CJUE, (3ème Chambre), 1er octobre 2015, affaire C-230/14
En application de la Directive européenne 95/46 un traitement de données personnelles peut se voir appliquer la loi de plusieurs pays de l’Union Européenne, à savoir, en plus de la loi du siège social la loi de chaque pays de l’UE dans lesquels le responsable de traitement a un établissement. Par un arrêt du 1er octobre 2015, la Cour de Justice de l’Union Européenne a précisé les critères permettant de déterminer la notion d’ « établissement » et par conséquent la, ou les loi(s) nationale(s) applicable(s) à un traitement de données personnelles. Il s’agit d’une interprétation particulièrement souple.
Les faits
La société Weltimmo, immatriculée en Slovaquie (pays membre de l’EU) exploitait un site internet (rédigé en langue hongroise) d’annonces immobilières de biens situés en Hongrie (autre pays membre de l’EU), sans avoir d’établissement immatriculé localement.
Elle s’était vue infliger une amende de 32.000 euros par l’Autorité de protection des données Hongroise pour non-respect de la législation hongroise sur les données personnelles[1].
Weltimmo s’est pourvue en cassation devant la juridiction de renvoi en soutenant que l’autorité de contrôle hongroise n’était pas compétente et ne pouvait appliquer le droit hongrois à un prestataire de services établi dans un autre État membre (la Slovaquie).
La Cour Suprême Hongroise a saisi la CJUE d’une question préjudicielle afin de déterminer si, en l’espèce, il y avait bien un « établissement » en Hongrie (au sens de l’article 4§1 de la directive 95/46/CE) permettant à l’Autorité de contrôle hongroise d’appliquer la loi hongroise et d’infliger l’amende.
Rappel de la règle
Pour rappel l’article 4§1 a) de la directive 95/46 prévoit que la loi d’un État membre s’applique lorsque « le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ».
Décision
Dans sa décision, la CJUE précise que les dispositions prévues à l’article 4§1 de la directive 95/46 permettent « l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui-ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle même minime, dans le cadre de laquelle ce traitement est effectué ».
La Cour relève qu’il s’agit « d’une conception souple de la notion d’établissement, qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée. » « Il convient d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans cet autre État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question. Cela vaut tout particulièrement pour des entreprises qui s’emploient à offrir des services exclusivement sur Internet. »
À cet égard, la Cour relève que la présence d’un seul représentant peut suffire, dans certaines circonstances, pour constituer un établissement. *** Passée plutôt inaperçue au cours d’une semaine riche en actualité[2], cette décision introduit une définition très souple de la notion d’ « établissement » et élargit ainsi la capacité d’action des Autorités de protection des données nationales envers des entreprises enregistrées dans un autre État membre mais agissant sur leur territoire et aura nécessairement des répercussions dans l’avenir.
Les sociétés se doivent donc d’être vigilantes sur ce point surtout si elles pensent pouvoir bénéficier du régime « plus souple » existant dans le pays de leur siège.
Contact :
stéphanie.faber@squirepb.com
anne.baudequin@squirepb.com
[1] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. [2] C’est dans la même semaine que la CJUE a annulé le Safe Harbor. Lire https://larevue.squirepattonboggs.com/ALERTE-La-CJUE-invalide-le-programme-de-sphere-de-securite-dit-Safe-Harbor_a2687.html .