Accueil " Blog " Le RGPD rencontre l'ISS : Comment les tribunaux interprètent les rôles de responsable du traitement des données

Blog
Le RGPD rencontre l'ISS : Comment les tribunaux interprètent les rôles de responsable du traitement des donnéesLe RGPD rencontre l'ISS : Comment les tribunaux interprètent les rôles de responsable du traitement des données">

Le RGPD rencontre l'ISS : Comment les tribunaux interprètent les rôles de responsable du traitement des données

Alexandra Blake, Key-g.com
par 
Alexandra Blake, Key-g.com
5 minutes de lecture
Conseil juridique
avril 14, 2025

The intersection of the General Data Protection Regulation (GDPR) and Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a contrôleur as the entity that determines the purposes and means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users and third-party content providers, the lines of responsibility blur.

Recent case law from the Court of Justice of the European Union (CJEU) has significantly expanded the interpretation of joint controllership, placing new obligations on platform operators, website owners, and service providers engaged in collaborative data processing. Below, we explore key judgments and their implications for platform accountability.

Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

Key Findings:

  • Even though the page administrator could not access personal data directly, the CJEU found that it influenced the purposes and means of data processing by configuring the page and selecting target demographics.
  • The decision introduced a broad and functional definition of joint controllership, emphasizing actual influence over data use, not just access.

Implications:

  • Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
  • ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

Fashion ID Case (C-40/17): Social Plugins and Shared Responsibility

In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

Key Findings:

  • The operator of a website is a joint controller for the collection and transmission of personal data (such as IP addresses and browser information) to Facebook.
  • The operator is pas a controller for subsequent processing carried out solely by Facebook.

Implications:

  • This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
  • Websites using embedded tools must disclose data transfers in their privacy notices and, where required, obtain valid consent for third-party data collection.

Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

Although not focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

Key Findings:

  • The religious community and individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
  • The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

Implications pour l'ISS :

  • Les plateformes et les affiliés qui collaborent, même de manière informelle, sur la collecte de données des utilisateurs peuvent être tenus conjointement responsables.
  • Les structures de traitement informelles ou décentralisées le font n'exonère pas les entités des obligations de contrôle conjoint.

Bundeskartellamt c. Meta (Affaire T-201/22) : Quand la concurrence rencontre le RGPD

Bien qu'elle soit encore en cours de développement judiciaire, l'affaire de l'autorité allemande de la concurrence contre Facebook (maintenant Meta) remet en question le collecte excessive de données pratiques dans les deux cas RGPD et droit de la concurrence. La CJUE devra clarifier si domination de la plateforme et consentement de l'utilisateur interagir dans le respect des principes de protection des données.

Tendance émergente :

  • Les tribunaux et les organismes de réglementation traitent de plus en plus suivi à l'échelle de la plateforme et consolidation des données entre les services comme potentiellement abusifs ou illégaux lorsqu'ils ne sont pas accompagnés d'un consentement éclairé et librement donné.

Points clés pour les fournisseurs de SSI

  1. Évaluez la coresponsabilité de manière proactive
    Toute collaboration impliquant des outils, des plugins ou des fonctionnalités d'analyse partagés peut créer des responsabilités communes. Formalisez les accords et clarifiez les rôles par le biais de contrats et de politiques de confidentialité.
  2. Phases du traitement des segments
    La responsabilité peut s'appliquer uniquement à certaines étapes du traitement. Indiquez clairement où votre organisation initie ou contribue à la collecte et au transfert de données.
  3. Renforcer la transparence et les mécanismes de consentement
    Intégrez-vous des outils tiers ? Divulguez-les de manière visible et obtenez le consentement de l’utilisateur lorsque la loi l’exige, en particulier pour le marketing et le profilage.
  4. Mettre en œuvre les accords de contrôle conjoint (ACC)
    En vertu de l'article 26 du RGPD, les responsables conjoints du traitement doivent établir un Accord de Responsables Conjoints du Traitement, en attribuant des responsabilités et en fournissant un point de contact pour les personnes concernées.
  5. Suivre les développements juridiques au-delà de la protection des données
    Les questions de co-responsabilité du traitement croisent désormais le droit de la concurrence, la protection des consommateurs et la réglementation des plateformes. Restez informé des tendances juridiques générales affectant les services numériques.

Conclusion

La jurisprudence évolutive de la CJUE a fermement établi que Les services de la société de l'information peuvent partager les responsabilités de contrôle avec les opérateurs de sites web, les partenaires et même les utilisateurs, en fonction de la nature de l'interaction des données. Pour les conseillers juridiques et les équipes de conformité, il ne suffit plus de classer une plateforme comme un hôte neutre. L'influence réelle sur la manière dont les données sont collectées et utilisées est désormais le facteur décisif.

Alors que l'environnement réglementaire devient de plus en plus complexe avec la loi sur les services numériques, le règlement sur la vie privée en ligne et l'application continue du RGPD, les fournisseurs de services SSI doivent adopter un approche exhaustive et documentée à la gouvernance des données et aux responsabilités du contrôleur.

Besoin d'aide pour examiner vos relations de traitement de données ou pour rédiger des accords de co-responsabilité conformes au RGPD ? Notre équipe de protection des données conseille les plateformes et les fournisseurs de services numériques dans toute l'UE sur la structuration de pratiques de données licites et transparentes. Contactez-nous pour une consultation.

fr_FR Français
fr_FR Français en_GB English (UK) ru_RU Русский de_DE Deutsch pl_PL Polski it_IT Italiano el Ελληνικά tr_TR Türkçe ko_KR 한국어 zh_CN 简体中文 ja 日本語 uk Українська sk_SK Slovenčina ro_RO Română nl_NL Nederlands pt_PT Português sv_SE Svenska fi Suomi cs_CZ Čeština es_ES Español ar العربية