Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2018:388
• Date: 05 June 2018
• Celex Number: 62016CJ0210
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Docket Number: C-210/16

ARRÊT DE LA COUR (grande chambre)

5 juin 2018 ( *1 )

« Renvoi préjudiciel – Directive 95/46/CE – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Injonction visant à désactiver une page Facebook (fan page) permettant de collecter et de traiter certaines données liées aux visiteurs de cette page – Article 2, sous d) – Responsable du traitement de données à caractère personnel – Article 4 – Droit national applicable – Article 28 – Autorités nationales de contrôle – Pouvoirs d’intervention de ces autorités »

Dans l’affaire C‑210/16,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), par décision du 25 février 2016, parvenue à la Cour le 14 avril 2016, dans la procédure

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

contre

Wirtschaftsakademie Schleswig-Holstein GmbH,

en présence de :

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. A. Tizzano (rapporteur), vice‑président, MM. M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský et E. Levits, présidents de chambre, MM. E. Juhász, A. Borg Barthet, F. Biltgen, Mme K. Jürimäe, MM. C. Lycourgos, M. Vilaras et E. Regan, juges,

avocat général : M. Y. Bot,

greffier : Mme C. Strömholm, administrateur,

vu la procédure écrite et à la suite de l’audience du 27 juin 2017,

considérant les observations présentées :

– pour l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, par Mes U. Karpenstein et M. Kottmann, Rechtsanwälte,

– pour Wirtschaftsakademie Schleswig-Holstein GmbH, par Me C. Wolff, Rechtsanwalt,

– pour Facebook Ireland Ltd, par Mes C. Eggers, H.-G. Kamann et M. Braun, Rechtsanwälte, ainsi que par Me I. Perego, avvocato,

– pour le gouvernement allemand, par M. J. Möller, en qualité d’agent,

– pour le gouvernement belge, par Mmes L. Van den Broeck et C. Pochet ainsi que par MM. P. Cottin et J.-C. Halleux, en qualité d’agents,

– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil ainsi que par Mme L. Březinová, en qualité d’agents,

– pour l’Irlande, par Mmes M. Browne, L. Williams, E. Creedon et G. Gilmore ainsi que par M. A. Joyce, en qualité d’agents,

– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

– pour le gouvernement néerlandais, par Mmes C. S. Schillemans et M. K. Bulterman, en qualité d’agents,

– pour le gouvernement finlandais, par M. J. Heliskoski, en qualité d’agent,

– pour la Commission européenne, par MM. H. Krämer et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 24 octobre 2017,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2 Cette demande a été présentée dans le cadre d’un litige opposant l’Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (autorité régionale indépendante de protection des données du Schleswig-Holstein, Allemagne) (ci‑après l’« ULD ») à Wirtschaftsakademie Schleswig-Holstein GmbH, société de droit privé spécialisée dans le domaine de l’éducation (ci‑après « Wirtschaftsakademie »), au sujet de la légalité d’une injonction faite par l’ULD à cette dernière de désactiver sa page fan hébergée sur le site du réseau social Facebook (ci-après « Facebook »).

Le cadre juridique

Le droit de l’Union

3 Les considérants 10, 18, 19 et 26 de la directive 95/46 énoncent : « (10) considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et dans les principes généraux du droit [de l’Union] ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans [l’Union] ; [...] (18) considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans [l’Union] respecte la législation de l’un des États membres ; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État ; (19) considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux ; [...] (26) considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; […] »

4 L’article 1er de la directive 95/46, intitulé « Objet de la directive », prévoit : « 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. 2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »

5 L’article 2 de cette directive, intitulé « Définitions », est libellé comme suit : « Aux fins de la présente directive, on entend par : [...] b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ; [...] d) “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou [de l’Union], le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou [de l’Union] ; e) [“sous-traitant”] : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; f) “tiers” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ; [...] »

6 L’article 4 de ladite directive, intitulé « Droit national applicable », énonce, à son paragraphe 1 : « Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ; b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit...