L’Avocat général Bot a présenté, le 24 octobre dernier, ses conclusions concernant l’interprétation des articles 2, 4 et 28 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ULD c. Wirtschaftakademie Schleswig-Holstein, aff. C-210/16). La Cour de justice de l’Union européenne a été saisie d’un renvoi préjudiciel par le Bundesverwaltungsgericht (Allemagne). Dans l’affaire au principal, une société spécialisée dans le domaine de l’éducation, la Wirtschaftakademie, offre des services de formation au moyen d’une page fan hébergée sur le site du réseau social Facebook. L’utilisation de cookies de connexion sur de telles pages permet à ses administrateurs d’obtenir des statistiques d’audience. L’autorité en charge de la protection des données locale, l’ULD, a ordonné à la requérante de désactiver la page fan qu’elle avait créée, au motif qu’elle n’informait pas les visiteurs de la page que leurs données personnes étaient collectées à l’aide de cookies. Saisie dans ce contexte, la juridiction de renvoi a interrogé la Cour sur les points de savoir, d’une part, si la directive permet aux autorités de contrôle d’exercer leurs pouvoirs d’intervention à l’encontre d’un organisme qui ne peut pas être considéré comme responsable du traitement et, d’autre part, quelle autorité de contrôle est compétente dans une situation où le réseau social dispose de plusieurs établissements sur le territoire de l’Union européenne. S’agissant de la 1ère question, l’Avocat général considère que l’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable de la phase du traitement de données à caractère personnel, consistant dans la collecte par ce réseau social des données relatives aux personnes qui consultent cette page. A cet égard, au même titre que l’administrateur d’une page fan, un gestionnaire de site web contenant un plugin social, dans la mesure où il exerce une influence de fait sur la transmission des données à caractère personnel à Facebook, devrait être qualifié de responsable du traitement. L’Avocat général précise, en outre, que l’existence d’une responsabilité conjointe du réseau social et de l’administrateur ne signifie pas une responsabilité sur un pied d’égalité. S’agissant de la 2nde question, l’Avocat général estime que, compte tenu qu’un réseau social génère la plupart de ses revenus de la publicité diffusée sur les pages créées par les utilisateurs, les activités des responsables conjoints du traitement que sont Facebook Inc. et Facebook Ireland, en charge du traitement, sont indissociablement liées à celles d’un établissement tel que Facebook Germany, en charge de la vente d’espaces publicitaires. Dans ce contexte, l’endroit où s’effectue le traitement et l’endroit où le responsable du traitement a établi son siège au sein de l’Union ne sont pas déterminants en cas de présence de plusieurs établissements, selon lui, pour identifier le droit national applicable à un traitement et données et conférer à une autorité de contrôle la compétence pour exercer ses pouvoirs d’intervention. L’autorité allemande, l’ULD, partie dans le litige au principal, doit donc, selon lui, pouvoir exercer l’intégralité de ses pouvoirs effectifs d’intervention à l’encontre du responsable du traitement. La Cour est libre de suivre ou de ne pas suivre la solution proposée par l’Avocat général. (JJ)
