La responsabilité du traitement d’un gestionnaire d’un site Internet qui insère sur celui-ci un module social, lequel transmet des données à caractère personnel au fournisseur dudit module, est limitée aux opérations dont il détermine effectivement les finalités et les moyens (29 juillet)
Arrêt Fashion ID, aff. C-40/17
Saisie d’un renvoi préjudiciel par l’Oberlandesgericht Düsseldorf (Allemagne), la Cour de justice de l’Union européenne estime que ledit gestionnaire ne saurait être considéré comme responsable des opérations antérieures et postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens. Selon elle, si celui-ci est susceptible de déterminer conjointement avec Facebook Ireland les finalités et les moyens de la collecte et de la communication par transmission des données à caractère personnel des visiteurs de son site Internet, il apparaît exclu que le gestionnaire ne détermine les finalités et moyens des autres opérations de traitement. Dès lors, l’obligation d’information prévue à l’article 10 de la directive 95/46/CE pèse également sur le gestionnaire du site Internet, l’information que ce dernier doit fournir ne devant porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ce gestionnaire détermine effectivement les finalités et les moyens. (JJ)
