Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Sur la possibilité d’appliquer la loi nationale sur la protection des données à une société étrangère

Sur la possibilité d’appliquer la loi nationale sur la protection des données à une société étrangère

La société Weltimmo, immatriculée en Slovaquie, publiait via son site Internet des annonces immobilières de biens situés en Hongrie. Ce faisant, elle traitait les données personnelles des annonceurs. La publication des annonces était gratuite pendant un mois et devenait payante passé ce délai.

Un grand nombre d’annonceurs avait dès lors demandé le retrait de ses annonces au terme du délai d’un mois et, par la même occasion, l’effacement de ses données personnelles. Cependant, Weltimmo n’avait pas procédé à cet effacement et avait même facturé le service. Confrontée au refus de paiement des annonceurs, la société avait transmis les données personnelles de ceux-ci à des agences de recouvrement.

Weltimmo a été condamnée par l’autorité hongroise de protection des données personnelles au paiement d’une amende équivalente à 32 000 € environ. La société ayant contesté cette condamnation, la Cour suprême hongroise saisie en cassation a sursis à statuer afin de poser des questions préjudicielles à la Cour de justice de l’Union européenne (CJUE).

En substance, Weltimmo considérait qu’étant immatriculée en Slovaquie, elle ne pouvait être jugée sur le fondement de la législation hongroise, appliquée par l’autorité de contrôle hongroise. Toutefois, à la lettre de la directive 95/46/CE du 24 octobre 1995, les dispositions nationales d’un Etat membre s’appliquent dès lors qu’une société, même étrangère, y exerce « une activité » et y dispose d’un « établissement » (article 4 §1). La CJUE a donc recherché si tel pouvait être le cas en l’espèce.

Sur l’existence d’un établissement et d’une activité exercée dans son cadre

Au cas d’espèce, la société Weltimmo ne disposait pas d’une filiale ou d’une succursale en Hongrie. A cet égard, la CJUE rappelle la nécessité d’ »une conception souple de la notion d’établissement, qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée« , suivant sur ce point, et au mot près, l’avocat général dans ses conclusions (voir les conclusions rendues le 25 juin 2015).

Dès lors, doivent être pris en compte, pour l’évaluation de l’existence d’un établissement, aussi bien le degré de stabilité de l’installation que la réalité de l’exercice de son activité, même minime, dans l’Etat membre concerné.

Pour établir la réalité et l’effectivité de l’activité en Hongrie, les juges luxembourgeois relèvent que Weltimmo exploitait un site Internet d’annonces immobilières concernant des biens situés dans ce pays et rédigées en hongrois.

Pour déterminer la stabilité de l’installation, la CJUE se réfère à plusieurs indices. Tout d’abord, Weltimmo disposait d’un représentant ayant une adresse en Hongrie, chargé de la gestion des créances impayées. En second lieu, la société disposait d’un compte bancaire en Hongrie pour le recouvrement des créances et utilisait une boîte aux lettres sur le même territoire. Pour la Cour, de tels éléments suffisent à caractériser un établissement. Elle laisse à la juridiction de renvoi le soin d’établir la réalité de ces indices.

Restait à savoir si le traitement était accompli « dans le cadre de l’activité de cet établissement« .

La CJUE a déjà eu l’occasion de juger que, pour que le droit d’un Etat membre s’applique, le traitement de données personnelles n’a pas à être effectué « par » l’établissement mais « dans le cadre » des activités de celui-ci (CJUE, 13 mai 2014, C-131/12 : sur l’applicabilité du droit espagnol à la succursale espagnole de Google, bien que le traitement reste exploité par la société américaine, voir notre Lettre des Propriétés intellectuelles de juillet 2014). C’était bien le cas en l’espèce, puisque les données personnelles des propriétaires souhaitant vendre les biens qu’ils détenaient en Hongrie étaient collectées lors de la mise en ligne d’une annonce destinée au marché hongrois, puis utilisées pour le recouvrement de factures impayées par le représentant local de la société, et par le biais de sociétés de recouvrement hongroises. La Cour laisse également aux juridictions hongroises le soin de corroborer les éléments en sa possession.

Sur le pouvoir de sanction de l’autorité de contrôle hongroise

La CJUE conclut donc, sous réserve de vérification de la réalité des éléments dont elle dispose, à la compétence de l’autorité de contrôle hongroise (CJUE, 1er octobre 2015, C-230/14).

Elle prend toutefois le soin de préciser la solution à retenir dans le cas où la société ne disposerait pas d’un établissement ou n’exercerait pas une activité effective en Hongrie. En vertu de l’article 28 de la directive 95/46/CE, l’autorité hongroise de contrôle pourrait instruire la réclamation d’un ressortissant hongrois, mais en raison des « exigences résultant de la souveraineté territoriale de l’Etat membre concerné, du principe de légalité et de la notion d’Etat de droit« , elle ne pourrait exercer son pouvoir de sanction en-dehors de son champ territorial d’action. Dans ce cas de figure, l’autorité hongroise devrait saisir l’autorité slovaque et lui demander, au vu du dossier qu’elle a constitué, de prononcer une sanction.

La question de la loi applicable en cas de conflit entre plusieurs Etats membres est et restera une question centrale. A cet égard, le projet de règlement européen relatif aux données personnelles prévoit une solution qui est tout à fait compatible avec la position de la CJUE : aux termes de la dernière version connue du projet, chaque citoyen pourra introduire une réclamation auprès de l’autorité de contrôle de son pays de résidence. Mais dans le cas où une entreprise exerce des activités dans plusieurs Etats membres, la seule autorité compétente pour juger de la régularité de ses agissements sera l’autorité du pays de son établissement principal. La coopération entre les autorités de contrôle nationales est donc appelée à se renforcer.

 

Auteurs

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Thomas Livenais, avocat en droit de la propriété intellectuelle

Print Friendly, PDF & Email