1) Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Il en va de même lorsque l’éditeur du site sous‑traite à des tiers la gestion de cookies mis en place pour son compte.

2) a) Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur du site doivent être considérés comme responsables de traitement.

b) Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tier qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la réglementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Lorsque le gestionnaire d'un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j'aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site.

Pour que ce traitement soit licite au titre de l’intérêt légitime, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement (communication et transmission des données), un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles‑ci soient justifiées dans son chef.

L'article 58, paragraphe 2, sous f) et j), du RGPD doit être interprété en ce sens que, à moins qu'il existe une décision d'adéquation valablement adoptée par la Commission européenne, l'autorité de contrôle compétente est tenue de suspendre ou d'interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l'ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l'Union, en particulier par les articles 45 et 46 de ce règlement et par la Charte des droits fondamentaux, ne peut pas être assurée par d'autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l'Union d'avoir lui‑même suspendu le transfert ou d'avoir mis fin à celui‑ci.

Les articles 6, paragraphes 2 et 5 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) doivent être interprétés en ce sens qu'ils autorisent un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui‑ci agisse sous l'autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l'autorité du fournisseur de services, au sens de l'article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

Les dispositions de l'article 18 de la loi d'orientation et de programmation pour la performance de la sécurité intérieure autorisent toute mise en œuvre des dispositifs de surveillance au-delà des abords « immédiats » de ses bâtiments et installations, et confient à des opérateurs privés le soin d'exploiter des systèmes de vidéoprotection sur la voie publique et de visionner les images pour le compte de personnes privées. Ce faisant, elles permettent d'investir des personnes privées dans des missions de surveillance générale de la voie publique. Chacune de ces dispositions rend ainsi possible la délégation à une personne privée des compétences de police administrative générale inhérentes à l'exercice de la « force publique » nécessaire à la garantie des droits. Elles méconnaissent l'article 12 de la Déclaration de 1789.