La Grande Chambre de la Cour de justice de l’Union européenne a rendu, le 5 juin 2018, une décision majeure concernant la protection des données. Une organisation proposant des services de formation gérait une page sur un réseau social pour promouvoir ses activités et analyser le profil des visiteurs. L’autorité de contrôle régionale a ordonné la clôture de cet espace numérique car les utilisateurs n’étaient pas informés de la collecte de leurs données. Le litige fut porté devant le Tribunal administratif supérieur de Schleswig avant que la Cour administrative fédérale ne sursoie à statuer en février deux mille seize. L’administrateur contestait sa responsabilité tandis que l’autorité soulignait sa contribution active au traitement des données personnelles réalisé par le réseau social d’accueil.
La question posée concerne la définition du responsable de traitement et la compétence des autorités nationales face à une structure de groupe complexe. La Cour affirme que la « notion de responsable du traitement », au sens de cette disposition, « englobe l’administrateur d’une page fan hébergée sur un réseau social ». L’étude de la coresponsabilité établie par le juge européen précédera l’analyse de l’indépendance reconnue aux autorités de contrôle dans l’exercice de leurs missions de régulation.
I. La reconnaissance d’une coresponsabilité du traitement des données
A. L’extension de la notion de responsable du traitement
La Cour privilégie une interprétation large de la directive afin d’assurer une protection efficace et complète des droits fondamentaux des personnes physiques. L’administrateur d’une page fan participe à la définition des finalités en paramétrant les critères de collecte des statistiques de fréquentation proposées par l’hébergeur. La décision souligne que la notion de « responsable du traitement », au sens de cette disposition, « englobe l’administrateur d’une page fan hébergée sur un réseau social ». Cette participation active, consistant à définir un public cible et des objectifs marketing, justifie une qualification de coresponsable au sens du droit européen.
B. La finalité d’une protection élevée des personnes physiques
Cette approche extensive permet d’éviter que des opérateurs ne s’exonèrent de leurs obligations en s’appuyant sur les services techniques fournis par des plateformes tierces. Le juge européen considère que l’existence d’une responsabilité conjointe ne requiert pas nécessairement une implication équivalente pour chaque acteur intervenant dans le processus. Le respect des libertés fondamentales impose que chaque participant puisse être identifié comme un interlocuteur par les autorités et par les citoyens concernés. La désignation de l’administrateur comme responsable garantit une application concrète des garanties juridiques au plus près de l’activité générant le traitement des informations.
II. L’autonomie des autorités de contrôle nationales
A. La compétence territoriale liée à la présence d’un établissement
La directive s’applique dès lors que le traitement est effectué dans le cadre des activités d’un établissement situé sur le territoire de l’État membre. L’existence d’une filiale chargée de la vente d’espaces publicitaires suffit à fonder la compétence de l’autorité locale pour agir contre un groupe international. La Cour écarte l’argument d’une responsabilité exclusive d’un siège unique situé dans un autre État pour préserver l’efficacité du contrôle administratif. Les pouvoirs d’intervention peuvent s’exercer contre un établissement local même si la gestion technique des données est centralisée dans un autre pays européen.
B. L’indépendance de l’appréciation de la légalité des traitements
L’autorité nationale peut apprécier de manière autonome la licéité d’un traitement sans être liée par l’avis de l’autorité du siège de l’entreprise. Cette compétence propre permet une réaction rapide face aux atteintes constatées sur le territoire national sans exiger une coopération préalable avec d’autres institutions. Le juge précise que l’autorité « peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire » sans appeler l’autre autorité. Cette solution renforce la souveraineté des instances de régulation locales tout en assurant une vigilance constante sur les pratiques des grands acteurs numériques.
