Saisie d’un renvoi préjudiciel par le Bundesverwaltungsgericht (Allemagne), la Cour de justice de l’Union européenne a interprété, le 5 juin dernier, les articles 2, 4 et 28 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Wirtschaftakademie Schleswig-Holstein, aff. C-210/16). Dans l’affaire au principal, la requérante, une société spécialisée dans le domaine de l’éducation, offre des services de formation au moyen d’une page fan hébergée sur le site du réseau social Facebook. L’utilisation de cookiesde connexion sur de telles pages permet à ses administrateurs d’obtenir des statistiques d’audience. L’autorité en charge de la protection des données locale, l’ULD, a ordonné à la requérante de désactiver la page fan qu’elle avait créée, au motif qu’elle n’informait pas les visiteurs de la page que leurs données personnelles étaient collectées. Saisie dans ce contexte, la juridiction de renvoi a interrogé la Cour sur les points de savoir si l’administrateur d’une page fan hébergée sur un réseau social doit être considéré comme englobé dans la notion de « responsable du traitement » des données, quelle autorité de contrôle est compétente dans une situation où le réseau social dispose de plusieurs établissements sur le territoire de l’Union européenne et si les autorités de contrôle peuvent exercer de manière autonome les unes des autres leurs compétences en matière d’appréciation de légalité et d’exercice de leurs pouvoirs d’intervention. Tout d’abord, rappelant que la notion de « responsable du traitement » doit être interprétée largement, la Cour considère que celle-ci peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données. Si Facebook Ireland doit être regardé comme déterminant, à titre principal, les finalités et les moyens du traitement des données à caractère personnel des personnes visitant les pages fan, la Cour juge que l’administrateur d’une telle page contribue à déterminer les finalités et les moyens de ce traitement. La création de celle-ci implique une action de paramétrage qui influe sur le traitement des données. Partant, l’administrateur en cause doit être qualifié de responsable de ce traitement. Ensuite, la Cour considère qu’il découle des articles 4 et 28 §1 de la directive que 2 conditions doivent être réunies afin que l’autorité de contrôle puisse exercer les pouvoirs qui lui sont conférés par le droit national, à savoir qu’il s’agisse d’un établissement du responsable du traitement et que le traitement soit effectué dans le cadre des activités de cet établissement. La Cour estime que la 1ère condition est remplie. S’agissant de la 2nde condition, elle rappelle que l’établissement de Facebook en Allemagne est destiné à assurer la promotion et la vente d’espaces publicitaires, activités indissociablement liées au traitement des données à caractère personnel en cause. Dès lors, le droit allemand est le droit applicable et l’autorité allemande est compétente pour mettre en œuvre l’ensemble des pouvoirs dont elle dispose en vertu des dispositions nationales. Enfin, la Cour juge que la directive ne prévoit aucun critère de priorité régissant l’intervention des autorités de contrôle les unes par rapport aux autres. Partant, l’ULD est habilitée à apprécier de manière autonome par rapport aux évaluations effectuées par l’autorité de contrôle irlandaise la légalité du traitement de données en cause au principal. (JJ)