Collecte des données personnelles : l’affirmation d’une responsabilité conjointe du gestionnaire d’un site Internet et d’un réseau social, commentaire de la décision Fashion ID rendue par la CJUE le 29 juillet 2019 (par Mathilde Rigault)
Résumé : la décision Fashion ID rendue par la CJUE le 29 juillet 2019 ouvre la possibilité d’une responsabilité conjointe d’un gestionnaire de site Internet et du réseau social Facebook. Les faits de l’espèce impliquaient un gestionnaire de site Internet qui avait inséré sur son site le module social « J’aime » de Facebook, avait collecté des données à caractère personnel des visiteurs de son site sans requérir leur consentement, et les avait transmises au réseau social. Par cette pratique, le gestionnaire de site Internet bénéficiait d’avantages commerciaux. Une telle coresponsabilité pourrait conduire à une meilleure protection des données à caractère personnel de l’internaute, pourtant cette protection reste lacunaire.
***
Dans une société où Internet occupe une place de plus en plus importante et où les informations circulent à la vitesse de la lumière, les données à caractère personnel et leur protection représentent un enjeu juridique majeur. En effet, ces données fournies par les utilisateurs de sites Internet ont acquis une valeur économique et sont exploitées entre autres à des fins de marketing. En conséquence, de nombreux sites Internet sont tentés de s’associer à des réseaux sociaux en leur transférant de telles données, afin de percevoir des bénéfices. C’est le cas notamment de Fashion ID, société allemande de vente de vêtements en ligne enregistrée à Düsseldorf. Elle avait inséré sur son site Internet le bouton « J’aime » de Facebook, et transmettait ainsi au réseau social des données à caractère personnel de ses visiteurs. Cette transmission était opérée sans requérir leur consentement, et indépendamment du fait que ceux-ci aient cliqué sur ledit bouton, ou qu’ils soient membres de Facebook. Bien que n’ayant aucune influence sur le traitement futur de ces données par Facebook, la société Fashion ID bénéficiait d’avantages : le réseau social valorisait ses produits via le fil d’actualités Facebook. Une association allemande de défense des droits des consommateurs, la Verbraucherzentrale NRW, a intenté devant le Landesgericht de Düsseldorf une action en cessation de ces pratiques contre Fashion ID. Cette juridiction a condamné la société pour concurrence déloyale sur le fondement du § 3a de l’UWG[1], dans un arrêt rendu le 9 mars 2016[2]. Fashion ID a fait appel de cette décision devant l’Oberlandesgericht de Düsseldorf, lequel a opéré un renvoi préjudiciel devant la Cour de justice de l’Union européenne, en la questionnant sur plusieurs dispositions de la directive 95/46/CE[3]. Cette directive était applicable aux faits, bien qu’elle ait été abrogée à l’entrée en vigueur du RGPD le 25 mai 2018. Cet arrêt a établi la responsabilité conjointe du site Internet et du réseau social, concernant la collecte de données personnelles des utilisateurs du site Internet auquel était inséré le bouton « J’aime » de Facebook. Cette notion de responsabilité conjointe est assez inédite, bien que déjà prévue dans la législation européenne[4], et mise en œuvre entre autres par l’arrêt Wirtschaftsakademie rendu par la CJUE le 5 juin 2018[5]. La Cour soulève de nombreux éléments dans sa décision Fashion ID : la protection des données personnelles, la responsabilité des éditeurs de sites Internet, le consentement des internautes, la compétence d’une association à agir en justice.
La coresponsabilité d’un site Internet et d’un réseau social établie dans l’arrêt Fashion ID conduit-elle à une meilleure protection des données à caractère personnel de l’internaute ? Nous comparerons les positions des systèmes juridiques français et allemand sur la question. Ces systèmes convergent vers une réponse similaire, dans la mesure où la majorité des règles encadrant la protection des données personnelles proviennent de la législation européenne qui s’impose à eux. Cependant, des nuances sont à saisir dans leurs applications domestiques de ce droit européen. La solution apportée par cet arrêt semble être en faveur de l’internaute, par une large interprétation des notions sur lesquelles elle repose, interprétation similaire aux législations françaises et allemandes (I). Néanmoins, cette décision laisse encore des questions sans réponse, notamment l’engagement de la responsabilité du réseau social : cela nuit à la protection des données personnelles de l’utilisateur, qui est plus encadrée dans la législation française (II).
I- Une interprétation large des notions en faveur de l’internaute
A- L’adresse IP, une donnée à caractère personnel ?
La collecte et le transfert de données à caractère personnel sont au cœur de cette affaire. Mais quelle était la donnée à caractère personnel en question ? Etant donné que chaque internaute visite le site via le navigateur d’un ordinateur ou d’un smartphone, il peut être identifié par son adresse IP. Il s’agit du numéro qui permet d’identifier un ordinateur sur le réseau Internet. Pourtant, le statut juridique de l’adresse IP a été sujet à de nombreuses controverses aussi bien en droit européen, français qu’allemand. N’étant pas interrogée sur une telle qualification, la CJUE ne la discute pas dans sa décision. Il semble néanmoins essentiel d’aborder la question. Peut-on considérer l’adresse IP comme une donnée à caractère personnel, dans la mesure où il est délicat d’attribuer cette série de chiffres à une personne physique ? En droit européen, constitue une donnée à caractère personnel toute information concernant une personne physique identifiée ou identifiable, l’identification étant possible directement (éléments spécifiques propres à son identité) ou indirectement (par référence à un numéro d’identification)[6]. Il a été établi par le juge communautaire que l’adresse IP est une donnée à caractère personnel dans les arrêts Promusicae du 29 janvier 2008 de la CJCE[7], et Patrick Breyer contre Bundesrepublik Deutschland, rendu par la CJUE le 19 octobre 2016[8]. La directive 2002/58/CE considère l’adresse IP comme une donnée à caractère personnel électronique[9].
En droit français, le statut juridique de l’adresse IP a fait débat. Dans deux arrêts de la Cour d’appel de Paris rendus les 27 avril et 15 mai 2007[10], l’adresse IP n’est pas considérée comme une donnée à caractère personnel puisqu’elle ne permet pas d’identifier la personne qui a utilisé l’ordinateur, mais seulement la personne qui possède l’ordinateur. Dans l’arrêt de la Cour de Cassation rendu le 3 novembre 2016[11], une acceptation large de la notion de donnée à caractère personnel est cependant opérée par cette juridiction, en conformité avec l’arrêt de la CJUE rendu peu de temps auparavant ; ainsi le régime de la donnée à caractère personnel est appliqué à l’adresse IP. Concernant le droit allemand, le Bundesgerichtshof s’est définitivement aligné sur la position européenne dans un arrêt rendu le 16 mai 2017[12] en considérant l’adresse IP comme une donnée à caractère personnel.
Puisque l’adresse IP est une donnée à caractère personnel, elle doit bénéficier d’une protection efficace. La Cour interprète alors largement la notion de responsable de traitement afin de protéger davantage l’internaute.
B- Une responsabilité de traitement in solidum également suivie par le RGPD
Le responsable du traitement des données détermine les finalités et les moyens du traitement des données à caractère personnel d’après la directive 95/46/CE[13]. Cette hypothèse de qualifier de responsable de traitement le gestionnaire de site Internet au regard de cette directive est d’ailleurs la seconde des questions préjudicielles posées à la Cour par l’Oberlandesgericht de Düsseldorf, dans la mesure où « ce gestionnaire n’a aucune influence sur le traitement des données ainsi transmises audit fournisseur » (pt. 64). La directive prévoit explicitement l’hypothèse d’une responsabilité conjointe dans son article 2 d)[14]. La CJUE a auparavant suivi cette hypothèse dans l’arrêt Wirtschaftsakademie[15] rendu le 5 juin 2018. Elle a considéré, dans un contexte impliquant uniquement le réseau social Facebook, que l’administrateur d’une page Facebook pouvait être considéré comme coresponsable de traitement, puisqu’en exploitant cette page, le réseau social lui fournissait des statistiques lui permettant de gérer et de stimuler son activité.
Dans l’arrêt Fashion ID, la Cour retient cette même évaluation : la détermination des bénéficiaires du traitement des données établit le statut de responsable de traitement. Elle établit que Fashion ID bénéficiait d’un avantage commercial en transférant des données à Facebook : le réseau social optimisait la publicité pour ses produits (pt. 80). Le RGPD retient une définition du responsable de traitement similaire à celle de la directive 95/46/CE, à l’article 4 alinéa 7[16]. La responsabilité in solidum acquiert son propre régime à l’article 26 de ce règlement. Le troisième alinéa de l’article 26 autorise la personne concernée à « exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ». Le responsable de traitement a en outre pour but de mettre en œuvre les finalités du RGPD, à savoir la protection des données. Dans un arrêt rendu le 11 septembre 2019, l’Amtsgericht de Manheim applique strictement cette notion de responsabilité in solidum de l’article 26 du RGPD dans le cadre d’un conflit entre des propriétaires et des gérants de copropriété[17].
En déterminant qu’il est possible qu’il y ait plusieurs responsables de traitement conformément à l’article 2 d) de la directive 95/46/CE, la Cour offre une protection supplémentaire aux utilisateurs de sites Internet, puisque l’ensemble des acteurs qui maîtrisent leurs données à caractère personnel est ainsi concerné. La Cour suit ainsi la règle déterminée par le RGPD. Il est très positif que les utilisateurs de sites Internet aient la possibilité d’attaquer aussi bien le gestionnaire du site Internet que le réseau social concernant le traitement de leurs données personnelles.
C- La nécessité d’un « double consentement »
Le consentement des utilisateurs quant à la collecte de leurs données à caractère personnel est une mesure de protection indispensable. La directive 95/46/CE a adopté une définition large du consentement dans son article 2 h)[18] : elle n’exige pas que la personne concernée donne son consentement par un acte obligatoirement positif. Le RGPD s’avère plus protecteur de l’internaute en évoquant l’obligation d’un « acte positif clair » dans son article 4 11). Concernant le droit allemand, le § 13 (2) al. 1 de la Telemediengesetz cite un consentement « de manière consciente et claire ». Dans l’arrêt rendu par le Landesgericht de Düsseldorf le 9 mars 2016[19], le consentement est saisi de manière plus précise : une action positive de la part de l’utilisateur est nécessaire, comme par exemple cocher une case. Le consentement doit précéder le traitement de données et ne peut être obtenu ultérieurement. Concernant le droit français, la Loi Informatiques et Libertés[20] renvoie à la définition du RGPD. De plus, en droit civil français, en principe, le silence ne vaut pas acceptation d’une offre de contracter. Malgré l’imprécision de la notion de consentement dans la directive 95/46/CE, la Cour l’interprète de façon à protéger l’internaute.
La CJUE détermine qu’il incombe au gestionnaire du site Internet, et non au réseau social, de recueillir le consentement des utilisateurs puisque c’est la consultation du site Internet qui déclenche le processus de traitement des données (pt 106). Néanmoins, la Cour limite la responsabilité du gestionnaire du site Internet au fait d’exiger le consentement de l’utilisateur à « l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens »[21]. L’article 10 de la Directive 95/46/CE[22] démontre que le responsable de traitement doit informer la personne concernée « des finalités de traitement auxquelles ses données sont exposées », ainsi que « les destinataires ou les catégories de destinataires des données ».
Or, en l’espèce, Fashion ID détermine seulement les moyens et les finalités de la collecte des données à caractère personnel. La société transfère ces données à Facebook, mais leur traitement est opéré par le réseau social sans qu’elle en connaisse la nature. Ainsi, on peut se demander à qui incombe l’obligation de recueillir le consentement des utilisateurs du site Internet et de les informer concernant le traitement de leurs données, conformément à l’article 10 de la Directive 95/46/CE. En effet, Fashion ID n’y est pas contraint, puisque la société ne traite pas ces données, mais les collecte et les transfère à Facebook. Un vide juridique semble subsister : l’utilisateur bénéficierait d’une protection de ses données à caractère personnel via le consentement, mais elle ne serait que partielle, puisque relative uniquement à la collecte de ses données par Fashion ID. En effet, l’internaute resterait insuffisamment renseigné sur le traitement futur de ses données par Facebook. Le RGPD a étendu l’obligation d’« informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée »[23] en exigeant des informations plus précises de la part du responsable de traitement, sans toutefois résoudre ce problème. Afin de protéger l’utilisateur, étendre l’obligation d’informations au réseau social serait souhaitable, dans le but d’obtenir un « double consentement » de l’utilisateur : le premier quant à la collecte et au transfert de ses données par le gestionnaire du site Internet, le second relatif au traitement de ses données par le réseau social. Le second consentement pourrait être mis en place via l’insertion d’une fenêtre sur le site Internet, afin de garantir la transparence du traitement de données. Il semble donc, par ces réflexions, que l’arrêt Fashion ID limite la protection de l’utilisateur en ne prenant pas en compte la responsabilité du réseau social.
II- Une coresponsabilité cependant limitée
A- Une répression à l’efficacité douteuse : la difficulté de saisir la responsabilité du réseau social
La CJUE précise dans cette décision que la responsabilité des acteurs impliqués peut varier « selon le stade de traitement de la donnée » (pt 70). La Cour a décidé que le réseau social était le responsable unique du traitement des données, bien que le gestionnaire du site Internet soit responsable de leur collecte et de leur transfert. Responsabilité conjointe ne signifie pas égalité de responsabilité, comme l’avait déjà énoncé la Cour dans l’arrêt Jehovan todistrajat rendu le 10 juillet 2018[24]. Cette coresponsabilité des responsables de traitement est positive car protectrice des utilisateurs, mais elle demeure lacunaire. Le fait que le gestionnaire du site Internet ne soit pas responsable du traitement des données qu’il fournit à Facebook va à l’encontre de la protection de l’utilisateur. Les données ont été collectées de manière illégale puisqu’il n’y avait pas d’intérêt légitime à le faire[25], et que la personne concernée n’avait pas donné son consentement. Leur transfert et leur traitement est tout aussi illégal, le gestionnaire du site Internet devrait aussi en être tenu pour responsable dans la mesure où il se trouve au début de la chaîne de l’acte illicite, et où il ne peut pas ignorer qu’il s’agit d’un acte illicite.
Les systèmes juridiques français et allemands peinent à appréhender la responsabilité du réseau social, qui permettrait de protéger les utilisateurs d’Internet d’un traitement illicite de leurs données à caractère personnel. En effet, il s’agit d’abord d’identifier la juridiction compétente et la loi applicable pour juger Facebook. Le droit international privé est alors en jeu. La société-mère est située aux Etats-Unis, le siège européen est situé à Dublin en Irlande. Il semble que Facebook bénéficie d’une responsabilité allégée voire inexistante au niveau domestique. En effet, il existe très peu de jurisprudence française ou allemande attestant de la responsabilité du réseau social. Un arrêt rendu par le Kammergericht de Berlin le 24 janvier 2014[26] établissait expressément l'applicabilité de la loi allemande sur la protection des données à Facebook. Des juridictions allemandes ont donc été amenées à se prononcer sur des litiges impliquant Facebook. Du côté du droit français, une ordonnance du juge de la mise en état du 5 mars 2015 du Tribunal de grande instance de Paris[27] établit que celui-ci est compétent pour juger un litige qui oppose le réseau social à un internaute dont le compte avait été désactivé après la mise en ligne d’un contenu jugé inapproprié par Facebook. Ces décisions, rendues avant l’entrée en vigueur du RGPD, ne sont pourtant pas directement reliées à un traitement illicite de données à caractère personnel des internautes. Ce traitement est-il encadré par des législations nationales ?
B- La nature des sanctions en France et en Allemagne pour traitement illicite de données à caractère personnel
Il n’est pas du ressort de la Cour d’établir une quelconque sanction coercitive qui pourrait dissuader les responsables de traitement de collecter et de traiter illicitement des données à caractère personnel. Comment les systèmes français et allemand pourraient se saisir de la problématique dans l’hypothèse d’une coresponsabilité d’un gestionnaire de site Internet et d’un réseau social ?
La législation française prévoit des sanctions pénales en cas de traitement illicite des données. En effet, la loi Informatiques et Libertés protège toute personne physique d’un traitement de ses données à caractère personnel : l’article 4 dispose que les données à caractère personnel doivent être « traitées de manière licite, loyale » et « collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »[28]. L’article 40 invite à se référer au Code pénal concernant les infractions aux dispositions de la présente loi. Les articles 226-16 à 226-22-1 du Code pénal établissent des sanctions de cinq ans de prison et de 300 000 euros d’amende pour avoir procédé à des traitements de données à caractère personnel de manière illicite, les mêmes sanctions s’appliquent pour la collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite. Ainsi, une responsabilité pénale du gestionnaire du site Internet pourrait être établie, pour collecte illicite des données, tout comme pourrait l’être une responsabilité du réseau social pour le traitement des données de manière illicite, à savoir sans le consentement des utilisateurs du site Internet, s’il s’avérait que les juridictions françaises avaient compétence pour juger le réseau social. Le droit allemand prévoit au § 42 de la Bundesdatenschutzgesetz une peine pouvant aller jusqu’à trois ans de prison ou une amende pour la personne qui fournit des données à caractère personnel sans y être autorisée. Le § 16 de la Telemediengesetz érige en infractions administratives l’utilisation et la collecte illicite des données à caractère personnel. La loi française est donc plus sévère quant à la répression de la collecte et du traitement illicite des données à caractère personnel.
Ainsi, la coresponsabilité d’un site Internet et d’un réseau social établie dans l’arrêt Fashion ID conduit à une meilleure protection des données à caractère personnel de l’internaute. Dans un premier temps, elle semble positive, puisqu’elle implique la possibilité pour l’internaute d’attaquer aussi bien le gestionnaire de site Internet que le réseau social. Dans un second temps, elle se révèle néanmoins lacunaire, parce qu’il est très difficile de saisir la responsabilité du réseau social, comme le montre le peu de jurisprudence disponible sur la question.
Bibliographie
Décision commentée : CJUE, Fashion ID GmbH & Co.KG contre Verbraucherzentrale NRW eV, 29 juillet 2019, C-40/17
1- Sources européennes
Règlements et directives
Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)
Décisions
CJCE, Promusicae, 29 janvier 2008, Grande Chambre, C 275/06
CJUE, Patrick Breyer c/ Bundesrepublik Deutschland, 19 octobre 2016, C-582/14
CJUE, Wirtschaftsakademie, 5 juin 2018, C-210/16
CJUE 10 juillet 2018, aff. C-25/17, Jehovan todistajat
2- Sources françaises
Lois et codes
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « Informatiques et Libertés »
Code pénal
Décisions
Cour d’appel de Paris, 13ème chambre, section B Arrêt du 27 avril 2007, Anthony G. / SCPP et Cour d’appel de Paris 13ème chambre, section A Arrêt du 15 mai 2007, Henri S / SCPP
Tribunal de grande instance de Paris, 4ème chambre – 2ème section, ordonnance du juge de la mise en état du 5 mars 2015
Cour de cassation (1re civ.), 3 novembre 2016, n° 15-22.595
Doctrine
Protection des données personnelles, Winston Maxwell et Célia Zolynski, recueil Dalloz 2019 p.1673
Droit du numérique, Jacques Larrieu, Christian Le Stanc et Pascale Tréfigny, recueil Dalloz 2019 p.2266
Bouton « J'aime » et responsabilité conjointe de traitement – Thibault Douville – Dalloz IP/IT 2020. 126
Ouvrages
Cyberdroit, le droit à l’épreuve de l’Internet, Christiane Féral-Schuhl, Praxis Dalloz 2018-2019, 7ème édition
Traité de droit civil du numérique, Tome 2, Droit des obligations, Philippe Gaudrat et Frédéric Sardain, Larcier, 2016
3- Sources allemandes
Lois
Bundesdatenschutzgesetz (BDSG) loi fédérale sur la protection des données
Telemediengesetz (TMG) loi sur les médias électroniques
Gesetz gegen den unlauteren Wettbewerb (UWG), loi contre la concurrence déloyale
Jurisprudence
Kammergericht Berlin, Urteil vom 24.01.2014 - 5 U 42/12
Landesgericht Düsseldorf 09.03.2016 - 12 O 151/15
BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13
AG Mannheim, Urteil vom 11.09.2019 - 5 C 1733/19 WEG
Articles
https://rsw.beck.de/aktuell/meldung/eugh-mitverantwortung-eines-online-h...
https://www.welt.de/wirtschaft/article197651343/EuGH-Urteil-Facebook-aeu...
[1] § 3 a UWG, Gesetz gegen den unlauteren Wettbewerb, Loi contre la concurrence déloyale
[2] Landesgericht Düsseldorf 09.03.2016 - 12 O 151/15
[3] Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] Article 2 d) Directive 95/46/CE
[5] CJUE, Wirtschaftsakademie, 5 juin 2018, C-210/16
[6] Article 2 a) Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
[7] CJCE, Promusicae, 29 janvier 2008, Grande Chambre, C‑275/06
[8] CJUE, Patrick Breyer c/ Bundesrepublik Deutschland, 19 octobre 2016, C-582/14
[9] Article 2 b) de la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
[10] Cour d’appel de Paris, 13ème chambre, section B Arrêt du 27 avril 2007, Anthony G. / SCPP et Cour d’appel de Paris 13ème chambre, section A Arrêt du 15 mai 2007, Henri S / SCPP
[11] Cour de cassation (1re civ.), 3 novembre 2016, n° 15-22.595
[12] BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13
[13] Article 2 d) Directive 95/46/CE
[14] Article 2 d) Directive 95/46 : « “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres »
[15] CJUE, 5 juin 2018 ; C-210/16, Wirtschaftsakademie Schleswig-Holstein
[16] Article 4 7) du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)
[17] AG Mannheim, Urteil vom 11.09.2019 - 5 C 1733/19 WEG
[18] Article 2 h) Directive 95/46/CE
[19] Landgericht Düsseldorf, Urteil vom 09.03.2016 - 12 O 151/15
[20] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
[21] Pt 106 de la décision de la CJUE
[22] Article 10 Directive 95/46/CE
[23] Article 13 RGPD
[24] CJUE 10 juill. 2018, aff. C-25/17, Jehovan todistajat, pt 66
[25] Article 7 f) Directive 95/46/CE: cet article dispose le traitement de données à caractère personnel peut être effectué sous différentes conditions. L’une d’elles est que le traitement de données est « nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées ». Or, en l’espèce, Fashion ID n’a pas évoqué d’intérêt légitime concernant le traitement des données des visiteurs de son site Internet : la société cherche simplement à bénéficier d’avantages commerciaux en s’associant à Facebook.
[26] Kammergericht Berlin, Urteil vom 24.01.2014 - 5 U 42/12
[27] Tribunal de grande instance de Paris, 4ème chambre – 2ème section, ordonnance du juge de la mise en état du 5 mars 2015
[28] Article 4 Loi Informatiques et Libertés alinéas 1 et 2