Conseil d'État
N° 494300
Mentionné aux tables du recueil Lebon
Lecture du mardi 7 octobre 2025
26-07-01-01-03 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Notions- Personne responsable du traitement-
1) Responsable de traitement situé hors de France - Etablissement situé en France lié à ce responsable et assurant la promotion des produits proposés par celui-ci - Traitements pouvant être regardés comme effectués « dans le cadre des activités » de cet établissement (art. 3 de la loi du 6 janvier 1978) - Existence - Illustration - 2) Conséquence - Compétence territoriale de la CNIL.
Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (?) ». Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, d'une part, l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et, d'autre part, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice du 15 juin 2021, Facebook Ireland Ltd e.a. (C 645/19), que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel « effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union », doit être interprété de la même façon. Il résulte enfin de la jurisprudence de la Cour de justice de l'Union européenne que l'expression « dans le cadre des activités d'un établissement » ne saurait recevoir une interprétation restrictive. 1) Cas de la société Yahoo France, qui a pour objet d'assurer la promotion, sur le marché français, des produits et solutions publicitaires de Yahoo EMEA Limited, est liée à cette dernière par un contrat de prestation pour de la prospection destinée à ses clients français et alors que ces deux sociétés sont détenues par une même société holding. La société Yahoo France constitue ainsi un établissement de Yahoo EMEA Limited et les traitements en cause peuvent être regardés comme effectués dans le cadre de l'activité de cet établissement, au sens et pour l'application de l'article 3 de la loi du 6 janvier 1978 dans l'interprétation qu'il convient de lui donner en vertu de ce qui précède, alors même que Yahoo France n'assure pas, en sus de leur promotion, la commercialisation des produits et solutions publicitaires de Yahoo EMEA Limited. 2) La CNIL pouvait ainsi compétemment exercer ses prérogatives à l'égard de la société Yahoo EMEA Limited à raison de ces traitements.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l`informatique et des libertés-
Compétence territoriale - Inclusion - Etablissement situé en France lié à un responsable de traitement situé hors de France et assurant la promotion des produits proposés par celui-ci, dès lors que ces traitements peuvent être regardés comme effectués « dans le cadre des activités » de cet établissement (art. 3 de la loi du 6 janvier 1978).
Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (?) ». Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, d'une part, l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et, d'autre part, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice du 15 juin 2021, Facebook Ireland Ltd e.a. (C 645/19), que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel « effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union », doit être interprété de la même façon. Il résulte enfin de la jurisprudence de la Cour de justice de l'Union européenne que l'expression « dans le cadre des activités d'un établissement » ne saurait recevoir une interprétation restrictive. Cas de la société Yahoo France, qui a pour objet d'assurer la promotion, sur le marché français, des produits et solutions publicitaires de Yahoo EMEA Limited, est liée à cette dernière par un contrat de prestation pour de la prospection destinée à ses clients français et alors que ces deux sociétés sont détenues par une même société holding. La société Yahoo France constitue ainsi un établissement de Yahoo EMEA Limited et les traitements en cause peuvent être regardés comme effectués dans le cadre de l'activité de cet établissement, au sens et pour l'application de l'article 3 de la loi du 6 janvier 1978 dans l'interprétation qu'il convient de lui donner en vertu de ce qui précède, alors même que Yahoo France n'assure pas, en sus de leur promotion, la commercialisation des produits et solutions publicitaires de Yahoo EMEA Limited. La CNIL pouvait ainsi compétemment exercer ses prérogatives à l'égard de la société Yahoo EMEA Limited à raison de ces traitements.
N° 494300
Mentionné aux tables du recueil Lebon
Lecture du mardi 7 octobre 2025
26-07-01-01-03 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Notions- Personne responsable du traitement-
1) Responsable de traitement situé hors de France - Etablissement situé en France lié à ce responsable et assurant la promotion des produits proposés par celui-ci - Traitements pouvant être regardés comme effectués « dans le cadre des activités » de cet établissement (art. 3 de la loi du 6 janvier 1978) - Existence - Illustration - 2) Conséquence - Compétence territoriale de la CNIL.
Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (?) ». Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, d'une part, l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et, d'autre part, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice du 15 juin 2021, Facebook Ireland Ltd e.a. (C 645/19), que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel « effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union », doit être interprété de la même façon. Il résulte enfin de la jurisprudence de la Cour de justice de l'Union européenne que l'expression « dans le cadre des activités d'un établissement » ne saurait recevoir une interprétation restrictive. 1) Cas de la société Yahoo France, qui a pour objet d'assurer la promotion, sur le marché français, des produits et solutions publicitaires de Yahoo EMEA Limited, est liée à cette dernière par un contrat de prestation pour de la prospection destinée à ses clients français et alors que ces deux sociétés sont détenues par une même société holding. La société Yahoo France constitue ainsi un établissement de Yahoo EMEA Limited et les traitements en cause peuvent être regardés comme effectués dans le cadre de l'activité de cet établissement, au sens et pour l'application de l'article 3 de la loi du 6 janvier 1978 dans l'interprétation qu'il convient de lui donner en vertu de ce qui précède, alors même que Yahoo France n'assure pas, en sus de leur promotion, la commercialisation des produits et solutions publicitaires de Yahoo EMEA Limited. 2) La CNIL pouvait ainsi compétemment exercer ses prérogatives à l'égard de la société Yahoo EMEA Limited à raison de ces traitements.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l`informatique et des libertés-
Compétence territoriale - Inclusion - Etablissement situé en France lié à un responsable de traitement situé hors de France et assurant la promotion des produits proposés par celui-ci, dès lors que ces traitements peuvent être regardés comme effectués « dans le cadre des activités » de cet établissement (art. 3 de la loi du 6 janvier 1978).
Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (?) ». Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, d'une part, l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et, d'autre part, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice du 15 juin 2021, Facebook Ireland Ltd e.a. (C 645/19), que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel « effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union », doit être interprété de la même façon. Il résulte enfin de la jurisprudence de la Cour de justice de l'Union européenne que l'expression « dans le cadre des activités d'un établissement » ne saurait recevoir une interprétation restrictive. Cas de la société Yahoo France, qui a pour objet d'assurer la promotion, sur le marché français, des produits et solutions publicitaires de Yahoo EMEA Limited, est liée à cette dernière par un contrat de prestation pour de la prospection destinée à ses clients français et alors que ces deux sociétés sont détenues par une même société holding. La société Yahoo France constitue ainsi un établissement de Yahoo EMEA Limited et les traitements en cause peuvent être regardés comme effectués dans le cadre de l'activité de cet établissement, au sens et pour l'application de l'article 3 de la loi du 6 janvier 1978 dans l'interprétation qu'il convient de lui donner en vertu de ce qui précède, alors même que Yahoo France n'assure pas, en sus de leur promotion, la commercialisation des produits et solutions publicitaires de Yahoo EMEA Limited. La CNIL pouvait ainsi compétemment exercer ses prérogatives à l'égard de la société Yahoo EMEA Limited à raison de ces traitements.