Données personnelles et critères d’application du droit national

Photo de profil - SIMON François-Luc | Avocat Associé-Gérant - Docteur en droit | Lettre des réseaux

SIMON François-Luc

Avocat Associé-Gérant - Docteur en droit

CJUE, 1er octobre 2015, Aff. C-230/14

La réglementation d’un État membre sur la protection des données peut être appliquée à une société étrangère qui exerce dans cet État, au moyen d’une installation stable, une activité réelle et effective.

Ce qu’il faut retenir : La réglementation d’un État membre sur la protection des données peut être appliquée à une société étrangère qui exerce dans cet État, au moyen d’une installation stable, une activité réelle et effective.

Pour approfondir : Dans un arrêt déjà remarqué, la CJUE s’est prononcée sur la loi applicable au responsable de traitement de données à caractère personnel. Par son arrêt du 1er octobre 2015, la Cour précise les critères permettant de déterminer qu’un responsable de traitement dispose d’un établissement sur le territoire d’un Etat membre, critère prévu à l’article 4 de la directive sur la protection des données à caractère personnel pour déterminer la loi applicable. Ce texte permet l’application de la législation d’un Etat membre autre que celui dans lequel le responsable du traitement est immatriculé, à condition qu’il y exerce une activité effective et réelle, même minime, au moyen d’une installation stable sur le territoire de cet Etat membre.

Cette affaire concerne la société W, une société immatriculée en Slovaquie, qui exploite un site internet d’annonces immobilières de biens situés en Hongrie. Pour ce faire, elle y traite des données à caractère personnel des annonceurs. Les annonces sont publiées gratuitement pendant un mois, et deviennent payantes au terme de ce délai. De nombreux annonceurs ont demandé le retrait de leurs annonces et l’effacement de leurs données à caractère personnel. Toutefois, la société W n’y a pas donné suite, a continué de facturer les intéressés le prix de ses services puis, en cas d’impayés, a transmis ces données à des sociétés de recouvrement. Les personnes concernées ont déposé plainte auprès de l’autorité de contrôle hongroise qui, considérant que la loi nationale était applicable, a infligé une amende de près de 32 000 € pour avoir violé la loi hongroise transposant la directive. La Cour suprême hongroise a prudemment saisi la CJUE, par voie de question préjudicielle. La CJUE adopte une conception souple de la notion d’établissement :

  • elle rappelle tout d’abord que l’article 4, paragraphe 1, sous a), directive 95/46 doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui-ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué ;
  • puis précise qu’afin de déterminer, dans des circonstances telles que celles en cause, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui-ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées ;
  • pour indiquer enfin que la nationalité des personnes concernées par ce traitement de données est en soi indifférente.

Ces éléments, qu’il appartient à la juridiction de renvoi de vérifier, sont susceptibles d’établir l’existence d’un « établissement », au sens de de la directive, sur le territoire hongrois. Si tel est le cas, l’activité de la société W est soumise à la réglementation hongroise sur la protection des données.

A rapprocher : Directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Dépôt d’une marque de mauvaise foi et intention d’usage
La CJUE précise que le dépôt d’une marque sans intention de l’utiliser peut être considéré comme ayant été effectué de mauvaise foi, que si la preuve en est rapportée ; aucune présomption ne découle du fait que le demandeur au…