Une association allemande de protection des consommateurs a intenté une action à l’encontre d’une société de vente en ligne de vêtements qui a inséré sur son site Internet le bouton « jaime » de Facebook. Elle lui reproche davoir transmis à Facebook des données à caractère personnel des visiteurs de son site sans leur consentement et en violation des obligations dinformation prévues par les dispositions relatives à la protection des données personnelles.
Saisi du litige, lOberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne) a demandé à la Cour de justice de l’Union européenne (CJUE) d’interpréter plusieurs dispositions de la directive de 1995 sur la protection des données (abrogé par le règlement général sur la protection des données mais qui demeure applicable à cette affaire).
Dans son arrêt rendu le 29 juillet 2019, la CJUE considère que la société de vente en ligne, gestionnaire de site internet, peut être considérée comme étant responsable conjointement avec Facebook Ireland des opérations de collecte et de communication par transmission à Facebook des données en cause, dès lors quil peut être que les deux entreprises en déterminent, conjointement, les moyens et les finalités.
La Cour souligne que le gestionnaire dun site internet, en tant que (co)responsable de certaines opérations de traitement de données des visiteurs de son site, comme la collecte des données et leur transmission à Facebook, doit fournir, au moment de la collecte, certaines informations à ces visiteurs, comme son identité et les finalités du traitement.
Enfin, la Cour apporte des précisions à deux des six cas de traitement licite de données à caractère personnel, prévus par la directive :
– dans le cas où la personne concernée a donné son consentement, le gestionnaire du site doit recueillir ce consentement au préalable (uniquement) pour les opérations dont il est (co)responsable, à savoir la collecte et la transmission des données ;
– dans les cas où le traitement de données est nécessaire à la réalisation dun intérêt légitime, chacun des (co)responsables du traitement, à savoir le gestionnaire du site et le fournisseur du module social, doit poursuivre, avec la collecte et la transmission des données à caractère personnel, un intérêt légitime afin que ces opérations soient justifiées dans son chef.