Le 28 juillet 2016 la Cour de Justice a rendu un arrêt (C-191/15) dans une affaire opposant une organisation de consommateurs autrichienne à Amazon EU quant aux conditions générales relatives au traitement des données personnelles appliquées par cette dernière. La Cour a jugé – en conformité avec sa jurisprudence antérieure – que la législation relative à la protection des données d'un autre État membre s'applique à une entreprise de commerce électronique dès lors que le traitement des données personnelles a lieu dans le cadre des activités d'un établissement de cette société dans cet État membre.
Quels ont été les faits sous-jacents?
Amazon EU est une société établie au Luxembourg. Elle n'a pas de filiale ou de succursale en Autriche, mais s'adresse à ses clients (consommateurs) autrichiens à travers son site amazon.de. Dans ses conditions générales, Amazon EU précise entre autres qu'elle est autorisée à faire usage des données personnelles de ses clients (comme par exemples les commentaires sur ses produits) et désigne la loi luxembourgeoise comme la loi applicable.
Une organisation de consommateurs autrichienne a introduit une plainte contre ces conditions générales aux motifs que celles-ci seraient contraires aux dispositions légales applicables et aux bonnes pratiques du commerce.
Qu'a décidé la Cour exactement?
La Cour de Justice devait se prononcer sur la question de savoir si une société d'e-commerce qui conclut des contrats avec des consommateurs dans un autre État membre doit uniquement tenir compte de la législation sur la protection des données de l'État membre où elle est établie (le Luxembourg quant à Amazon EU), ou également de celle des États membres vers lesquels elle dirige ses opérations commerciales (pour Amazon EU aussi l'Autriche et/ou l'Allemagne).
La Cour a opté pour la seconde solution. Rappelant sa jurisprudence Weltimmo (affaire C-230/14) la Cour a ainsi jugé que:
- le fait qu'une société ne dispose d'aucune filiale ou succursale dans un État membre n'exclut pas qu'elle puisse néanmoins disposer d'un "établissement" au sens de la législation sur la protection des données, dans cet État membre;
- un tel établissement fait référence à toute activité réelle et effective – même minime – exercée au moyen d'une implantation durable;
- il convient de tenir compte tant du degré de stabilité de l'implantation, que de l'effectivité des activités exercées dans cet autre État membre, ainsi que des spécificités de l'activité de l'entreprise et des services offerts;
- ces activités ne doivent pas être nécessairement conduites "au moyen de" l'établissement lui-même, mais il suffit qu'elles le soient "dans le cadre" des activités commerciales de cet établissement; et
- un tel établissement n'existe pas du simple fait que le site web d'une entreprise est accessible dans État membre.
La Cour a laissé au juge national le soin de déterminer si tel est le cas d'Amazon EU.
Dans quelle mesure ce jugement concerne-t-il votre entreprise?
Deux leçons sont à retenir:
- Les sociétés d'e-commerce qui opèrent au travers des frontières intra-européennes ne doivent, en principe, pas craindre que la législation relative à la protection des données de chaque État membre où leur site web est accessible soit applicable.
- L'absence d'une filiale ou d'une succursale dans un État membre n'est souvent pas une excuse valable pour ne pas appliquer la loi de protection des données de cet État.