Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Données personnelles : le critère de l’installation stable est de plus en plus large

Publié le par

La Cour de justice continue à renforcer l’application des lois européennes sur la protection des données en étendant toujours plus le critère de l’activité réelle et effective au moyen d’une installation stable. Responsables de traitement en Europe ou ailleurs, faites attention ! Il devient très difficile d’échapper à l’application des lois de protection européenne du lieu vers où est dirigée l’offre de services…

Les faits

Dans cette affaire soumise à la CJUE sur question préjudicielle, la société Weltimmo, établie en Slovaquie, organisait l’exploitation d’un site web d’annonces immobilières concernant des biens établis en Hongrie.

Les annonces sont publiées gratuitement pendant un mois et deviennent payantes au terme de ce délai. De nombreux annonceurs ont demandé, par courrier électronique, le retrait de leurs annonces à compter de ce terme et, par la même occasion, l’effacement des données à caractère personnel les concernant.

Après avoir constaté que la société slovaque refusait de donner suite aux demandes d’effacement des annonceurs, l’autorité hongroise de contrôle s’est déclarée compétente et lui a infligé une amende de 32.000 euros pour violation de la loi hongroise transposant la directive 95/46.

Contestant la compétence de l’autorité hongroise de contrôle, Weltimmo a introduit un recours devant la Cour suprême hongroise qui a posé à la CJUE diverses questions préjudicielles quant à la détermination du droit applicable à l’autorité de contrôle, d’une part, et quant aux pouvoirs de ladite autorité de contrôle au cas où un droit autre que celui dont l’autorité émane, d’autre part. La réponse à cette dernière question ne sera pas commentée ici.

L’analyse de la Cour

L’intérêt de cet arrêt réside essentiellement dans l’interprétation par la CJUE du premier critère d’application territorial de la directive 95/46 visé à l’article 4, § 1er, sous a). Aux termes de cette disposition, chaque Etat membre applique les dispositions nationales qu’il arrête en vertu de cette directive aux traitements de données à caractère personnel « lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable sur le territoire de l’Etat membre. »

La notion d’établissement

Dans un premier temps, la Cour va examiner si Weltimmo dispose d’un établissement sur le territoire de l’Etat hongrois, ce qui  suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable, quelle que soit la forme juridique de l’établissement (ex. une simple succursale ou une filiale ayant la personnalité juridique).

Sur ce point, l’arrêt commenté explique comment aborder la notion d’établissement au sens de l’article 4, § 1, sous a) de la directive 95/46 : afin de déterminer si une société dispose d’un tel établissement dans un Etat membre autre que l’Etat membre ou le pays tiers où elle est immatriculée, il faut évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans cet autre Etat membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question.

A cet égard, l’arrêt fournit un double enseignement : d’abord, la Cour considère que la présence d’un seul représentant – en l’espèce une personne physique – peut constituer une installation stable pour autant que ce dernier agisse avec un degré de stabilité suffisant à l’aide des moyens nécessaires à la fourniture des services concrets concernés. Ensuite, elle précise que la notion d’établissement s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une telle installation stable.

En l’espèce, la Cour observe que Weltimmo se livre à une activité réelle et effective en Hongrie, dès lors qu’elle exploite un ou plusieurs sites d’annonces immobilières concernant des biens situés en Hongrie, qui sont rédigés en langue hongroise, et dont les annonces deviennent payantes au terme d’un délai d’un mois.

La Cour retient également l’existence d’un représentant de nationalité hongroise, à savoir l’un des propriétaires de Weltimmo. Ce dernier est mentionné dans le registre des sociétés slovaques sous une adresse située en Hongrie et a été chargé de négocier avec les annonceurs le règlement des annonces impayées. Ce représentant a, de surcroît, été l’interlocuteur des autorités administratives et judiciaires pour le compte de la société Weltimmo.

Traitement effectué dans le cadre des activités de cet établissement

Après avoir conclu que Weltimmo dispose d’un établissement sur le territoire hongrois au sens de l’article 4, §1 a) de la Directive, il restait à examiner si le traitement concerné  est effectué dans le cadre des activités de cet établissement.

On se rappellera que la Cour a déjà eu l’occasion de préciser que le traitement de données à caractère personnel ne doit pas être effectué « par » l’établissement concerné lui-même, mais uniquement qu’il le soit « dans le cadre des activités » de celui-ci (CJUE, arrêt du 13 mai 2014, Google Spain et Google, C-131/12, point 53). En l’espèce, le traitement effectué par Weltimmo, consistant en la publication, sur les sites Internet, d’annonces immobilières rédigées en langue hongroise, de données à caractère personnel relatives aux propriétaires, ainsi que l’utilisation de ces données à des fins de facturation, s’inscrit de manière évidente dans le cadre des activités de cet établissement sur le territoire hongrois.

L’arrêt Google et l’évolution de la jurisprudence de la CJUE

Cette interprétation par la Cour de justice de l’Union de l’article 4, §1 a) de la Directive doit être mise en perspective avec sa jurisprudence récente développée dans son arrêt Google du 13 mai 2014. On se rappellera que par l’arrêt Google, la Cour a considéré que les services offerts par la société de droit US Google Inc. basée aux Etats-Unis sont soumis à la réglementation européenne en matière de protection des données, et en particulier à la Directive 95/46.

Pour parvenir à cette conclusion, la Cour avait tenu un raisonnement en trois temps : les services de Google (notamment son service de moteur de recherche Google Search) impliquent un traitement de données à caractère personnel ; Google doit être considéré comme le responsable de ce traitement ; Google, bien que situé hors de l’UE, dispose d’un établissement sur le territoire espagnol, Google Spain.

La Cour avait donné une interprétation déjà assez large du premier critère d’application territorial de la Directive, en considérant que les traitements de données de Google sont effectués dans le cadre des activités d’agent publicitaire de sa filiale située sur le territoire espagnol.

Le présent arrêt s’inscrit donc dans la droite ligne de cette jurisprudence mais va, nous semble-t-il, encore plus loin : la présence d’une simple personne physique sur le territoire de l’Etat membre vers où sont dirigés les services suffirait dès lors que l’on arrive à démontrer qu’il participe régulièrement –même si de façon minime- à l’activité du responsable étranger.

Les conséquences de la jurisprudence de la Cour

La position de la Cour se confirme donc clairement : le critère de rattachement de l’établissement stable devient de plus en plus lâche, presque incontournable.

Ce faisant la Cour rend quasiment inutile le second critère de rattachement prévu par la Directive, celui des moyens utilisés par le responsable établi hors UE, imaginé précisément pour combler le trou lorsque le premier ne s’applique pas

Cela n’est pas sans conséquence car les deux régimes ont leur logique leurs caractéristiques propres.

Exemple : l’extension du premier critère a pour effet de localiser en Europe un établissement d’une société étrangère et de lui appliquer une sanction, là où le second critère laisse la société étrangère là où elle est, mais peut alors appliquer la sanction à son représentant. Cela n’est pas toujours la meilleure manière de protéger les données personnelles, notamment si certaines sociétés étrangères se mettent à utiliser ledit établissement comme un fusible. Ainsi, en l’espèce, comment l’autorité hongroise pourrait-elle assurer l’effectivité de la sanction prise contre la société slovaque dès lors qu’une simple personne physique en constitue l’établissement ? C’est possible en théorie, beaucoup plus difficile en pratique.

La situation aurait été encore plus problématique si l’autorité hongroise était parvenue à la conclusion que le droit hongrois n’est pas applicable à l’activité de Weltimmo (ce qui faisait l’objet d’une autre question préjudicielle dans le même arrêt). Dans pareil cas, la Cour a précisé qu’indépendamment du droit applicable, l’autorité hongroise aurait pu examiner la plainte d’un ressortissant relative au traitement des données à caractère personnel le concernant, mais elle n’aurait pas pu exercer les pouvoirs de sanction que le droit hongrois lui a confiés, compte tenu des exigences résultant de la souveraineté territoriale. Reste alors uniquement la possibilité de demander à l’autorité de contrôle de cet autre État membre de constater une éventuelle infraction à ce droit et d’imposer des sanctions pour autant que son droit le permet…

On peut finalement se demander si la législation européenne en matière de protection des données se trouve réellement renforcée par une telle extension d’application, à défaut de disposer d’un pouvoir de sanction encore efficace en cas de non-respect de la législation imposée.

La seconde proposition de Règlement relative à la protection des données -tente de remédier à cette situation en prévoyant la possibilité de prononcer des sanctions à l’encontre du représentant du responsable du traitement. Mais cela suppose, par hypothèse, que l’on admette alors qu’il n’y ait pas d’établissement dans l’UE. Ce que l’interprétation extensive de la Cour ne permet plus dans des cas de plus en plus nombreux…

On observera enfin que, sous l’empire du futur Règlement, il ne fera plus aucun doute que les activités de traitement relèveront de la compétence de l’autorité hongroise de protection puisque le futur Règlement sera rendu applicable aux activités de traitement qui sont liées à l’offre de biens ou de services à des personnes physiques situées sur le territoire d’un EM de l’UE.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK