Contrat et détermination des responsabilités subséquentes à la violation de la réglementation relative à la protection des données personnelles
Afin de rendre effective la législation de l’Union européenne protégeant les données à caractère personnel, la Cour de justice de l’Union européenne retient une acception large de la notion de « responsable de traitement ». L’administrateur d’une page fan, client de Facebook, se voit ainsi reconnaître cette qualité aux côtés du réseau social, ce qui permet de se poser à nouveau la question de l’incidence du contrat sur cette qualification.
CJUE, 5 juin 2018, n° C-210/16
En droit des contrats, les rôles respectifs qu’ont choisi d’endosser les parties peuvent, on le sait, être bouleversés par une requalification du juge1. Le droit des données personnelles n’échappe pas à cette règle. Ainsi, chaque client de Facebook passe avec cette entreprise un contrat lui permettant notamment d’ouvrir une page fan2 et d’y diffuser des contenus. Quoi qu’en dise ce contrat, l’auteur d’une page fan est susceptible d’acquérir aux côtés de ce réseau social la qualité de responsable de traitement. Les conditions générales unissant le réseau social et son utilisateur seront alors probablement impuissantes à lier le juge sur ce point.
C’est à ces interrogations que répond la Cour de justice de l’Union européenne (CJUE) le 5 juin 20183, mettant fin à une dissension ayant opposé l’autorité de protection des données personnelles du Land allemand du Schleswig-Holstein – l’ULD4 – et les[...]
L'accès à l'intégralité de ce document est réservé aux abonnés
V. not. Terré F., « Retour sur la qualification », in Mélanges Buffet, 2004, Petites Affiches, p. 419 et s.
V. les conditions d’utilisation de Facebook (www.Facebook.com/legal/terms/plain_text_terms).
CJUE, 5 juin 2018, n° C-210/16 : D. 2018, p. 1208 ; JCP G 2018, 810, Berlin D ; Comm. com. électr. 2018, comm. 67, obs. Metallinos N. ; Dalloz IP/IT, juill.-août 2018, p. 391 ; Lexbase Hebdo n° 557, 21 juin 2018, Le Goffic C. ; RLDI 2018, n° 5236, obs. Pitcho B., n° 5239, obs. Costes L. ; Europe 2018, comm. 298, obs. Simon D. ; RJDA 1018, n° 792.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein.
Wirtshaftsakademie Schleswig-Holstein GmbH.
CJUE, 5 juin 2018, n° C-210/16, § 17.
Le règlement européen n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD) et abrogeant la directive 95/46/CE est entré en vigueur le 25 mai 2018 abrogeant la directive de 1995. V. not. Debet A., Metallinos N. et Perray R. (dir.), « Entrée en vigueur du RGPD : quels changements pour les responsables de traitement ? », Comm. com. électr. 2018, p. 7 et s.
Metallinos N., « L’avocat général auprès de la CJUE plaide pour la responsabilité conjointe de l’administrateur de la page “fan Facebook” avec celle de Facebook », Comm. com. électr. 2018, comm. 5, spéc. p. 41 ; Berlin D., JCP G 2018, 810, spéc. p. 1372 et s.
V. not. Perray R., JCl. Communication, fasc. 930, nos 122 et s., à paraître.
CJUE, 13 mai 2014, n° C-131/12, Google Spain SL, Google Inc. c/ Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez : Comm. com. électr. 2014, études, n° 13, Debet A. ; D. 2014, p. 1476, Bénabou V.-L. et Rochfeld J. ; D. 2014, p. 1481, Martial-Braz N. et Rochfeld J. ; JCP G 2014, 1300, n° 26, Marino L. ; JCP E 2014, 49, n° 24, obs. Griguer M. ; JCP E 2015, 48, n° 3, Mallet-Poujol N. ; Comm. com. électr. 2015, n° 5, p. 15, obs. Bruguière J.-M. ; Resp. civ. et assur. 2015, n° 5, p. 15, obs. Bruguière J.-M. ; Légipresse 2017, n° 348, p. 223 ; RLDC 2016, n° 142, p. 19, obs. Dupuis M. ; RTD eur. 2016, p. 353, obs. Benoît-Rohmer F. ; RTDH 2015, p. 987, obs. Dupont-Lassalle J.
CJUE, 5 juin 2018, n° C-210/16, § 28. En ce sens : JCP G 2018, 810, spéc. p. 1371 et s., Berlin D. ; Lexbase Hebdo n° 557, 21 juin 2018, spéc. p. 3, Le Goffic C. ; RLDI 2018, n° 5236, spéc. p. 26 et 28, Pitcho B.
CJUE, 10 juill. 2018, n° C-25/17 : RLDI 2018, n° 5242, obs. Costes L. V. aussi l’affaire Faschion ID (n° C-40/17) encore pendante devant la CJUE au jour où nous signons ces lignes.
Debet A., Massot J. et Metallinos N., Informatique et libertés, 2015, Lextenso éditions, n° 546 ; Perray R., JCl. Communication, fasc. 930, n° 141, à paraître.
G29, avis 1/2010, sur les notions de « responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 (WP 169, p. 4). Cette terminologie, aujourd’hui dépassée, est issue de la convention n° 108 de 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (art. 2, d).
CJUE, 13 mai 2014, n° C-131/12, Google Spain SL, Google Inc. c/ Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez.
La loi n° 2004-801 du 6 août 2004 transposant la directive 95/46/CE et modifiant la loi n° 78-17 du 6 janvier 1978 avait écarté la notion de « co-responsabilité » visant ainsi à limiter les conflits de loi et une éventuelle dilution des responsabilités (v. Perray R., JCl. Communication, fasc. 930, n° 124).
CNIL, délib. n° 2007-106, 15 mai 2007, portant autorisation des applications informatiques nécessaires à la mise en œuvre de la phase expérimentale du dossier pharmaceutique ; CNIL, délib. n° 2008-008, 22 janv. 2008, autorisant la mise en œuvre par la ville de Paris et par la société des mobiliers urbains pour la publicité et l’information (SOMUPI) d’un traitement de données à caractère personnel ayant pour finalité la gestion de fichier de personnes à risques dans le cadre du système de location de vélos Vélib’ ; CNIL, délib. n° 2012-293, 13 sept. 2012, portant avis sur un projet de décret relatif à l’application de gestion des dossiers de ressortissants étrangers en France et au traitement automatisé de données à caractère personnel relatives aux étrangers sollicitant la délivrance d’un visa.
CJUE, 5 juin 2018, n° C-210/16, § 29. V. aussi la décision précitée Témoins de Jéhovah, CJUE, 10 juill. 2018, n° C-25/17, dans laquelle la juridiction européenne retient que cette communauté religieuse est « responsable conjointement avec ses membres prédicateurs du traitement des données à caractère personnel effectué par ses derniers ».
CE, 6 juin 2018, n° 412589 : JCP A 2018, act. 518, obs. F. T. ; Comm. com. électr. 2018, comm. 66, obs. Metallinos N. ; RLDI 2018/150, n° 5254, obs. Costes L.
Perray R., JCl. Communication, fasc. 930, nos 137 et s.
CNIL, délib. n° 2010-232, 17 juin 2010, de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société JPSM.
RGDP, art. 68.
G29, avis 1/2010, sur les notions de « responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 (WP 169, p. 10).
Metallinos N., « L’avocat général auprès de la CJUE plaide pour la responsabilité conjointe de l’administrateur de la page “fan Facebook” avec celle de Facebook », Comm. com. électr. 2018, comm. 5, spéc. p. 40.
Debet A., Massot J. et Metallinos N., Informatique et libertés, 2015, Lextenso éditions, n° 572.
V. not. CA Montpellier, 5e ch. sect. A, 15 déc. 2011, n° 11/02945 : RLDI 2012, n° 2644, p. 59, Costes L. ; Comm. com. électr. 2012, comm. 41, obs. Debet A.
CJUE, 5 juin 2018, n° C-210/16, § 15.
Dir. n° 95/46/CE du Parlement européen et du Conseil, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, cons. 26 ; RGPD, art. 13 et 14.
Debet A., Massot J. et Metallinos N., Informatique et libertés, 2015, Lextenso éditions, nos 677 et s.
Dir. n° 95/46/CE du Parlement européen et du Conseil, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 10 et 11 ; RGPD, cons. 26 et 162.
CJUE, 5 juin 2018, n° C-210/16, § 35.
CJUE, 5 juin 2018, n° C-210/16, § 36.
Perray R., JCl. Communication, fasc. 930, nos 126 et 143.
Metallinos N., « Introduction d’une action de groupe en matière de violation de la loi Informatique et Libertés », Comm. com. électr. 2016, n° 95, spéc. p. 40.
G29, avis 1/2010, sur les notions de « responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 (WP 169, p. 20).
CJUE, 5 juin 2018, n° C-210/16, § 18.
CJUE, 5 juin 2018, n° C-210/16, § 18.
Art. 2, e). Il en est de même dans l’article 4, 8°, du règlement (UE) n° 2016/679, relatif à la protection des personnes physiques à l’égard des données à caractère personnel.
Metallinos N., « Les critères de qualification des acteurs (responsables de traitement, responsables de traitement conjoints, sous-traitants), Fiche pratique, in Dossier spécial, « Entrée en vigueur du RGPD : quels changements pour les responsables de traitement ? », Comm. com. électr. 2018, p. 34 et s., n° 3.
Communiqué de la CNIL du 23 mai 2017 sur la publicité en ligne.
CE, 6 juin 2018, n° 412589 : JCP A 2018, act. 518, obs. F. T ; Comm. com. électr. 2018, comm. 66, obs. Metallinos N. ; RLDI 2018/150, n° 5254, obs. Costes L.
RGPD, art. 26, § 1.
CJUE, 5 juin 2018, n° C-210/16, § 18.
V. supra, première partie.
G29, avis 1/2010, sur les notions de « responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 (WP 169, p. 20).
CJUE, 5 juin 2018, n° C-210/16, § 42.
Dir. n° 95/46/CE du Parlement européen et du Conseil, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 2, d) ; RGPD, art. 26.
La loi de 1978 au sein de laquelle la directive 95/46/CE a été transposée par la loi de 2004 a précisément choisi de ne pas évoquer la possibilité de responsables conjoints de traitement. La raison qui en est habituellement évoquée est le risque de dilution des responsabilités (v. Debet A., Massot J. et Metallinos N., Informatique et libertés, 2015, Lextenso éditions, nos 567 et 568).
G29, avis 1/2010, sur les notions de « responsable du traitement » et de « sous-traitant », adopté le 16 février 2010 (WP 169, p. 19).
RGPD, cons. 146, art. 26, § 3 et art. 82, § 4.
CJUE, 5 juin 2018, n° C-210/16, § 43.
Comm. com. électr. 2018, comm. 66, Metallinos N.
CE, 6 juin 2018, n° 412589 : JCP A 2018, act. 518, obs. F. T ; Comm. com. électr. 2018, comm. 66, obs. Metallinos N. ; RLDI 2018/150, n° 5254, obs. Costes L.
V. not. Cass. 3e civ., 13 juin 1990, nos 88-18095 et 88-19188 : JCP G 1990, IV 303 – Cass. 3e civ., 26 avr. 2006, n° 05-10100 : D. 2006, IR, p. 1251, obs. Delpech X. V. aussi les articles issus du projet de réforme de la responsabilité civile rendu public le 13 mars 2017 par la Chancellerie (art. 1265).
CJUE, 5 juin 2018, n° C-210/16, § 43.
CNIL, délib. n° 2010-232, 17 juin 2010, de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société JPSM.
RGPD, art. 26, § 2 et 3 et art. 82, § 4.
Leveneur-Azémar M., Étude sur les clauses limitatives ou exonératoires de responsabilité, 2017, LGDJ, nos 75 et s.
Lorsque le responsable de traitement et la personne concernée sont liés par un contrat, comme par exemple dans le cas où les données personnelles d’un client ont été collectées à l’occasion d’un accord, les clauses relatives à l’obligation à la dette sont en principe valables, sous réserve des exceptions en faveur du cocontractant faible (v. Leveneur-Azémar M., Étude sur les clauses limitatives ou exonératoires de responsabilité, 2017, LGDJ, nos 44 et s.). Il nous semble cependant que, les contrats n’ayant pas pour objet de fixer des règles de conduites (Viney G., Jourdain P. et Carval S., Traité de droit civil, Les conditions de la responsabilité, 4e éd., 2013, LGDG, n° 168-1), la violation de la législation relative à la protection des données personnelles sera traitée sur le terrain délictuel.
V. notre article « Quelles actions judiciaires en cas de violation du RGPD ? », in Dossier spécial, « Entrée en vigueur du RGPD : quels changements pour le responsable de traitement ? », Comm. com. électr. 2018, p. 84 et s., n° 16.
Testez gratuitement Lextenso !