CE27 juin 2022CE, 10 – 9 chambres réunies, 27 juin 2022, Amazon Europe Core, n° 451423, T., point 10ème Voir aussi: CE, 10 – 9 chambres réunies, 28 janvier 2022, Sociétés Google LLC et Google Ireland Limited, n° 449209, Rec.(source)
Traitement effectué « dans le cadre » des activités d'un établissement présent sur le territoire – Établissement se borna nt à assurer, en France, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement de données – Inclusion
Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein contre Wirtschaftsakademie Schleswig‑Holstein GmbH (C‑210/16), qu’au vu de l’objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d’un établissement national non seulement si cet établissement intervient lui‑même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que le paragraphe 1 de l’article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n°78‑17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l’article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82‑et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.