Dans son arrêt C 230/14 du 1er octobre 2015, la Cour de justice apporte des précisions concernant la protection des données personnelles. Ainsi, elle éclaircit les critères permettant de définir le droit applicable aux responsables de traitement de données à caractère personnel.

Au sens de l'article 4 de la directive 96/45/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, pour être soumis à la loi d'un État membre, un responsable de traitement doit disposer d'un établissement sur le territoire de cet État.

En l'espèce, l'affaire oppose une société immatriculée en Slovaquie à l'autorité hongroise chargée de la protection des données personnelle qui lui a infligée une amende.

La société dont le siège est en Slovaquie exploite un site internet d'annonces immobilières pour des biens situés en Hongrie. Afin d'exercer cette activité, la société est amenée à traiter des données personnelles des annonceurs Hongrois.

La société autorise les annonceurs à publier gratuitement leurs annonces pendant un mois uniquement. Au terme du mois d'inscription, de nombreux annonceurs demandent alors, par email, le retrait de leurs annonces, ainsi que l'effacement de leurs données personnelles.

Cependant, la société n'a pas procédé à l'effacement requis et elle a facturé le prix de ses services aux intéressés malgré leur demande de résiliation.

Les sommes facturées n'étant pas réglées, la société slovaque a communiqué, à des agences de recouvrement, les données à caractère personnel des annonceurs. Les annonceurs ont porté plainte auprès de l'autorité de contrôle hongroise, qui leur donne raison et exige de la société slovaque le paiement d'une amende de dix millions de forints hongrois (environ 32 000 euros).

La Cour Suprême hongroise étant saisie de l'affaire, se tourne vers la Cour de Justice de l'Union européenne (CJUE) pour savoir, en substance, si le droit hongrois est applicable, et si une autorité de contrôle d'un pays peut exiger des sanctions contre une société établie dans un autre État membre.

La CJUE énonce qu'au sens de l'article 4, paragraphe 1, a) de la directive 95/46/CE, il est possible d'appliquer « la législation relative à la protection des données à caractère personnel d'un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui-ci exerce, au moyen d'une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué ».

La Cour adopte une conception souple de la notion d'établissement. Ainsi, dans les circonstances de l'arrêt, pour vérifier ces conditions il est possible de s'intéresser à différents éléments.

-    D'abord, le responsable du traitement exploite « des sites Internet d'annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui-ci », ce qui permet de relever que l'activité est entièrement tournée vers ledit État membre.

-    De plus, le responsable « dispose d'un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées ».

Néanmoins, la Cour de justice rappelle que la nationalité des personnes concernées par le traitement (les annonceurs) n'a pas de conséquence sur la détermination du droit applicable.

En revanche, la question de la nationalité des personnes concernées par ce traitement de données est dénuée de pertinence.

En outre, la Cour de justice précise le rôle de l'autorité de contrôle dans l'hypothèse où le droit local n'est pas applicable. Cette entité n'est pas compétente pour intervenir sur le territoire d'un autre État membre, sur le fondement de l'article 28, paragraphe 3 de la directive 96/45.

Elle ne peut pas se fonder sur le droit d'un autre État membre pour infliger des sanctions aux responsables de traitements de données établis dans un autre État membre. En revanche, elle doit « demander à l'autorité de contrôle relevant de l'État membre dont le droit est applicable d'intervenir ».