CJUE, 2e ch., 29 juillet 2019, n° C-40/17
COUR DE JUSTICE DE L’UNION EUROPEENNE
Arrêt
PARTIES
Demandeur :
Fashion ID GmbH & Co. KG
Défendeur :
Verbraucherzentrale NRW eV, Facebook Ireland Ltd, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
COMPOSITION DE LA JURIDICTION
Président :
M. Lenaerts
Juges :
Mmes Prechal, Toader, MM. Rosas (rapporteur), Ileic
Avocat général :
M. Bobek
Avocats :
Mes Althaus, Nebel, Kruse, Rempe, Meyer, Kamann, Schwedler, Braun, Perego
LA COUR,
1 La demande de décision préjudicielle porte sur l'interprétation des articles 2, 7, 10, 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
2 Cette demande a été présentée dans le cadre d'un litige opposant Fashion ID GmbH & Co. KG à la Verbraucherzentrale NRW eV au sujet de l'insertion, par Fashion ID, d'un module social de Facebook Ireland Ltd sur le site Internet de la première.
Le cadre juridique
Le droit de l'Union
3 La directive 95/46 a été abrogée et remplacée, avec effet au 25 mai 2018, par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 2016, L 119, p. 1). Toutefois, cette directive est, eu égard à la date des faits du litige au principal, applicable à celui-ci.
4 Le considérant 10 de la directive 95/46 énonce :
" [C]onsidérant que l'objet des législations nationales relatives au traitement des données à caractère personnel est d'assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit [de l'Union] ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu'elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans [l'Union] ".
5 L'article 1er de la directive 95/46 prévoit :
" 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.
2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. "
6 L'article 2 de cette directive dispose :
" Aux fins de la présente directive, on entend par :
a) "données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
b) "traitement de données à caractère personnel" (traitement) : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;
[...]
d) "responsable du traitement" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou [de l'Union], le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou [de l'Union] ;
[...]
f) "tiers" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont habilitées à traiter les données ;
g) "destinataire" : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données, qu'il s'agisse ou non d'un tiers ; les autorités qui sont susceptibles de recevoir communication de données dans le cadre d'une mission d'enquête particulière ne sont toutefois pas considérées comme des destinataires ;
h) "consentement de la personne concernée" : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. "
7 L'article 7 de ladite directive énonce :
" Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement
ou
[...]
f) il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er paragraphe 1. "
8 Aux termes de l'article 10 de la même directive, intitulé " Informations en cas de collecte de données auprès de la personne concernée " :
" Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :
a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;
b) les finalités du traitement auquel les données sont destinées ;
c) toute information supplémentaire telle que :
- les destinataires ou les catégories de destinataires des données,
- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,
- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,
dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données. "
9 L'article 22 de la directive 95/46 est libellé comme suit :
" Sans préjudice du recours administratif qui peut être organisé, notamment devant l'autorité de contrôle visée à l'article 28, antérieurement à la saisine de l'autorité judiciaire, les États membres prévoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question. "
10 L'article 23 de cette directive énonce :
" 1. Les États membres prévoient que toute personne ayant subi un dommage du fait d'un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d'obtenir du responsable du traitement réparation du préjudice subi.
2. Le responsable du traitement peut être exonéré partiellement ou totalement de cette responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable. "
11 L'article 24 de ladite directive prévoit :
" Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive. "
12 L'article 28 de la même directive dispose :
" 1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
[...]
3. Chaque autorité de contrôle dispose notamment :
[...]
- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.
[...]
4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.
[...] "
13 L'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la " directive 2002/58 "), prévoit :
" Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive [95/46], une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. "
14 L'article 1er, paragraphe 1, de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs (JO 2009, L 110, p. 30), telle que modifiée par le règlement (UE) n° 524/2013 du Parlement européen et du Conseil, du 21 mai 2013 (JO 2013, L 165, p. 1) (ci-après la " directive 2009/22 "), dispose :
" La présente directive a pour objet de rapprocher les dispositions législatives, réglementaires et administratives des États membres relatives aux actions en cessation, mentionnées à l'article 2, visant à protéger les intérêts collectifs des consommateurs inclus dans les actes de l'Union énumérés à l'annexe I, afin de garantir le bon fonctionnement du marché intérieur. "
15 L'article 2 de cette directive prévoit :
" 1. Les États membres désignent les tribunaux ou autorités administratives compétents pour statuer sur les recours formés par les entités qualifiées au sens de l'article 3 visant :
a) à faire cesser ou interdire toute infraction, avec toute la diligence requise et, le cas échéant, dans le cadre d'une procédure d'urgence ;
[...] "
16 L'article 7 de ladite directive dispose :
" La présente directive ne fait pas obstacle au maintien ou à l'adoption par les États membres de dispositions visant à assurer au plan national une faculté d'agir plus étendue aux entités qualifiées ainsi qu'à toute autre personne concernée. "
17 L'article 80 du règlement 2016/679 est libellé comme suit :
" 1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit.
2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l'autorité de contrôle qui est compétente en vertu de l'article 77, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. "
Le droit allemand
18 L'article 3, paragraphe 1, du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), dans sa version applicable au litige au principal (ci-après l'" UWG "), énonce :
" Les pratiques commerciales déloyales sont illicites. "
19 L'article 3a de l'UWG est libellé comme suit :
" Commet un acte déloyal celui qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l'intérêt de ses acteurs dès lors que cette infraction est susceptible d'affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents. "
20 L'article 8 de l'UWG dispose :
" (1) Quiconque se livre à une pratique commerciale illicite en vertu de l'article 3 ou de l'article 7 peut donner lieu à un ordre de cessation immédiate (élimination) et, en cas de risque de récidive, à un ordre de cessation pour l'avenir (abstention). Le droit à la cessation pour l'avenir (abstention) naît dès qu'il y a risque d'infraction aux articles 3 ou 7.
[...]
(3) Sont titulaires des droits conférés par le paragraphe 1 :
[...]
3. les entités qualifiées, établissant être inscrites sur la liste des entités qualifiées visées à l'article 4 de l'Unterlassungsklagegesetz [(loi sur l'action en cessation)] ou sur la liste de la Commission européenne visée à l'article 4, paragraphe 3, de la directive [2009/22] ;
[...] "
21 L'article 2 de la loi sur l'action en cessation prévoit :
" (1) Quiconque enfreint, autrement que par l'utilisation ou la recommandation de conditions générales, des règles de protection des consommateurs (lois sur la protection des consommateurs) peut donner lieu à un ordre de cessation pour l'avenir et de cessation immédiate dans l'intérêt de la protection des consommateurs. [...]
(2) Au sens de la présente disposition, on entend par lois sur la protection des consommateurs en particulier :
[...]
11. les règles définissant la licéité
a) de la collecte de données à caractère personnel d'un consommateur par une entreprise ou
b) le traitement ou l'utilisation de données à caractère personnel qui ont été collectées par un entrepreneur à propos d'un consommateur,
lorsque les données sont collectées, traitées ou utilisées à des fins de publicité, d'enquête de marché et d'opinion, d'exploitation d'une agence de renseignements, d'établissement de profils de personnalité et d'utilisation, de tout autre commerce de données ou à des fins commerciales analogues. "
22 L'article 12, paragraphe 1, du Telemediengesetz (loi sur les médias électroniques, ci-après le " TMG ") est libellé comme suit :
" Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel pour proposer des médias électroniques que si la présente loi ou un autre instrument juridique qui vise expressément les médias électroniques l'y autorise ou si l'utilisateur y a consenti. "
23 L'article 13, paragraphe 1, du TMG énonce :
" Dès l'entame de l'utilisation, il appartient au fournisseur de services d'informer l'utilisateur sous une forme globalement compréhensible du mode, de l'étendue et de la finalité de la collecte et de l'utilisation de données à caractère personnel ainsi que du traitement de ses données dans les États ne relevant pas du champ d'application de la directive [95/46] dans la mesure où il n'en a pas déjà été informé. Dans les procédures automatisées, permettant d'identifier l'utilisateur ultérieurement et préparant la collecte ou l'utilisation de données à caractère personnel, l'utilisateur doit être informé à l'entame de cette procédure. L'utilisateur doit pouvoir consulter le contenu de cette information à tout moment. "
24 L'article 15, paragraphe 1, du TMG dispose :
" Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel d'un utilisateur que dans la mesure nécessaire à l'utilisation des médias électroniques (données d'utilisation) et à sa facturation. Les données d'utilisation sont en particulier
1. les informations d'identification de l'utilisateur,
2. le relevé des début et fin de chaque utilisation, ainsi que de son étendue,
3. les indications sur les médias électroniques sollicités par l'utilisateur. "
Le litige au principal et les questions préjudicielles
25 Fashion ID, entreprise de vente de vêtements de mode en ligne, a inséré sur son site Internet le module social " j'aime " du réseau social Facebook (ci-après le " bouton "j'aime" de Facebook ").
26 Il ressort de la décision de renvoi qu'une caractéristique propre à Internet est de permettre au navigateur du visiteur d'un site Internet de présenter des contenus de différentes sources. Ainsi, à titre d'illustration, des photos, des vidéos, des actualités ainsi que le bouton " j'aime " de Facebook en cause en l'espèce peuvent être liés à un site Internet et y figurer. Si le gestionnaire d'un site Internet entend insérer ces contenus externes, il place sur ce site un lien vers le contenu externe. Lorsque le navigateur du visiteur dudit site ouvre ce lien, il sollicite le contenu externe et l'insère à l'endroit voulu de l'affichage du site. À cet effet, le navigateur communique au serveur du fournisseur externe l'adresse IP de l'ordinateur dudit visiteur ainsi que les données techniques du navigateur afin que le serveur puisse déterminer le format sous lequel le contenu est délivré à cette adresse. Le navigateur communique en outre des informations sur le contenu souhaité. Le gestionnaire d'un site Internet qui propose un contenu externe en l'insérant sur ce site ne peut pas déterminer les données que le navigateur transmet ni ce que le fournisseur externe fait de ces données, en particulier s'il décide de les stocker et de les exploiter.
27 En ce qui concerne, en particulier, le bouton " j'aime " de Facebook, il semble ressortir de la décision de renvoi que, lorsqu'un visiteur consulte le site Internet de Fashion ID, des données à caractère personnel de ce visiteur sont, en raison du fait que ce site intègre ledit bouton, transmises à Facebook Ireland. Il apparaît que cette transmission s'effectue sans que ledit visiteur en soit conscient et indépendamment du fait qu'il soit membre du réseau social Facebook ou qu'il ait cliqué sur le bouton " j'aime " de Facebook.
28 La Verbraucherzentrale NRW, association d'utilité publique de défense des intérêts des consommateurs, reproche à Fashion ID d'avoir transmis à Facebook Ireland des données à caractère personnel appartenant aux visiteurs de son site Internet, d'une part, sans le consentement de ces derniers et, d'autre part, en violation des obligations d'information prévues par les dispositions relatives à la protection des données personnelles.
29 La Verbraucherzentrale NRW a intenté une action en cessation devant le Landgericht Düsseldorf (tribunal régional de Düsseldorf, Allemagne) à l'encontre de Fashion ID afin que cette dernière mette fin à cette pratique.
30 Par décision du 9 mars 2016, le Landgericht Düsseldorf (tribunal régional de Düsseldorf) a partiellement fait droit aux demandes de la Verbraucherzentrale NRW, après avoir reconnu à celle-ci la qualité pour agir au titre de l'article 8, paragraphe 3, point 3, de l'UWG.
31 Fashion ID a fait appel de cette décision devant l'Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne), la juridiction de renvoi. Facebook Ireland est intervenue lors de cet appel au soutien de Fashion ID. La Verbraucherzentrale NRW a, pour sa part, formé un appel incident, visant à étendre la condamnation de Fashion ID prononcée en première instance.
32 Devant la juridiction de renvoi, Fashion ID soutient que la décision du Landgericht Düsseldorf (tribunal régional de Düsseldorf) n'est pas compatible avec la directive 95/46.
33 D'une part, Fashion ID prétend que les articles 22 à 24 de ladite directive n'envisagent des voies de droit qu'en faveur des personnes concernées par le traitement des données à caractère personnel et des autorités de contrôle compétentes. Par conséquent, l'action en justice introduite par la Verbraucherzentrale NRW ne serait pas recevable en raison du fait que cette association n'a pas la qualité pour agir en justice dans le cadre de la directive 95/46.
34 D'autre part, Fashion ID considère que le Landgericht Düsseldorf (tribunal régional de Düsseldorf) a jugé à tort qu'elle était responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46, dans la mesure où elle n'a aucune influence sur les données transmises par le navigateur du visiteur de son site Internet ni sur le fait de savoir si et, le cas échéant, comment Facebook Ireland va les utiliser.
35 La juridiction de renvoi nourrit, tout d'abord, des doutes quant à la question de savoir si la directive 95/46 autorise des associations d'utilité publique à agir en justice afin de défendre les intérêts des personnes lésées. Elle est d'avis que l'article 24 de cette directive n'empêche pas les associations d'ester en justice, dès lors que, aux termes de cet article, les États membres prennent les " mesures appropriées " pour assurer la pleine application de ladite directive. Ainsi, la juridiction de renvoi considère qu'une réglementation nationale permettant aux associations d'intenter des actions en justice dans l'intérêt des consommateurs pourrait constituer une telle mesure appropriée.
36 Ladite juridiction relève, à cet égard, que l'article 80, paragraphe 2, du règlement 2016/679, qui a abrogé et remplacé la directive 95/46, autorise expressément l'action en justice d'une telle association, ce qui tendrait à confirmer que cette dernière directive ne s'opposait pas à une telle action.
37 Elle s'interroge par ailleurs sur le point de savoir si le gestionnaire d'un site Internet, tel que Fashion ID, qui insère sur ce site un module social permettant la collecte de données à caractère personnel, peut être considéré comme étant responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46, alors que ce dernier n'a aucune influence sur le traitement des données transmises au fournisseur dudit module. La juridiction de renvoi se réfère à cet égard à l'affaire ayant donné lieu à l'arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C 210/16, EU:C:2018:388), portant sur une question similaire.
38 À titre subsidiaire, dans le cas où Fashion ID ne devrait pas être considérée comme étant responsable du traitement, la juridiction de renvoi se demande si cette directive régit de manière exhaustive ladite notion, de telle sorte qu'elle s'oppose à une réglementation nationale qui prévoit la responsabilité civile du fait d'un tiers en cas de violation des droits à la protection des données. En effet, la juridiction de renvoi affirme qu'il serait possible d'envisager la responsabilité de Fashion ID sur cette base du droit national, en tant que " perturbateur " (" Störer ").
39 Si Fashion ID devait être considérée comme responsable du traitement ou répondait, à tout le moins, en tant que " perturbateur ", d'atteintes éventuelles de Facebook Ireland à la protection des données, la juridiction de renvoi s'interroge sur le fait de savoir si le traitement des données à caractère personnel en cause au principal est licite et si l'obligation d'informer la personne concernée en vertu de l'article 10 de la directive 95/46 pesait sur Fashion ID ou sur Facebook Ireland.
40 Ainsi, d'une part, au regard des conditions de licéité du traitement des données, telles que prévues à l'article 7, sous f), de la directive 95/46, la juridiction de renvoi se demande si, dans une situation telle que celle en cause au principal, il convient de prendre en compte l'intérêt légitime du gestionnaire du site Internet ou celui du fournisseur du module social.
41 D'autre part, ladite juridiction se demande à qui incombent les obligations d'obtention du consentement et d'information des personnes concernées par le traitement des données à caractère personnel dans une situation telle que celle en cause au principal. La juridiction de renvoi estime que la question de savoir sur qui pèse l'obligation d'informer les personnes concernées, telle que prévue à l'article 10 de la directive 95/46, présente une importance particulière car toute insertion de contenus externes sur un site Internet donne lieu, en principe, à un traitement de données à caractère personnel, dont l'étendue et la finalité sont toutefois inconnues de celui qui opère l'insertion de ces contenus, à savoir le gestionnaire du site Internet concerné. Celui-ci ne pourrait, de ce fait, donner l'information due, pour autant qu'il y est tenu, de sorte que faire peser sur ce gestionnaire l'obligation d'informer la personne concernée conduirait en pratique à interdire l'insertion de contenus externes.
42 Dans ces conditions, l'Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
" 1) Le régime des articles 22, 23 et 24 de la directive [95/46] s'oppose-t-il à une réglementation nationale qui, en marge des pouvoirs d'intervention des autorités de protection des données et des actions en justice de la personne concernée, habilite, en cas d'atteintes, des associations d'utilité publique de défense des intérêts des consommateurs à agir contre l'auteur d'une atteinte ?
Si la première question appelle une réponse négative :
2) Dans un cas comme celui de l'espèce, où quelqu'un insère dans son site un Code programme permettant au navigateur de l'utilisateur de solliciter des contenus d'un tiers et de transmettre à cet effet au tiers des données à caractère personnel, celui qui fait l'insertion est-il "responsable du traitement", au sens de l'article 2, sous d), de la directive [95/46], lorsqu'il ne peut avoir lui-même aucune influence sur ce processus de traitement des données ?
3) Si la deuxième question appelle une réponse négative : l'article 2, sous d), de la directive [95/46] doit-il être interprété en ce sens qu'il régit exhaustivement la responsabilité en ce sens qu'il s'oppose à la mise en cause sur le plan civil d'un tiers qui n'est certes pas "responsable du traitement" mais est à l'origine du processus de traitement des données sans avoir d'influence sur celui-ci ?
4) Dans un contexte comme celui de l'espèce, quel est l'"intérêt légitime" à prendre en compte dans la mise en balance à faire au titre de l'article 7, sous f), de la directive [95/46] ? Est-ce l'intérêt d'insérer des contenus de tiers ou est-ce l'intérêt du tiers ?
5) Dans un contexte comme celui de l'espèce, à qui doit être donné le consentement visé à l'article 7, sous a), et à l'article 2, sous h), de la directive [95/46] ?
6) L'obligation d'informer la personne concernée en vertu de l'article 10 de la directive [95/46] dans une situation telle que celle qui se présente en l'espèce pèse-t-elle également sur le gestionnaire du site qui a inséré le contenu d'un tiers et est ainsi à l'origine du traitement des données à caractère personnel fait par un tiers ? "
Sur les questions préjudicielles
Sur la première question
43 Par sa première question, la juridiction de renvoi demande, en substance, si les articles 22 à 24 de la directive 95/46 doivent être interprétés en ce sens qu'ils s'opposent à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel.
44 À titre liminaire, il convient de rappeler que, conformément à l'article 22 de la directive 95/46, les États membres prévoient que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question.
45 L'article 28, paragraphe 3, troisième alinéa, de la directive 95/46 énonce qu'une autorité de contrôle, chargée, conformément à l'article 28, paragraphe 1, de cette directive, de surveiller l'application, sur le territoire de l'État membre concerné, des dispositions adoptées par celui-ci, en application de ladite directive, dispose notamment du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la même directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.
46 Quant à l'article 28, paragraphe 4, de la directive 95/46, il prévoit qu'une autorité de contrôle peut être saisie par une association représentant une personne concernée, au sens de l'article 2, sous a), de cette directive, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel.
47 Toutefois, aucune disposition de ladite directive n'impose aux États membres l'obligation de prévoir - ni ne les habilite expressément à prévoir -, dans leur droit national, la possibilité pour une association de représenter en justice une telle personne ou d'intenter de sa propre initiative une action en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel.
48 Il n'en résulte pas pour autant que la directive 95/46 s'oppose à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une telle atteinte.
49 En effet, en vertu de l'article 288, troisième alinéa, TFUE, les États membres sont obligés, lors de la transposition d'une directive, d'assurer le plein effet de celle-ci, tout en disposant d'une ample marge d'appréciation quant au choix des voies et des moyens destinés à en assurer la mise en œuvre. Cette liberté laisse entière l'obligation, pour chacun des États membres destinataires, de prendre toutes les mesures nécessaires pour assurer le plein effet de la directive concernée, conformément à l'objectif que celle-ci poursuit (arrêts du 6 octobre 2010, Base e.a., C 389/08, EU:C:2010:584, points 24 et 25, ainsi que du 22 février 2018, Porras Guisado, C 103/16, EU:C:2018:99, point 57).
50 À cet égard, il y a lieu de rappeler que l'un des objectifs sous-jacents à la directive 95/46 est d'assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l'égard du traitement des données à caractère personnel (voir, en ce sens, arrêts du 13 mai 2014, Google Spain et Google, C 131/12, EU:C:2014:317, point 53, ainsi que du 27 septembre 2017, Pukár, C 73/16, EU:C:2017:725, point 38). Son considérant 10 précise que le rapprochement des législations nationales applicables en la matière ne doit pas conduire à affaiblir la protection qu'elles assurent, mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans l'Union (arrêts du 6 novembre 2003, Lindqvist, C 101/01, EU:C:2003:596, point 95 ; du 16 décembre 2008, Huber, C 524/06, EU:C:2008:724, point 50, et du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 et C 469/10, EU:C:2011:777, point 28).
51 Or, le fait pour un État membre de prévoir dans sa réglementation nationale la possibilité pour une association de défense des intérêts des consommateurs d'intenter une action en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel n'est aucunement de nature à nuire aux objectifs de celle-ci mais contribue, au contraire, à la réalisation de ces objectifs.
52 Fashion ID et Facebook Ireland soutiennent toutefois que, dans la mesure où la directive 95/46 a procédé à une harmonisation complète des dispositions nationales relatives à la protection des données, toute action en justice non expressément prévue par celle-ci serait exclue. Or, les articles 22, 23 et 28 de la directive 95/46 se borneraient à prévoir l'action des personnes concernées et celle des autorités de contrôle de la protection des données.
53 Cette argumentation ne saurait cependant être retenue.
54 Certes, la directive 95/46 aboutit à une harmonisation des législations nationales relatives à la protection des données à caractère personnel qui est, en principe, complète (voir, en ce sens, arrêts du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 et C 469/10, EU:C:2011:777, point 29, et du 7 novembre 2013, IPI, C 473/12, EU:C:2013:715, point 31).
55 La Cour a ainsi considéré que l'article 7 de ladite directive prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite et que les États membres ne sauraient ni ajouter de nouveaux principes relatifs à la légitimation des traitements de données à caractère personnel à cet article ni prévoir des exigences supplémentaires qui viendraient modifier la portée de l'un des six principes prévus audit article (arrêts du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 et C 469/10, EU:C:2011:777, points 30 et 32, ainsi que du 19 octobre 2016, Breyer, C 582/14, EU:C:2016:779, point 57).
56 La Cour a cependant également précisé que la directive 95/46 comporte des règles qui sont relativement générales dès lors qu'elle doit s'appliquer à un grand nombre de situations très diverses. Ces règles sont caractérisées par une certaine souplesse et laissent dans de nombreux cas aux États membres le soin d'arrêter les détails ou de choisir parmi des options, de telle sorte que les États membres disposent à maints égards d'une marge de manœuvre en vue de la transposition de ladite directive (voir, en ce sens, arrêts du 6 novembre 2003, Lindqvist, C 101/01, EU:C:2003:596, points 83, 84 et 97, ainsi que du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 et C 469/10, EU:C:2011:777, point 35).
57 Il en est ainsi des articles 22 à 24 de la directive 95/46, qui, ainsi que l'a relevé M. l'avocat général au point 42 de ses conclusions, sont rédigés en termes généraux et n'opèrent pas une harmonisation exhaustive des dispositions nationales relatives aux recours juridictionnels susceptibles d'être engagés à l'égard de l'auteur présumé d'une atteinte à la protection des données à caractère personnel (voir, par analogie, arrêt du 26 octobre 2017, I, C 195/16, EU:C:2017:815, points 57 et 58).
58 En particulier, si l'article 22 de cette directive fait obligation aux États membres de prévoir que toute personne dispose d'un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement de données à caractère personnel en question, ladite directive ne contient toutefois aucune disposition régissant spécifiquement les conditions dans lesquelles ce recours peut être exercé (voir, en ce sens, arrêt du 27 septembre 2017, Pukár, C 73/16, EU:C:2017:725, points 54 et 55).
59 En outre, l'article 24 de la directive 95/46 dispose que les États membres prennent les " mesures appropriées " pour assurer la pleine application des dispositions de cette directive, sans définir de telles mesures. Or, le fait de prévoir la possibilité pour une association de défense des intérêts des consommateurs d'intenter une action en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel apparaît pouvoir constituer une mesure appropriée, au sens de cette disposition, qui contribue, ainsi qu'il a été relevé au point 51 du présent arrêt, à la réalisation des objectifs de ladite directive, conformément à la jurisprudence de la Cour (voir, à cet égard, arrêt du 6 novembre 2003, Lindqvist, C 101/01, EU:C:2003:596, point 97).
60 Par ailleurs, contrairement à ce que prétend Fashion ID, le fait pour un État membre de prévoir une telle possibilité dans sa réglementation nationale n'apparaît pas de nature à porter atteinte à l'indépendance avec laquelle les autorités de contrôle doivent exercer les missions dont elles sont investies conformément aux exigences de l'article 28 de la directive 95/46, dans la mesure où cette possibilité ne saurait affecter ni la liberté de décision de ces autorités de contrôle ni leur liberté d'action.
61 En outre, s'il est vrai que la directive 95/46 ne figure pas au nombre des actes énumérés à l'annexe I de la directive 2009/22, il n'en reste pas moins que, selon l'article 7 de cette dernière directive, celle-ci n'a pas procédé à une harmonisation exhaustive à cet égard.
62 Enfin, le fait que le règlement 2016/679, qui a abrogé et remplacé la directive 95/46 et qui s'applique depuis le 25 mai 2018, autorise expressément, à son article 80, paragraphe 2, les États membres à permettre aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel n'implique nullement que les États membres ne pouvaient leur conférer ce droit sous l'empire de la directive 95/46, mais confirme, au contraire, que l'interprétation de celle-ci retenue par le présent arrêt reflète la volonté du législateur de l'Union.
63 Eu égard à l'ensemble des considérations qui précèdent, il convient de répondre à la première question que les articles 22 à 24 de la directive 95/46 doivent être interprétés en ce sens qu'ils ne s'opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel.
Sur la deuxième question
64 Par sa deuxième question, la juridiction de renvoi demande, en substance, si le gestionnaire d'un site Internet, tel que Fashion ID, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur peut être considéré comme étant responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46, alors que ce gestionnaire n'a aucune influence sur le traitement des données ainsi transmises audit fournisseur.
65 À cet égard, il convient de rappeler que, conformément à l'objectif poursuivi par la directive 95/46 de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel, l'article 2, sous d), de cette directive définit de manière large la notion de " responsable du traitement " comme visant la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU:C:2018:388, points 26 et 27).
66 En effet, ainsi que la Cour l'a déjà jugé, l'objectif de cette disposition est d'assurer, par une définition large de la notion de " responsable ", une protection efficace et complète des personnes concernées (arrêts du 13 mai 2014, Google Spain et Google, C 131/12, EU:C:2014:317, point 34, ainsi que du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU:C:2018:388, point 28).
67 En outre, dès lors que, ainsi que le prévoit expressément l'article 2, sous d), de la directive 95/46, la notion de " responsable du traitement " vise l'organisme qui, " seul ou conjointement avec d'autres ", détermine les finalités et les moyens du traitement de données à caractère personnel, cette notion ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d'entre eux étant alors soumis aux dispositions applicables en matière de protection des données (voir, en ce sens, arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU:C:2018:388, point 29, et du 10 juillet 2018, Jehovan todistajat, C 25/17, EU:C:2018:551, point 65).
68 La Cour a également considéré qu'une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement peut être considérée comme étant responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46 (arrêt du 10 juillet 2018, Jehovan todistajat, C 25/17, EU:C:2018:551, point 68).
69 Par ailleurs, la responsabilité conjointe de plusieurs acteurs pour un même traitement, en vertu de cette disposition, ne présuppose pas que chacun d'eux ait accès aux données à caractère personnel concernées (voir, en ce sens, arrêts du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU:C:2018:388, point 38, et du 10 juillet 2018, Jehovan todistajat, C 25/17, EU:C:2018:551, point 69).
70 Cela étant, l'objectif de l'article 2, sous d), de la directive 95/46 étant d'assurer, par une définition large de la notion de " responsable ", une protection efficace et complète des personnes concernées, l'existence d'une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d'entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d'espèce (voir, en ce sens, arrêt du 10 juillet 2018, Jehovan todistajat, C 25/17, EU:C:2018:551, point 66).
71 À cet égard, il y a lieu de relever, d'une part, que l'article 2, sous b), de la directive 95/46 définit le " traitement de données à caractère personnel " comme étant " toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ".
72 Il ressort de cette définition qu'un traitement de données à caractère personnel peut être constitué d'une ou de plusieurs opérations, chacune d'entre elles visant l'un des différents stades que peut contenir un traitement de données à caractère personnel.
73 D'autre part, il découle de la définition de la notion de " responsable du traitement ", figurant à l'article 2, sous d), de la directive 95/46, telle que rappelée au point 65 du présent arrêt, que, lorsque plusieurs acteurs déterminent conjointement les finalités et les moyens d'un traitement de données à caractère personnel, ils participent, en tant que responsables, à ce traitement.
74 Il s'ensuit, ainsi que l'a relevé, en substance, M. l'avocat général au point 101 de ses conclusions, qu'une personne physique ou morale apparaît uniquement pouvoir être responsable, au sens de l'article 2, sous d), de la directive 95/46, conjointement avec d'autres, des opérations de traitement de données à caractère personnel dont elle détermine conjointement les finalités et les moyens. En revanche, et sans préjudice d'une éventuelle responsabilité civile prévue par le droit national à cet égard, cette personne physique ou morale ne saurait être considérée comme étant responsable, au sens de ladite disposition, des opérations antérieures ou postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens.
75 En l'occurrence, sous réserve des vérifications qu'il appartient à la juridiction de renvoi d'effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton " j'aime " de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d'obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d'un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu'ils aient cliqué sur le bouton " j'aime " de Facebook ou encore qu'ils aient connaissance d'une telle opération.
76 Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de " traitement à caractère personnel " figurant à l'article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet. En revanche, au regard desdites informations, il apparaît, de prime abord, exclu que Fashion ID détermine les finalités et les moyens des opérations de traitement de données à caractère personnel ultérieures, effectuées par Facebook Ireland après leur transmission à cette dernière, de sorte que Fashion ID ne saurait être considérée comme étant responsable de ces opérations, au sens de cet article 2, sous d).
77 S'agissant des moyens utilisés aux fins de la collecte et de la communication par transmission de certaines données à caractère personnel des visiteurs de son site Internet, il ressort du point 75 du présent arrêt que Fashion ID semble avoir inséré sur son site Internet le bouton " j'aime " de Facebook mis à la disposition des gestionnaires de sites Internet par Facebook Ireland, tout en étant conscient que celui-ci sert d'outil de collecte et de transmission de données à caractère personnel des visiteurs de ce site, que ceux-ci soient membres ou non du réseau social Facebook.
78 En insérant un tel module social sur son site Internet, Fashion ID influe, par ailleurs, de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs dudit site au profit du fournisseur dudit module, en l'occurrence Facebook Ireland, qui, en l'absence de l'insertion dudit module, n'auraient pas lieu.
79 Dans ces conditions et sous réserve des vérifications qu'il appartient à la juridiction de renvoi d'effectuer à cet égard, il doit être considéré que Facebook Ireland et Fashion ID déterminent conjointement les moyens à l'origine des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID.
80 Quant aux finalités desdites opérations de traitement de données à caractère personnel, il semble que l'insertion par Fashion ID du bouton " j'aime " de Facebook sur son site Internet lui permet d'optimiser la publicité pour ses produits en les rendant plus visibles sur le réseau social Facebook lorsqu'un visiteur de son site Internet clique sur ledit bouton. C'est afin de pouvoir bénéficier de cet avantage commercial consistant en une telle publicité accrue pour ses produits que Fashion ID, en insérant un tel bouton sur son site Internet, semble avoir consenti, à tout le moins implicitement, à la collecte et à la communication par transmission des données à caractère personnel des visiteurs de son site, ces opérations de traitement étant effectuées dans l'intérêt économique tant de Fashion ID que de Facebook Ireland, pour qui le fait de pouvoir disposer de ces données à ses propres fins commerciales constitue la contrepartie de l'avantage offert à Fashion ID.
81 Dans de telles circonstances, il peut être considéré, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, que Fashion ID et Facebook Ireland déterminent, conjointement, les finalités des opérations de collecte et de communication par transmission des données à caractère personnel en cause au principal.
82 De surcroît, ainsi qu'il ressort de la jurisprudence rappelée au point 69 du présent arrêt, la circonstance que le gestionnaire d'un site Internet, tel que Fashion ID, n'a pas lui-même accès aux données à caractère personnel collectées et transmises au fournisseur du module social avec lequel il détermine, conjointement, les moyens et les finalités du traitement des données à caractère personnel ne fait pas obstacle à ce qu'il puisse présenter la qualité de responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46.
83 Au demeurant, il importe de souligner qu'un site Internet, tel que celui de Fashion ID, est visité tant par des personnes qui sont membres du réseau social Facebook et qui disposent ainsi d'un compte sur ce réseau social que par ceux qui n'en disposent pas. Dans ce dernier cas, la responsabilité du gestionnaire d'un site Internet, tel que Fashion ID, à l'égard du traitement des données à caractère personnel de ces personnes apparaît encore plus importante, car la simple consultation d'un tel site, comportant le bouton " j'aime " de Facebook, semble déclencher le traitement de leurs données à caractère personnel par Facebook Ireland (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C 210/16, EU:C:2018:388, point 41).
84 Par conséquent, il apparaît que Fashion ID peut être considérée comme étant responsable, au sens de l'article 2, sous d), de la directive 95/46, conjointement avec Facebook Ireland, des opérations de collecte et de communication par transmission des données à caractère personnel des visiteurs de son site Internet.
85 Eu égard à l'ensemble des considérations qui précèdent, il convient de répondre à la deuxième question que le gestionnaire d'un site Internet, tel que Fashion ID, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l'opération ou à l'ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.
Sur la troisième question
86 Compte tenu de la réponse apportée à la deuxième question, il n'y a pas lieu de répondre à la troisième question.
Sur la quatrième question
87 Par sa quatrième question, la juridiction de renvoi demande, en substance, si, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d'un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, il convient de prendre en compte, aux fins de l'application de l'article 7, sous f), de la directive 95/46, l'intérêt légitime poursuivi par ce gestionnaire ou l'intérêt légitime poursuivi par ledit fournisseur.
88 À titre liminaire, il convient de relever que, selon la Commission, cette question n'est pas pertinente pour la résolution du litige au principal, dans la mesure où le consentement des personnes concernées, exigé par l'article 5, paragraphe 3, de la directive 2002/58, n'a pas été recueilli.
89 À cet égard, il convient de constater que l'article 5, paragraphe 3, de cette dernière directive prévoit que les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46, une information claire et complète, entre autres sur les finalités du traitement.
90 Il appartient à la juridiction de renvoi de vérifier si, dans une situation telle que celle en cause au principal, le fournisseur d'un module social, tel que Facebook Ireland, accède, comme le soutient la Commission, à des informations stockées dans l'équipement terminal, au sens de l'article 5, paragraphe 3, de la directive 2002/58, du visiteur du site Internet du gestionnaire de ce site.
91 Dans de telles circonstances et dès lors que la juridiction de renvoi semble considérer que, en l'occurrence, les données transmises à Facebook Ireland constituent des données à caractère personnel, au sens de la directive 95/46, qui par ailleurs ne se limitent pas nécessairement à des informations stockées dans l'équipement terminal, ce qu'il lui revient de confirmer, les considérations de la Commission ne permettent pas de remettre en cause la pertinence pour la résolution du litige au principal de la quatrième question préjudicielle, ayant trait à la nature éventuellement licite du traitement des données en cause au principal, ainsi que l'a également relevé M. l'avocat général au point 115 de ses conclusions.
92 Par conséquent, il y a lieu d'examiner la question de savoir quel intérêt légitime doit être pris en compte, aux fins de l'application de l'article 7, sous f), de cette directive au traitement de ces données.
93 À cet égard, il convient de rappeler d'emblée que, selon les dispositions du chapitre II de la directive 95/46, intitulé " Conditions générales de licéité des traitements de données à caractère personnel ", sous réserve des dérogations admises au titre de l'article 13 de cette directive, tout traitement de données à caractère personnel doit, notamment, répondre à l'un des principes relatifs à la légitimation des traitements de données énumérés à l'article 7 de ladite directive (voir, en ce sens, arrêts du 13 mai 2014, Google Spain et Google, C 131/12, EU:C:2014:317, point 71, ainsi que du 1er octobre 2015, Bara e.a., C 201/14, EU:C:2015:638, point 30).
94 Conformément à l'article 7, sous f), de la directive 95/46, dont l'interprétation est sollicitée par la juridiction de renvoi, le traitement de données à caractère personnel est licite s'il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er, paragraphe 1, de la directive 95/46.
95 Ledit article 7, sous f), prévoit donc trois conditions cumulatives pour qu'un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d'un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l'intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas (arrêt du 4 mai 2017, Rigas satiksme, C 13/16, EU:C:2017:336, point 28).
96 Dans la mesure où, au regard de la réponse apportée à la deuxième question, il apparaît que, dans une situation telle que celle en cause au principal, le gestionnaire d'un site Internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable, conjointement avec ce fournisseur, des opérations de traitement des données à caractère personnel des visiteurs de son site Internet que sont la collecte et la communication par transmission, il est nécessaire que chacun de ces responsables poursuive, avec ces opérations de traitement, un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.
97 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d'un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.
Sur les cinquième et sixième questions
98 Par ses cinquième et sixième questions, qu'il convient d'examiner ensemble, la juridiction de renvoi cherche à savoir, en substance, d'une part, si l'article 2, sous h), et l'article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d'un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel dudit visiteur, le consentement visé à ces dispositions doit être recueilli par ledit gestionnaire ou par ce fournisseur et, d'autre part, si l'article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l'obligation d'information prévue par cette disposition pèse sur ce gestionnaire.
99 Ainsi qu'il résulte de la réponse apportée à la deuxième question, le gestionnaire d'un site Internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel dudit visiteur peut être considéré comme étant responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46, cette responsabilité étant cependant limitée à l'opération ou à l'ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens.
100 Il apparaît ainsi que les obligations pouvant incomber, conformément à la directive 95/46, à ce responsable du traitement, telles que l'obligation de recueillir le consentement de la personne concernée visé à l'article 2, sous h), et à l'article 7, sous a), de cette directive, ainsi que l'obligation d'information prévue à l'article 10 de celle-ci, doivent concerner l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens.
101 En l'occurrence, si le gestionnaire d'un site Internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel dudit visiteur peut être considéré comme étant responsable, conjointement avec ce fournisseur, des opérations de collecte et de communication par transmission des données à caractère personnel de ce visiteur, son obligation de recueillir le consentement de la personne concernée visé à l'article 2, sous h), et à l'article 7, sous a), de la directive 95/46 ainsi que son obligation d'information prévue à l'article 10 de celle-ci concernent ces seules opérations. En revanche, ces obligations ne s'étendent pas aux opérations de traitement des données à caractère personnel visant les autres stades, antérieurs ou postérieurs auxdites opérations, qu'implique, le cas échéant, le traitement de données à caractère personnel en cause.
102 S'agissant du consentement visé à l'article 2, sous h), et à l'article 7, sous a), de la directive 95/46, il apparaît que celui-ci doit être donné préalablement à la collecte et à la communication par transmission des données de la personne concernée. Dans ces conditions, il incombe au gestionnaire du site Internet, et non au fournisseur du module social, de recueillir ce consentement, dans la mesure où c'est le fait pour un visiteur de consulter ce site Internet qui déclenche le processus de traitement des données à caractère personnel. En effet, ainsi que l'a relevé M. l'avocat général au point 132 de ses conclusions, il ne serait pas conforme à une protection efficace et en temps utile des droits de la personne concernée que le consentement ne soit donné qu'au seul responsable conjoint du traitement intervenant ultérieurement, à savoir au fournisseur dudit module. Le consentement devant être donné au gestionnaire concerne toutefois uniquement l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont ce gestionnaire détermine effectivement les finalités et les moyens.
103 Il en va de même en ce qui concerne l'obligation d'information prévue à l'article 10 de la directive 95/46.
104 Il ressort à cet égard du libellé de cette disposition que le responsable du traitement ou son représentant doit fournir au moins les informations visées par ladite disposition à la personne auprès de laquelle il collecte des données. Il apparaît ainsi que cette information doit être donnée par le responsable du traitement immédiatement, à savoir au moment de la collecte des données (voir, en ce sens, arrêts du 7 mai 2009, Rijkeboer, C 553/07, EU:C:2009:293, point 68, et du 7 novembre 2013, IPI, C 473/12, EU:C:2013:715, point 23).
105 Il s'ensuit que, dans une situation telle que celle en cause au principal, l'obligation d'information prévue à l'article 10 de la directive 95/46 pèse également sur le gestionnaire du site Internet, l'information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont ce gestionnaire détermine effectivement les finalités et les moyens.
106 Eu égard aux considérations qui précèdent, il convient de répondre aux cinquième et sixième questions que l'article 2, sous h), et l'article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d'un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l'article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l'obligation d'information prévue par cette disposition pèse également sur ledit gestionnaire, l'information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.
Sur les dépens
107 La procédure revêtant, à l'égard des parties au principal, le caractère d'un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l'objet d'un remboursement.
Par ces motifs, la Cour (deuxième chambre) dit pour droit :
1) Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu'ils ne s'opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel.
2) Le gestionnaire d'un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l'article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l'opération ou à l'ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.
3) Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d'un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.
4) L'article 2, sous h), et l'article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d'un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l'article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l'obligation d'information prévue par cette disposition pèse également sur ledit gestionnaire, l'information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l'opération ou l'ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.