HOTĂRÂREA CURȚII (Camera a doua)

29 iulie 2019 ( *1 )

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Directiva 95/46/CE – Articolul 2 litera (d) – Noțiunea de «operator» – Administrator al unui site internet care a inclus în acesta un modul social care permite ca datele cu caracter personal ale vizitatorului acestui site să îi fie comunicate furnizorului modulului menționat – Articolul 7 litera (f) – Legitimitatea prelucrării datelor – Luarea în considerare a interesului administratorului site‑ului internet sau a celui al furnizorului modulului social – Articolul 2 litera (h) și articolul 7 litera (a) – Consimțământul persoanei vizate – Articolul 10 – Informarea persoanei vizate – Reglementare națională care permite asociațiilor pentru protecția intereselor consumatorilor să introducă acțiuni în justiție”

În cauza C‑40/17,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania), prin decizia din 19 ianuarie 2017, primită de Curte la 26 ianuarie 2017, în procedura

Fashion ID GmbH & Co. KG

împotriva

Verbraucherzentrale NRW eV,

cu participarea:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen,

CURTEA (Camera a doua),

compusă din domnul K. Lenaerts, președintele Curții, îndeplinind funcția de președinte al Camerei a doua, doamnele A. Prechal și C. Toader și domnii A. Rosas (raportor) și M. Ilešič, judecători,

avocat general: domnul M. Bobek,

grefier: domnul D. Dittert, șef de unitate,

având în vedere procedura scrisă și în urma ședinței din 6 septembrie 2018,

luând în considerare observațiile prezentate:

pentru Fashion ID GmbH & Co. KG, de C.‑M. Althaus și de J. Nebel, Rechtsanwälte;

pentru Verbraucherzentrale NRW eV, de K. Kruse, de C. Rempe și de S. Meyer, Rechtsanwälte;

pentru Facebook Ireland Ltd, de H.‑G. Kamann, de C. Schwedler și de M. Braun, Rechtsanwälte, și de I. Perego, avvocatessa;

pentru Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen, de U. Merger, în calitate de agent;

pentru guvernul german, inițial de T. Henze și de J. Möller și ulterior de J. Möller, în calitate de agenți;

pentru guvernul belgian, de P. Cottin și de L. Van den Broeck, în calitate de agenți;

pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de P. Gentili, avvocato dello Stato;

pentru guvernul austriac, inițial de C. Pesendorfer și ulterior de G. Kunnert, în calitate de agenți;

pentru guvernul polonez, de B. Majczyna, în calitate de agent;

pentru Comisia Europeană, de H. Krämer și de H. Kranenborg, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 19 decembrie 2018,

pronunță prezenta

Hotărâre

1

Cererea de decizie preliminară privește interpretarea articolelor 2, 7, 10 și 22-24 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

2

Această cerere a fost formulată în cadrul unui litigiu între Fashion ID GmbH & Co. KG, pe de o parte, și Verbraucherzentrale NRW eV, pe de altă parte, cu privire la inserarea, de către Fashion ID, a unui modul social al Facebook Ireland Ltd pe site‑ul internet al celei dintâi.

Cadrul juridic

Dreptul Uniunii

3

Directiva 95/46 a fost abrogată și înlocuită, cu efect de la 25 mai 2018, prin Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (JO 2016, L 119, p. 1). Cu toate acestea, având în vedere data faptelor din litigiul principal, directiva menționată este aplicabilă acestui litigiu.

4

Considerentul (10) al Directivei 95/46 are următorul cuprins:

„[Î]ntrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția Europeană pentru apărarea drepturilor omului și a libertăților fundamentale, cât și în principiile generale ale dreptului [Uniunii]; întrucât, din acest motiv, apropierea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în [Uniune];”

5

Articolul 1 din Directiva 95/46 prevede:

„(1)   Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(2)   Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).”

6

Articolul 2 din această directivă prevede:

„În sensul prezentei directive:

(a)

«date cu caracter personal» înseamnă orice informație […] referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;

(b)

«prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

[…]

(d)

«operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin acte cu putere de lege sau norme administrative interne sau [ale Uniunii], operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul intern sau [al Uniunii];

[…]

(f)

«terț» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;

(g)

«destinatar» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele, indiferent dacă este sau nu terț; cu toate acestea, autoritățile cărora li se comunică date în cadrul unei anumite anchete nu trebuie să fie considerate destinatari;

(h)

«consimțământul persoanei vizate» înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.”

7

Articolul 7 din directiva menționată prevede:

„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

(a)

persoana vizată și‑a dat consimțământul neechivoc sau

[…]

(f)

prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1).”

8

Potrivit articolului 10 din aceeași directivă, intitulat „Informațiile în cazurile de colectare a datelor de la persoana vizată”:

„Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a)

identitatea operatorului și, dacă este cazul, a reprezentantului;

(b)

scopul prelucrării căreia îi sunt destinate datele;

(c)

orice alte informații suplimentare, cum ar fi:

destinatarii sau categoriile de destinatari ai datelor;

dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;

existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.”

9

Articolul 22 din Directiva 95/46 are următorul cuprins:

„Fără să aducă atingere oricărei căi administrative de atac care poate fi prevăzută, inter alia, în fața autorității de supraveghere menționate la articolul 28, anterior sesizării autorității judecătorești, statele membre prevăd dreptul oricărei persoane la o cale atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză.”

10

Articolul 23 din această directivă prevede:

„(1)   Statele membre prevăd că orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acțiuni incompatibile cu dispozițiile de drept intern adoptate în temeiul prezentei directive are dreptul să obțină reparații de la operator pentru prejudiciul suferit.

(2)   Operatorul poate fi exonerat de răspundere total sau parțial dacă dovedește că nu îi este imputabilă fapta care a provocat prejudiciul.”

11

Articolul 24 din directiva menționată prevede:

„Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor prezentei directive și, în special, stabilește sancțiunile care urmează să fie aplicate în caz de încălcare a dispozițiilor adoptate în temeiul prezentei directive.”

12

Articolul 28 din aceeași directivă prevede:

„(1)   Fiecare stat membru prevede [ca] una sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive.

Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite.

[…]

(3)   Fiecare autoritate este, în special, investită cu:

[…]

competența de a acționa în justiție, în cazul încălcării dispozițiilor de drept intern adoptate în temeiul prezentei directive sau de a sesiza autoritățile judecătorești asupra acestor încălcări.

[…]

(4)   Fiecare autoritate de supraveghere poate fi sesizată de orice persoană sau de orice asociație care o reprezintă printr‑o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal. Persoana vizată este informată despre soluția dată plângerii sale.

[…]”

13

Articolul 5 alineatul (3) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11, Ediție specială, 13/vol. 36, p. 63) (denumită în continuare „Directiva 2002/58”), prevede:

„Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.”

14

Articolul 1 alineatul (1) din Directiva 2009/22/CE a Parlamentului European și a Consiliului din 23 aprilie 2009 privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor (JO 2009, L 110, p. 30), astfel cum a fost modificată prin Regulamentul (UE) nr. 524/2013 al Parlamentului European și al Consiliului din 21 mai 2013 (JO 2013, L 165, p. 1) (denumită în continuare „Directiva 2009/22”), prevede:

„Scopul prezentei directive este de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre cu privire la acțiunile în încetare menționate la articolul 2, vizând protejarea intereselor colective ale consumatorilor incluse în actele Uniunii enumerate în anexa I, în vederea asigurării unei bune funcționări a pieței interne.”

15

Articolul 2 din această directivă prevede:

„(1)   Statele membre desemnează instanțele judecătorești sau autoritățile administrative competente să decidă asupra acțiunilor introduse de entitățile calificate în sensul articolului 3, vizând:

(a)

încetarea sau interzicerea oricărei încălcări, cu toată diligența necesară și, după caz, în cadrul unei proceduri de urgență;

[…]”

16

Articolul 7 din directiva menționată prevede:

„Prezenta directivă nu împiedică statele membre să adopte sau să mențină în vigoare dispoziții menite să acorde unor entități calificate și oricăror alte persoane interesate o capacitate de acțiune mai extinsă la nivel național.”

17

Articolul 80 din Regulamentul 2016/679 are următorul cuprins:

„(1)   Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.

(2)   Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”

Dreptul german

18

Articolul 3 alineatul (1) din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale), în versiunea aplicabilă litigiului principal (denumită în continuare „UWG”), prevede:

„Se interzic practicile comerciale neloiale.”

19

Articolul 3a din UWG are următorul cuprins:

„Constituie concurență neloială încălcarea de către o persoană a unei dispoziții legale adoptate cu scopul să reglementeze, în interesul operatorilor economici, comportamentul pe piață în măsura în care încălcarea în cauză afectează considerabil interesele consumatorilor, ale altor operatori economici sau ale concurenților.”

20

Articolul 8 din UWG prevede:

„(1)   Orice practică comercială nelegală în temeiul articolului 3 sau al articolului 7 poate duce la o somație de încetare imediată (eliminare) și, în caz de risc de recidivă, la o somație de încetare pentru viitor (abținere). Dreptul la încetarea pentru viitor (abținere) ia naștere din momentul în care există un risc de încălcare a articolelor 3 sau 7.

[…]

(3)   Sunt titulari ai drepturilor conferite la alineatul (1):

[…]

3. entitățile calificate, care dovedesc înscrierea pe lista entităților calificate prevăzută la articolul 4 din Unterlassungsklagegesetz [(Legea privind acțiunea în încetare)] sau pe lista Comisiei Europene prevăzută la articolul 4 alineatul (3) din Directiva [2009/22];

[…]”

21

Articolul 2 din Legea privind acțiunea în încetare prevede:

„(1)   Orice încălcare a dispozițiilor care vizează protecția consumatorilor (legile privind protecția consumatorilor), în alt mod decât cu ocazia aplicării sau a recomandării condițiilor generale de vânzare, poate face obiectul unei somații de încetare pentru viitor și de încetare imediată în interesul protecției consumatorilor. […]

(2)   În sensul prezentei dispoziții, legile privind protecția consumatorilor înseamnă:

[…]

11. normele care definesc legitimitatea

(a)

colectării de către un profesionist a datelor cu caracter personal ale unui consumator sau

(b)

prelucrării sau al utilizării de către un profesionist a datelor cu caracter personal care au fost colectate cu privire la un consumator,

dacă datele sunt colectate, prelucrate sau utilizate în scopuri publicitare, pentru studii de piață și sondaje de opinie, pentru operarea unui serviciu de informații, în vederea creării profilelor de personalitate și de utilizare, a comerțului cu adrese, a comerțului cu date sau în alte scopuri comerciale similare.”

22

Articolul 12 alineatul (1) din Telemediengesetz (Legea privind comunicațiile electronice, denumită în continuare „TMG”) are următorul cuprins:

„Furnizorul de servicii poate colecta și utiliza datele cu caracter personal pentru furnizarea serviciilor de comunicații electronice numai dacă acest lucru este permis în temeiul prezentei legi sau al altor dispoziții care fac referire în mod expres la serviciile respective sau dacă utilizatorul și‑a dat consimțământul în acest sens.”

23

Articolul 13 alineatul (1) din TMG prevede:

„La începutul operațiunii de utilizare, furnizorul de servicii trebuie să informeze utilizatorul într‑o formă ușor de înțeles despre felul, volumul și scopul colectării și utilizării datelor cu caracter personal, precum și cu privire la prelucrarea datelor sale în statele aflate în afara domeniului de aplicare al Directivei [95/46], în măsura în care nu a avut loc deja o asemenea informare. În cazul unei operațiuni automatizate care permite identificarea ulterioară a utilizatorului și care pregătește o colectare sau o utilizare a datelor cu caracter personal, utilizatorul trebuie informat la începutul acestei operațiuni. Conținutul informării trebuie să fie permanent accesibil pentru utilizator.”

24

Articolul 15 alineatul (1) din TMG prevede:

„Furnizorul de servicii poate colecta și utiliza datele cu caracter personal ale unui utilizator numai în măsura în care este necesar pentru a permite și a factura utilizarea serviciilor de comunicații electronice (datele de utilizare). Datele de utilizare sunt în special:

1.   elementele de identificare a utilizatorului,

2.   informațiile privind începutul și sfârșitul fiecărei utilizări, precum și întinderea acesteia și

3.   informațiile privind mijloacele de comunicații electronice folosite de utilizator.”

Litigiul principal și întrebările preliminare

25

Fashion ID, întreprindere care comercializează online articole de modă, a inserat pe site‑ul său internet modulul social „îmi place” al rețelei sociale Facebook (denumit în continuare „butonul «îmi place» al Facebook”).

26

Din decizia de trimitere reiese că o caracteristică specifică internetului este că permite browser‑ului vizitatorului unui site internet să prezinte conținuturi din diferite surse. Astfel, de exemplu, fotografii, videoclipuri, știri, precum și butonul „îmi place” al Facebook pot fi legate de un site internet și să figureze pe acesta. În cazul în care administratorul unui site internet dorește să insereze un astfel de conținut extern, el include pe pagina sa de internet un link către conținutul extern. Când browser‑ul vizitatorului site‑ului menționat deschide acest link, acesta solicită conținutul extern și îl introduce în locul dorit al afișajului site‑ului. În acest scop, browser‑ul comunică serverului furnizorului extern adresa IP a computerului vizitatorului menționat, precum și datele tehnice ale browser‑ului pentru ca serverul să poată determina formatul în care conținutul este livrat la această adresă. Browser‑ul comunică în plus informații cu privire la conținutul dorit. Administratorul unui site internet care propune un conținut extern integrându‑l pe acest site nu poate determina datele pe care browser‑ul le transmite și nici ce face furnizorul extern cu aceste date, în special dacă acesta decide să le stocheze sau să le exploateze.

27

În ceea ce privește, în special, butonul „îmi place” al Facebook, din decizia de trimitere pare să reiasă că, atunci când un vizitator consultă site‑ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt, ca urmare a faptului că acest site integrează butonul menționat, transmise societății Facebook Ireland. Se pare că această transmitere se efectuează fără ca vizitatorul menționat să fie conștient de ea și indiferent dacă acesta este membru al rețelei Facebook sau a clicat pe butonul „îmi place” al Facebook.

28

Verbraucherzentrale NRW, asociație de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site‑ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

29

Verbraucherzentrale NRW a introdus o acțiune în încetare la Landgericht Düsseldorf (Tribunalul Regional din Düsseldorf, Germania) împotriva societății Fashion ID pentru ca aceasta din urmă să pună capăt acestei practici.

30

Prin decizia din 9 martie 2016, Landgericht Düsseldorf (Tribunalul Regional din Düsseldorf) a admis în parte cererile Verbraucherzentrale NRW, după ce i‑a recunoscut acesteia calitatea procesuală activă în temeiul articolului 8 alineatul (3) punctul 3 din UWG.

31

Fashion ID a atacat această decizie la Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania), instanța de trimitere. Facebook Ireland a intervenit în acest apel în susținerea Fashion ID. Verbraucherzentrale NRW a formulat, la rândul său, un apel incident prin care solicită extinderea condamnării societății Fashion ID pronunțate în primă instanță.

32

În fața instanței de trimitere, Fashion ID susține că decizia Landgericht Düsseldorf (Tribunalul Regional din Düsseldorf) nu este compatibilă cu Directiva 95/46.

33

Pe de o parte, Fashion ID pretinde că articolele 22-24 din directiva menționată nu preconizează căi de atac decât în favoarea persoanelor vizate de prelucrarea datelor cu caracter personal și a autorităților competente. În consecință, acțiunea în justiție formulată de Verbraucherzentrale NRW nu ar fi admisibilă din cauza faptului că această asociație nu are calitate procesuală activă în cadrul Directivei 95/46.

34

Pe de altă parte, Fashion ID consideră că Landgericht Düsseldorf (Tribunalul Regional din Düsseldorf) a reținut în mod eronat că ea era operator, în sensul articolului 2 litera (d) din Directiva 95/46, în măsura în care nu are nicio influență asupra datelor transmise de browser‑ul vizitatorului site‑ului său internet și nici, eventual, asupra modului în care Facebook Ireland le va utiliza.

35

Instanța de trimitere are, mai întâi, îndoieli în privința faptului dacă Directiva 95/46 autorizează asociațiile de utilitate publică să exercite o acțiune în justiție pentru apărarea intereselor persoanelor vătămate. Aceasta este de părere că articolul 24 din această directivă nu împiedică asociațiile să stea în judecată din moment ce, potrivit acestui articol, statele membre adoptă „măsuri adecvate” pentru a asigura aplicarea integrală a directivei menționate. Astfel, instanța de trimitere consideră că o reglementare națională care permite asociațiilor să introducă acțiuni în justiție în interesul consumatorilor ar putea constitui o asemenea măsură adecvată.

36

Instanța menționată arată, în această privință, că articolul 80 alineatul (2) din Regulamentul 2016/679, care a abrogat și înlocuit Directiva 95/46, autorizează expres acțiunea în justiție introdusă de o asemenea asociație, ceea ce ar tinde să confirme că această din urmă directivă nu se opune unei asemenea acțiuni.

37

Aceasta se întreabă, pe de altă parte, dacă administratorul unui site internet precum Fashion ID, care integrează în acest site un modul social care permite colectarea de date cu caracter personal, poate fi considerat operator, în sensul articolului 2 litera (d) din Directiva 95/46, în condițiile în care acesta nu are nicio influență asupra prelucrării datelor transmise furnizorului modulului respectiv. Instanța de trimitere face referire în această privință la cauza în care s‑a pronunțat Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), care privea o întrebare similară.

38

În subsidiar, în cazul în care Fashion ID nu ar trebui considerată operator, instanța de trimitere se întreabă dacă această directivă reglementează în mod exhaustiv noțiunea menționată, astfel încât ea se opune unei reglementări naționale care prevede răspunderea civilă pentru fapta unui terț în cazul încălcării dreptului la protecția datelor. Astfel, instanța de trimitere afirmă că ar fi posibil să se aibă în vedere răspunderea Fashion ID în temeiul acestui drept național, în calitate de „perturbator” („Störer”).

39

În cazul în care Fashion ID ar trebui considerată operator sau ar răspunde, în orice caz, în calitate de „perturbator”, de eventualele încălcări ale protecției datelor săvârșite de Facebook Ireland, instanța de trimitere ridică problema dacă prelucrarea datelor cu caracter personal în discuție în litigiul principal este legitimă și dacă obligația de a informa persoana vizată în temeiul articolului 10 din Directiva 95/46 revenea societății Fashion ID sau societății Facebook Ireland.

40

Astfel, pe de o parte, având în vedere condițiile legitimității prelucrării datelor, astfel cum sunt prevăzute la articolul 7 litera (f) din Directiva 95/46, instanța de trimitere se întreabă dacă, într‑o situație precum cea în discuție în litigiul principal, trebuie luat în considerare interesul legitim al administratorului site‑ului internet sau cel al furnizorului modulului social.

41

Pe de altă parte, instanța menționată se întreabă cui revin obligațiile de obținere a consimțământului și de informare a persoanelor vizate de prelucrarea datelor cu caracter personal într‑o situație precum cea în discuție în litigiul principal. Instanța de trimitere consideră că aspectul de a ști cui îi revine obligația de a informa persoanele vizate, astfel cum este prevăzută la articolul 10 din Directiva 95/46, are o importanță deosebită, întrucât orice inserare de conținuturi externe pe un site internet conduce, în principiu, la o prelucrare de date cu caracter personal, ale cărei întindere și scop nu sunt însă cunoscute de cel care efectuează inserarea acestui conținut, și anume administratorul site‑ului internet respectiv. El nu ar putea, din acest motiv, să ofere informația datorată, dacă este obligat să o facă, astfel încât a impune acestui administrator obligația de a informa persoana vizată ar conduce în practică la interzicerea inserării de conținuturi externe.

42

În aceste condiții, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)

Dispozițiile articolelor 22, 23 și 24 din Directiva [95/46] se opun unei reglementări naționale care, pe lângă dreptul de intervenție al autorităților de protecție a datelor și căile de atac ale persoanei afectate, recunoaște, în cazul unei încălcări, asociațiilor fără scop lucrativ de protecție a intereselor consumatorilor dreptul la acțiune împotriva autorului încălcării?

În cazul unui răspuns negativ la prima întrebare:

2)

Într‑un caz precum cel din speță, în care o persoană inserează un cod de programare în site‑ul său internet care permite browser‑ului utilizatorului să solicite conținuturi de la un terț și să transmită în acest scop date cu caracter personal către acest terț, persoana care inserează codul este «operator» în sensul articolului 2 litera (d) din Directiva [95/46], în cazul în care această persoană nu poate influența ea însăși respectiva operațiune de prelucrare a datelor?

3)

În cazul unui răspuns negativ la cea de a doua întrebare: articolul 2 litera (d) din Directiva [95/46] trebuie interpretat în sensul că reglementează exhaustiv răspunderea în așa fel încât se opune introducerii unei acțiuni civile împotriva unui terț care, cu toate că nu este «operator», este la originea operațiunii de prelucrare a datelor fără să o influențeze?

4)

Cui îi aparțin «interesele legitime» care trebuie luate în considerare într‑o situație precum cea din speță în cadrul unei examinări comparative a intereselor conform articolului 7 litera (f) din Directiva [95/46]? Trebuie luat în considerare interesul privind inserarea conținuturilor unor terți sau interesul terțului?

5)

Cui trebuie să îi fie dat consimțământul prevăzut la articolul 7 litera (a) și la articolul 2 litera (h) din Directiva [95/46] într‑o situație precum cea din speță?

6)

Obligația de informare a persoanei vizate, prevăzută la articolul 10 din Directiva [95/46], revine, într‑o situație precum cea din speță, și administratorului site‑ului internet care a inserat conținutul unui terț, determinând astfel prelucrarea datelor cu caracter personal de către un terț?”

Cu privire la întrebările preliminare

Cu privire la prima întrebare

43

Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolele 22-24 din Directiva 95/46 trebuie interpretate în sensul că se opun unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal.

44

Cu titlu introductiv, trebuie amintit că, potrivit articolului 22 din Directiva 95/46, statele membre prevăd dreptul oricărei persoane la o cale atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză.

45

Articolul 28 alineatul (3) al treilea paragraf din Directiva 95/46 prevede că o autoritate de supraveghere învestită, conform articolului 28 alineatul (1) din această directivă, cu supravegherea aplicării, pe teritoriul statului membru în cauză, a dispozițiilor adoptate de acesta în temeiul directivei menționate are, printre altele, competența de a acționa în justiție în cazul încălcării dispozițiilor de drept intern adoptate în temeiul aceleiași directive sau de a sesiza autoritățile judecătorești cu privire la aceste încălcări.

46

În ceea ce privește articolul 28 alineatul (4) din Directiva 95/46, acesta prevede că o autoritate de supraveghere poate fi sesizată de orice asociație care reprezintă o persoană vizată, în sensul articolului 2 litera (a) din această directivă, cu o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal.

47

Cu toate acestea, nicio dispoziție a directivei menționate nu impune statelor membre obligația de a prevedea – și nici nu le abilitează expres să prevadă – în dreptul lor național posibilitatea unei asociații de a reprezenta în justiție o asemenea persoană sau de a formula din proprie inițiativă o acțiune în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal.

48

Din aceasta nu rezultă însă că Directiva 95/46 se opune unei reglementări naționale care permite asociației pentru apărarea intereselor consumatorilor să acționeze în justiție împotriva autorului prezumat al unei asemenea atingeri.

49

Astfel, în temeiul articolului 288 al treilea paragraf TFUE, statele membre au obligația să asigure efectul deplin al unei directive cu ocazia transpunerii acesteia, dispunând în același timp de o marjă de apreciere considerabilă în alegerea căilor și a mijloacelor destinate să asigure punerea sa în aplicare. Această libertate nu afectează obligația fiecăruia dintre statele membre destinatare de a adopta toate măsurile necesare pentru a asigura efectul deplin al directivei vizate, conform obiectivului pe care aceasta îl urmărește (Hotărârea din 6 octombrie 2010, Base și alții, C‑389/08, EU:C:2010:584, punctele 24 și 25, precum și Hotărârea din 22 februarie 2018, Porras Guisado, C‑103/16, EU:C:2018:99, punctul 57).

50

În această privință, trebuie amintit că unul dintre obiectivele fundamentale ale Directivei 95/46 este de a asigura protejarea eficientă și completă a drepturilor și a libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 53, precum și Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctul 38). Considerentul (10) al acesteia precizează că apropierea legislațiilor naționale aplicabile în materie nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în Uniune (Hotărârea din 6 noiembrie 2003, Lindqvist, C‑101/01, EU:C:2003:596, punctul 95, Hotărârea din 16 decembrie 2008, Huber, C‑524/06, EU:C:2008:724, punctul 50, și Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 28).

51

Or, prevederea de către un stat membru în legislația sa națională a posibilității unei asociații pentru apărarea intereselor consumatorilor de a introduce o acțiune în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal nu este nicidecum de natură să dăuneze obiectivelor acesteia, ci contribuie, dimpotrivă, la realizarea acestor obiective.

52

Fashion ID și Facebook Ireland susțin însă că, în măsura în care Directiva 95/46 a procedat la o armonizare completă a dispozițiilor naționale referitoare la protecția datelor, ar fi exclusă orice acțiune în justiție neprevăzută expres de aceasta. Or, articolele 22, 23 și 28 din Directiva 95/46 s‑ar limita la a prevedea acțiunea persoanelor vizate și pe cea a autorităților de supraveghere a protecției datelor.

53

Această argumentație nu poate fi însă reținută.

54

Este cert că Directiva 95/46 realizează o armonizare a legislațiilor naționale referitoare la protecția datelor cu caracter personal care este, în principiu, completă (a se vedea în acest sens Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 29, și Hotărârea din 7 noiembrie 2013, IPI, C‑473/12, EU:C:2013:715, punctul 31).

55

Curtea a considerat astfel că articolul 7 din directiva menționată prevede o listă exhaustivă și limitativă de cazuri în care o prelucrare de date cu caracter personal poate fi considerată legitimă și că statele membre nu pot nici să adauge principii noi privind legitimarea prelucrărilor de date cu caracter personal la acest articol, nici să prevadă cerințe suplimentare care să modifice conținutul unuia dintre cele șase principii prevăzute la articolul menționat (Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 și C‑469/10, EU:C:2011:777, punctele 30 și 32, precum și Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 57).

56

Curtea a precizat însă de asemenea că Directiva 95/46 cuprinde norme care sunt relativ generale din moment ce ea trebuie să se aplice unui număr mare de situații foarte diverse. Aceste norme se caracterizează printr‑o anumită suplețe și lasă în multe cazuri statelor membre sarcina de a stabili detaliile sau de a alege dintre opțiuni, astfel încât statele membre dispun în multe privințe de o marjă de manevră în vederea transpunerii directivei menționate (a se vedea în acest sens Hotărârea din 6 noiembrie 2003, Lindqvist, C‑101/01, EU:C:2003:596, punctele 83, 84 și 97, precum și Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 35).

57

Astfel stau lucrurile cu articolele 22-24 din Directiva 95/46, care, după cum a arătat domnul avocat general la punctul 42 din concluziile sale, sunt formulate în termeni generali și nu efectuează o armonizare exhaustivă a dispozițiilor naționale referitoare la căile de atac în justiție susceptibile să fie inițiate împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal (a se vedea prin analogie Hotărârea din 26 octombrie 2017, I, C‑195/16, EU:C:2017:815, punctele 57 și 58).

58

În special, deși articolul 22 din această directivă obligă statele membre să prevadă dreptul oricărei persoane la o cale de atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării datelor cu caracter personal în cauză, directiva menționată nu conține totuși nicio dispoziție care să reglementeze în mod specific condițiile în care această cale de atac poate fi exercitată (a se vedea în acest sens Hotărârea din 27 septembrie 2017, Puškár, C‑73/16, EU:C:2017:725, punctele 54 și 55).

59

În plus, articolul 24 din Directiva 95/46 prevede că statele membre adoptă „măsurile adecvate” pentru a asigura aplicarea integrală a dispozițiilor acestei directive, fără a defini asemenea măsuri. Or, prevederea posibilității unei asociații pentru apărarea intereselor consumatorilor de a introduce o acțiune în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal pare să constituie o măsură adecvată, în sensul acestei dispoziții, care contribuie, astfel cum s‑a arătat la punctul 51 din prezenta hotărâre, la realizarea obiectivelor directivei menționate, conform jurisprudenței Curții (a se vedea în această privință Hotărârea din 6 noiembrie 2003, Lindqvist, C‑101/01, EU:C:2003:596, punctul 97).

60

Pe de altă parte, contrar celor pretinse de Fashion ID, prevederea de către un stat membru a unei asemenea posibilități în legislația sa națională nu pare să fie de natură să aducă atingere independenței cu care autoritățile de supraveghere trebuie să își desfășoare misiunile cu care sunt învestite în conformitate cu cerințele prevăzute la articolul 28 din Directiva 95/46, în măsura în care această posibilitate nu poate afecta nici libertatea de decizie a acestor autorități de supraveghere, nici libertatea lor de acțiune.

61

În plus, deși este adevărat că Directiva 95/46 nu se numără printre actele enumerate în anexa I la Directiva 2009/22, nu este mai puțin adevărat că, potrivit articolului 7 din această directivă, ea nu a realizat o armonizare exhaustivă în această privință.

62

În sfârșit, faptul că Regulamentul 2016/679, care a abrogat și a înlocuit Directiva 95/46 și care se aplică de la 25 mai 2018, autorizează expres, la articolul 80 alineatul (2), statele membre să permită asociațiilor pentru apărarea intereselor consumatorilor să acționeze în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal nu înseamnă nicidecum că statele membre nu le puteau conferi acest drept sub imperiul Directivei 95/46, ci confirmă, dimpotrivă, că interpretarea acesteia reținută în prezenta hotărâre reflectă voința legiuitorului Uniunii.

63

Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la prima întrebare că articolele 22-24 din Directiva 95/46 trebuie interpretate în sensul că nu se opun unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal.

Cu privire la a doua întrebare

64

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă administratorul unui site internet precum Fashion ID, care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, poate fi considerat operator, în sensul articolului 2 litera (d) din Directiva 95/46, în condițiile în care acest administrator nu are nicio influență asupra prelucrării datelor astfel transmise furnizorului menționat.

65

În această privință, trebuie amintit că, potrivit obiectivului urmărit de Directiva 95/46, de garantare a unui nivel ridicat de protecție a drepturilor și a libertăților fundamentale ale persoanelor fizice, în special a dreptului la viață privată, în privința prelucrării datelor cu caracter personal, articolul 2 litera (d) din această directivă definește în mod larg noțiunea de „operator” ca vizând persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal (a se vedea în acest sens Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctele 26 și 27).

66

Astfel, după cum Curtea a statuat deja, obiectivul acestei dispoziții este asigurarea, printr‑o definiție largă a noțiunii de „operator”, a unei protecții eficiente și complete a persoanelor în cauză (Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 34, precum și Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 28).

67

În plus, de vreme ce, astfel cum prevede expres articolul 2 litera (d) din Directiva 95/46, noțiunea de „operator” vizează organismul care, „singur sau împreună cu altele”, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal, această noțiune nu face trimitere în mod necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare, fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor (a se vedea în acest sens Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 29, și Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 65).

68

Curtea a considerat de asemenea că o persoană fizică sau juridică ce influențează, în scopuri proprii, prelucrarea datelor cu caracter personal și participă, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor prelucrării respective poate fi considerată operator în sensul articolului 2 litera (d) din Directiva 95/46 (Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 68).

69

Pe de altă parte, responsabilitatea comună a mai multor actori pentru aceeași prelucrare, în temeiul acestei dispoziții, nu presupune ca fiecare dintre aceștia să aibă acces la datele cu caracter personal vizate (a se vedea în acest sens Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 38, și Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 69).

70

În aceste condiții, întrucât obiectivul articolului 2 litera (d) din Directiva 95/46 este asigurarea, printr‑o definire largă a noțiunii de „operator”, a unei protecții eficiente și complete a persoanelor în cauză, existența unei responsabilități comune nu înseamnă în mod necesar o răspundere echivalentă a diferitor actori pentru aceeași prelucrare a datelor cu caracter personal. Dimpotrivă, acești actori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere a fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței (a se vedea în acest sens Hotărârea din 10 iulie 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punctul 66).

71

În această privință, este necesar să se arate, pe de o parte, că articolul 2 litera (b) din Directiva 95/46 definește „prelucrarea datelor cu caracter personal” ca fiind „orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea”.

72

Din această definiție reiese că o prelucrare de date cu caracter personal poate să fie constituită din una sau din mai multe operațiuni, fiecare dintre acestea vizând una dintre diversele etape pe care le poate cuprinde o prelucrare de date cu caracter personal.

73

Pe de altă parte, din definiția noțiunii de „operator”, care figurează la articolul 2 litera (d) din Directiva 95/46, astfel cum a fost amintită la punctul 65 din prezenta hotărâre, rezultă că, atunci când mai mulți actori stabilesc împreună scopurile și mijloacele unei prelucrări de date cu caracter personal, ei participă, în calitate de operatori, la această prelucrare.

74

Rezultă, astfel cum a arătat în esență domnul avocat general la punctul 101 din concluziile sale, că o persoană fizică sau juridică poate fi operator, în sensul articolului 2, litera (d) din Directiva 95/46, împreună cu alții numai în privința operațiunilor de prelucrare de date cu caracter personal cărora le stabilește în comun scopurile sau mijloacele. În schimb și fără a aduce atingere unei eventuale responsabilități civile prevăzute de dreptul național în această privință, această persoană fizică sau juridică nu poate fi considerată operator, în sensul dispoziției menționate, în privința unor operațiuni anterioare sau ulterioare din lanțul de prelucrare cărora nu le stabilește nici scopurile, nici mijloacele.

75

În speță, sub rezerva unor verificări a căror efectuare este de competența instanței de trimitere, din dosarul de care dispune Curtea reiese că, prin inserarea pe site‑ul său internet a butonului „îmi place” al Facebook, Fashion ID pare să fi oferit societății Facebook Ireland posibilitatea de a obține date cu caracter personal ale vizitatorilor site‑ului său internet, o asemenea posibilitate fiind declanșată încă din momentul consultării unui asemenea site, și aceasta indiferent dacă vizitatorii sunt membri ai rețelei sociale Facebook, dacă au clicat pe butonul „îmi place” al Facebook sau dacă au cunoștință despre o asemenea operațiune.

76

Ținând seama de aceste informații, trebuie să se constate că operațiunile de prelucrare de date cu caracter personal cărora Fashion ID este susceptibilă să le stabilească, împreună cu Facebook Ireland, scopurile și mijloacele sunt, în lumina definiției noțiunii de „prelucrare cu caracter personal” care figurează la articolul 2 litera (b) din Directiva 95/46, colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site‑ului său internet. În schimb, în raport cu informațiile menționate, pare, la prima vedere, exclus ca Fashion ID să stabilească scopurile și mijloacele operațiunilor de prelucrare de date cu caracter personal ulterioare, efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă, astfel încât Fashion ID nu poate fi considerată operator în raport cu aceste operațiuni, în sensul acestui articol 2 litera (d).

77

În ceea ce privește mijloacele utilizate pentru colectarea și pentru dezvăluirea prin transmitere a anumitor date cu caracter personal ale vizitatorilor site‑ului său internet, reiese din cuprinsul punctului 75 din prezenta hotărâre că Fashion ID pare să fi inserat pe site‑ul său internet butonul „îmi place” al Facebook, pus la dispoziția administratorilor de site‑uri internet de Facebook Ireland, fiind conștientă că acesta servește drept instrument de colectare și de transmitere a unor date cu caracter personal ale vizitatorilor acestui site, indiferent dacă aceștia sunt sau nu membri ai rețelei Facebook.

78

Prin inserarea unui astfel de modul social pe site‑ul său internet, Fashion ID influențează, pe de altă parte, în mod decisiv colectarea și transmiterea datelor cu caracter personal ale vizitatorilor site‑ului menționat în favoarea furnizorului respectivului modul, în speță Facebook Ireland, care, în absența inserării modulului menționat, nu ar fi avut loc.

79

În aceste condiții și sub rezerva verificărilor în această privință pe care instanța de trimitere are sarcina să le efectueze, trebuie să se considere că Facebook Ireland și Fashion ID stabilesc împreună mijloacele aflate la originea operațiunilor de colectare și de dezvăluire prin transmitere a datelor cu caracter personal ale vizitatorilor site‑ului internet al Fashion ID.

80

În ceea ce privește scopurile respectivelor operațiuni de prelucrare de date cu caracter personal, se pare că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe site‑ul său internet îi permite să optimizeze publicitatea pentru produsele sale și le face mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site‑ului său internet clichează pe butonul respectiv. Se pare că tocmai pentru a putea beneficia de acest avantaj comercial crescut pentru produsele sale, prin inserarea unui asemenea buton pe site‑ul său internet Fashion ID, și‑ar fi dat consimțământul, cel puțin implicit, pentru colectarea și pentru dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site‑ului său, aceste operațiuni de prelucrare fiind efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

81

În asemenea împrejurări, se poate considera, sub rezerva verificărilor pe care instanța de trimitere are sarcina să le efectueze, că Fashion ID și Facebook Ireland stabilesc, împreună, scopurile operațiunilor de colectare și de dezvăluire prin transmitere a datelor cu caracter personal în discuție în litigiul principal.

82

În plus, astfel cum reiese din jurisprudența amintită la punctul 69 din prezenta hotărâre, împrejurarea că administratorul unui site internet precum Fashion ID nu are el însuși acces la datele cu caracter personal colectate și transmise furnizorului modulului social împreună cu care stabilește mijloacele și scopurile prelucrării datelor cu caracter personal nu se opune posibilității ca acesta să aibă calitatea de operator în sensul articolului 2 litera (d) din Directiva 95/46.

83

În fond, trebuie subliniat că un site internet precum cel al societății Fashion ID este vizitat atât de persoane care sunt membre ale rețelei sociale Facebook și care dispun astfel de un cont în această rețea, cât și de cei care nu dispun de un asemenea cont. În acest din urmă caz, răspunderea administratorului unui site internet precum Fashion ID, în privința prelucrării datelor cu caracter personal ale acestor persoane, pare și mai importantă, întrucât simpla consultare a unui asemenea site, care conține butonul „îmi place” al Facebook, pare să declanșeze prelucrarea datelor lor cu caracter personal de către Facebook Ireland (a se vedea în acest sens Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, punctul 41).

84

Rezultă, așadar, că Fashion ID poate fi considerată operator, în sensul articolului 2 litera (d) din Directiva 95/46, împreună cu Facebook Ireland, în privința operațiunilor de colectare și de dezvăluire prin transmitere a datelor cu caracter personal ale vizitatorilor site‑ului său internet.

85

Având în vedere ansamblul considerațiilor care precedă, trebuie să se răspundă la a doua întrebare că administratorul unui site internet precum Fashion ID, care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, poate fi considerat operator, în sensul articolului 2 litera (d) din Directiva 95/46. Această calitate de operator este însă limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele, și anume colectarea și dezvăluirea prin transmitere a datelor în cauză.

Cu privire la a treia întrebare

86

Având în vedere răspunsul dat la a doua întrebare, nu este necesar să se răspundă la a treia întrebare.

Cu privire la a patra întrebare

87

Prin intermediul celei de a patra întrebări, instanța de trimitere solicită în esență să se stabilească dacă, într‑o situație precum cea în discuție în litigiul principal, în care administratorul unui site internet inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, trebuie luat în considerare, în scopul aplicării articolului 7 litera (f) din Directiva 95/46, interesul legitim urmărit de acest administrator sau interesul legitim urmărit de furnizorul menționat.

88

Cu titlu introductiv, trebuie arătat că, potrivit Comisiei, această întrebare nu este pertinentă pentru soluționarea litigiului principal, în măsura în care consimțământul persoanelor vizate, impus de articolul 5 alineatul (3) din Directiva 2002/58, nu a fost obținut.

89

În această privință, trebuie să se constate că articolul 5 alineatul (3) din această din urmă directivă prevede că statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46, inter alia, cu privire la scopurile prelucrării.

90

Revine instanței de trimitere sarcina să verifice dacă, într‑o situație precum cea în discuție în litigiul principal, furnizorul unui modul social cum este Facebook Ireland are acces, astfel cum susține Comisia, la informații stocate în echipamentul terminal, în sensul articolului 5 alineatul (3) din Directiva 2002/58, al vizitatorului site‑ului internet al administratorului acestui site.

91

În aceste împrejurări și din moment ce instanța de trimitere pare să considere că, în speță, datele transmise către Facebook Ireland constituie date cu caracter personal, în sensul Directivei 95/46, care, pe de altă parte, nu se limitează în mod necesar la informații stocate în echipamentul terminal, aspect a cărui confirmare este de competența acestei instanțe de trimitere, considerațiile Comisiei nu permit să se repună în discuție pertinența pentru soluționarea litigiului a celei de a patra întrebări preliminare, care privește natura eventual legală a prelucrării datelor în discuție în litigiul principal, astfel cum a arătat și domnul avocat general la punctul 115 din concluziile sale.

92

În consecință, este necesar să se examineze care interes legitim trebuie luat în considerare în scopul aplicării articolului 7 litera (f) din această directivă prelucrării acestor date.

93

În această privință, trebuie amintit de la bun început că, potrivit dispozițiilor capitolului II din Directiva 95/46, intitulat „Condițiile generale de legalitate a prelucrării datelor cu caracter personal”, sub rezerva derogărilor permise în temeiul articolului 13 din această directivă, orice prelucrare a datelor cu caracter personal trebuie, printre altele, să respecte unul dintre criteriile privind legitimitatea prelucrării datelor, enumerate la articolul 7 din directiva menționată (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 71, precum și Hotărârea din 1 octombrie 2015, Bara și alții, C‑201/14, EU:C:2015:638, punctul 30).

94

Conform articolului 7 litera (f) din Directiva 95/46, a cărui interpretare este solicitată de instanța de trimitere, prelucrarea datelor cu caracter personal este legală dacă prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1) din Directiva 95/46.

95

Acest articol 7 litera (f) din Directiva 95/46 prevede, așadar, trei condiții cumulative pentru ca o prelucrare a unor date cu caracter personal să fie legală, și anume, în primul rând, urmărirea unui interes legitim de către operator sau de către terțul sau terții cărora le sunt comunicate datele, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca acest interes să nu prejudicieze drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor (Hotărârea din 4 mai 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punctul 28).

96

În măsura în care, având în vedere răspunsul dat la a doua întrebare, rezultă că, într‑o situație precum cea în discuție în litigiul principal, administratorul unui site internet care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului poate fi considerat operator, împreună cu acest furnizor, în privința operațiunilor de prelucrare a datelor cu caracter personal ale vizitatorilor site‑ului său internet reprezentate de colectarea și de dezvăluirea prin transmitere, este necesar ca fiecare dintre acești operatori să urmărească, prin intermediul acestor operațiuni de prelucrare, un interes legitim, în sensul articolului 7 litera (f) din Directiva 95/46, pentru ca acestea să fie justificate în ceea ce îl privește.

97

Având în vedere considerațiile care precedă, este necesar să se răspundă la a patra întrebare că, într‑o situație precum cea în discuție în litigiul principal, în care administratorul unui site internet inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, este necesar ca acest administrator și acest furnizor să urmărească, fiecare, prin intermediul acestor operațiuni de prelucrare, un interes legitim, în sensul articolului 7 litera (f) din Directiva 95/46, pentru ca acestea să fie justificate în ceea ce îl privește.

Cu privire la a cincea și la a șasea întrebare

98

Prin intermediul celei de a cincea și al celei de a șasea întrebări, care trebuie analizate împreună, instanța de trimitere urmărește să afle în esență, pe de o parte, dacă articolul 2 litera (h) și articolul 7 litera (a) din Directiva 95/46 trebuie interpretate în sensul că, într‑o situație precum cea în discuție în litigiul principal, în care administratorul unui site internet inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului respectiv, consimțământul prevăzut de aceste dispoziții trebuie să fie obținut de administratorul menționat sau de acest furnizor și, pe de altă parte, dacă articolul 10 din această directivă trebuie interpretat în sensul că, într‑o astfel de situație, obligația de informare prevăzută de această dispoziție incumbă acestui administrator.

99

Astfel cum rezultă din răspunsul dat la a doua întrebare, administratorul unui site internet care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop respectivului furnizor date cu caracter personal ale acestui vizitator poate fi considerat operator, în sensul articolului 2 litera (d) din Directiva 95/46, această calitate de operator fiind însă limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele.

100

Rezultă astfel că obligațiile care îi pot reveni, în conformitate cu Directiva 95/46, acestui operator, cum ar fi obligația de a obține consimțământul persoanei vizate prevăzut la articolul 2 litera (h) și la articolul 7 litera (a) din această directivă, precum și obligația de informare prevăzută la articolul 10 din aceasta, trebuie să privească operațiunea sau ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele.

101

În speță, dacă administratorul unui site internet care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului respectiv poate fi considerat operator, împreună cu acest furnizor, în privința operațiunilor de colectare și de dezvăluire prin transmitere a datelor cu caracter personal ale acestui vizitator, obligația sa de a obține consimțământul persoanei vizate prevăzut la articolul 2 litera (h) și la articolul 7 litera (a) din Directiva 95/46, precum și obligația sa de informare prevăzută la articolul 10 din aceasta privesc numai aceste operațiuni. În schimb, aceste obligații nu se extind la operațiunile de prelucrare a datelor cu caracter personal care vizează celelalte stadii, anterioare sau ulterioare operațiunilor menționate, pe care le implică, eventual, prelucrarea de date cu caracter personal în cauză.

102

În ceea ce privește consimțământul prevăzut la articolul 2 litera (h) și la articolul 7 litera (a) din Directiva 95/46, rezultă că acesta trebuie dat anterior colectării și dezvăluirii prin transmitere a datelor persoanei vizate. În aceste condiții, administratorul site‑ului internet, iar nu furnizorul modulului social este cel căruia îi revine sarcina obținerii acestui consimțământ, în măsura în care vizitarea acestui site internet de către un vizitator este cea care declanșează procesul de prelucrare a datelor cu caracter personal. Astfel, după cum a arătat avocatul general la punctul 132 din concluziile sale, nu s‑ar respecta cerința unei protecții eficace și în timp util a drepturilor persoanei vizate dacă consimțământul ar fi dat numai operatorului asociat care intervine ulterior, și anume furnizorului modulului menționat. Consimțământul care trebuie dat administratorului privește însă numai operațiunea sau ansamblul de operațiuni de prelucrare de date cu caracter personal cărora acest administrator le stabilește efectiv scopurile și mijloacele.

103

Acest lucru este valabil și în ceea ce privește obligația de informare prevăzută la articolul 10 din Directiva 95/46.

104

În această privință, din modul de redactare a acestei dispoziții reiese că operatorul sau reprezentantul său trebuie să furnizeze cel puțin informațiile prevăzute de dispoziția menționată persoanei de la care colectează date. Rezultă astfel că această informație trebuie dată de operator imediat, și anume la momentul colectării datelor (a se vedea în acest sens Hotărârea din 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, punctul 68, și Hotărârea din 7 noiembrie 2013, IPI, C‑473/12, EU:C:2013:715, punctul 23).

105

În consecință, într‑o situație precum cea în discuție în litigiul principal, obligația de informare prevăzută la articolul 10 din Directiva 95/46 incumbă de asemenea administratorului site‑ului internet, informația pe care acesta are obligația să o furnizeze persoanei vizate netrebuind să privească însă decât operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora acest administrator le stabilește efectiv scopurile și mijloacele.

106

Având în vedere considerațiile care precedă, trebuie să se răspundă la a cincea și la a șasea întrebare că articolul 2 litera (h) și articolul 7 litera (a) din Directiva 95/46 trebuie interpretate în sensul că, într‑o situație precum cea în discuție în litigiul principal, în care administratorul unui site internet inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, consimțământul prevăzut de aceste dispoziții trebuie să fie obținut de acest administrator numai în ceea ce privește operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora administratorul menționat le stabilește scopurile și mijloacele. În plus, articolul 10 din această directivă trebuie interpretat în sensul că, într‑o astfel de situație, obligația de informare prevăzută de această dispoziție incumbă și administratorului menționat, informația pe care acesta din urmă are obligația să o furnizeze persoanei vizate netrebuind să privească însă decât operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora el le stabilește scopurile și mijloacele.

Cu privire la cheltuielile de judecată

107

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

 

Pentru aceste motive, Curtea (Camera a doua) declară:

 

1)

Articolele 22-24 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date trebuie interpretate în sensul că nu se opun unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal.

 

2)

Administratorul unui site internet precum Fashion ID GmnH & Co. KG, care inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, poate fi considerat operator, în sensul articolului 2 litera (d) din Directiva 95/46. Această calitate de operator este însă limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal cărora el le stabilește efectiv scopurile și mijloacele, și anume colectarea și dezvăluirea prin transmitere a datelor în cauză.

 

3)

Într‑o situație precum cea în discuție în litigiul principal, în care administratorul unui site internet inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, este necesar ca acest administrator și acest vizitator să urmărească, fiecare, prin intermediul acestor operațiuni de prelucrare, un interes legitim, în sensul articolului 7 litera (f) din Directiva 95/46, pentru ca acestea să fie justificate în ceea ce îl privește.

 

4)

Articolul 2 litera (h) și articolul 7 litera (a) din Directiva 95/46 trebuie interpretate în sensul că, într‑o situație precum cea în discuție în litigiul principal, în care administratorul unui site internet inserează pe site‑ul menționat un modul social care permite browser‑ului vizitatorului acestui site să solicite conținuturi de la furnizorul modulului menționat și să transmită în acest scop acestui furnizor date cu caracter personal ale vizitatorului, consimțământul prevăzut de aceste dispoziții trebuie să fie obținut de acest administrator numai în ceea ce privește operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora administratorul menționat le stabilește scopurile și mijloacele. În plus, articolul 10 din această directivă trebuie interpretat în sensul că, într‑o astfel de situație, obligația de informare prevăzută de această dispoziție incumbă și administratorului menționat, informația pe care acesta din urmă are obligația să o furnizeze persoanei vizate netrebuind să privească însă decât operațiunea sau ansamblul de operațiuni de prelucrare a datelor cu caracter personal cărora el le stabilește scopurile și mijloacele.

 

Semnături


( *1 ) Limba de procedură: germana.