au profit du fournisseur de services de webtracking ».
C’est donc à l’aune de cet avis que se dessinent progressivement les contours d’une notion de
responsable de traitement toujours plus grandissante et dont il convient d’analyser les effets.
1. Sur les circonstances entourant l’affaire « Fashion ID » et l’avis présenté le 24 octobre 2017
La société FASHION ID dont l’objet social est la vente d’article de modes en ligne, a intégré un logiciel
d’application complémentaire connu sous le très célèbre nom « j’aime » et fourni par le réseau social
Facebook, sur son site internet.
La conséquence notable d’une telle intégration réside dans le fait que chaque utilisateur se rendant sur
le site en question transmettait automatiquement à Facebook des informations concernant son adresse
IP ainsi que l’ensemble des textes saisis sur son navigateur, indépendamment de tout utilisation de la
fonction « j’aime » et du fait de disposer d’un compte affilié au réseau social.
C’est dans ces conditions qu’une association de protection des consommateurs allemande a assigné la
société FASHION ID motif pris que l’insertion dans son site web du module « j’aime » fourni par
Facebook violait les dispositions relatives à la protection des données personnelles.
La juridiction allemande saisie du litige a sursoit à statuer afin d’interroger la Cour de Justice de l’Union
Européenne sur la qualification potentielle de la société FASHION ID en qualité de responsable de
traitement.
La décision de la Cour de Justice de l’Union Européenne se fait attendre, mais l’avis prépondérant de
l’avocat général est suffisamment clair : la personne physique ou morale intégrant un logiciel tel que la
fonctionnalité « j’aime » sur son site internet sera conjointement responsable avec Facebook de cette
phase de traitement.
En raisonnant par analogie avec l’affaire Wirtschafttsakademie, l’avocat général rappelle qu’à « l’instar
de ce qui se produit en cas de consultation d’une page fan, la consultation d’un site web contenant un
plugin social va déclencher une transmission de données à caractère personnel vers le fournisseur
concerné » et donc exercer une « influence » sur la phase de traitement en lien « avec la transmission
de données à caractère personnel à Facebook ».
C’est donc à raison de l’insertion d’un tel module que le gestionnaire d’un site internet devrait être
qualifié de responsable de traitement.
96
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
97
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
98
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
99
L’ U TILIS ATION DES DO NNEES P ER S ONNELLES D ANS LE DR OIT COMP AR E
100