Dernière actualité : Révision de la directive SMA : position du CSA [Lire la suite]
ARTICLE
CJUE : Protection des données personnelles et établissement stable

Etablissement stable et réglementation de la protection des données personnelles
CJUE : arrêt du 1 octobre 2015, Weltimmo, C-230/14

La Cour de Justice de l’Union Européenne (CJUE) confirme sa jurisprudence Google Spain, en se fondant sur une interprétation souple de l’établissement stable, pour déterminer le droit applicable au traitement des données personnelles, dans le cas d’un site ciblant un public d’un Etat différent de l’Etat d’immatriculation du siège social.

Dans son arrêt du 1er octobre 2015, la Cour a rappelé que la notion d’établissement stable sur le territoire d’un Etat membre au sens de l’article 4, paragraphe 1 sous a) de la directive 95/46/CE sur la protection des données à caractère personnelles(1) , s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable, peu importe la forme juridique choisie et peu importe que la société soit immatriculée dans un autre Etat membre.


En l’espèce, une société enregistrée en Slovaquie, exploitait un site Internet d’annonces immobilières concernant des biens situés en Hongrie. Le site était rédigé en langue hongroise et dont les annonces devenaient payantes au terme d’un délai d’un mois. Au vu de ces éléments, la CJUE a constaté que cette société se livrait à une activité réelle et effective en Hongrie. En outre, un représentant, qui représentait la société au cours des procédures administrative et judiciaire, était domicilié dans cet Etat, il avait ouvert un compte en banque destiné au recouvrement des créances et utilisait une boîte aux lettres pour la gestion des affaires courantes. Dès lors, la Cour a estimé que ces éléments, sous réserve d’être vérifiés par la juridiction de renvoi, étaient susceptibles d’établir l’existence d’un « établissement » au sens de l’article 4, paragraphe 1, sous a) de la directive 1995/46/CE. Conformément à sa jurisprudence Google Spain et Google (C-131/12) la Cour a jugé que le traitement de données personnelles s’effectuait non pas «par» l’établissement concerné lui-même, mais uniquement «dans le cadre des activités» de celui-ci. Le traitement en cause au principal consistait, notamment, dans la publication, sur les sites Internet d’annonces immobilières, de données à caractère personnel relatives aux propriétaires de ces biens ainsi que, le cas échéant, dans l’utilisation de ces données pour les besoins de la facturation des annonces au terme d’un délai d’un mois. Il en résultait que le traitement s’effectuait dans le cadre des activités de l’établissement. En conséquence, la Cour en a déduit que le droit applicable au responsable du traitement des données personnelles était le droit de l’Etat de l’activité réelle et effective exercée au moyen d’une installation stable.

Par ailleurs, la Cour a précisé les pouvoirs de l’autorité de contrôle de l’Etat du site d’exploitation. Elle a confirmé que les annonceurs pouvaient saisir l’autorité de l’Etat d’exploitation du site. Conformément aux dispositions de l’article 28, paragraphe 3 de la directive, cette dernière a la compétence pour, notamment, exercer sur son territoire des pouvoirs d’investigation et d’intervention et ce, indépendamment du droit national applicable au traitement en cause. De plus, en vertu de l’obligation de coopération, elle pouvait être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre. Toutefois, les pouvoirs de chaque autorité de contrôle sont limités territorialement à l’Etat dont elle relève (article 28 paragraphe 6). Dès lors, si le traitement des données relevait du droit d’un autre État membre, l’autorité hongroise ne pouvait pas imposer une amende ou exercer tout autre pouvoir de sanction que le droit hongrois lui a confié.

Mentions légales | Réalisation site : Opium Bleu