Guidelines

Ici viendront les guidelines

Retour au sommaire

Union Européenne

Jurisprudence de la CJUE

C-131/12 (13 mai 2014) - Google Spain et Google

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu 

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-191/15 (28 juillet 2016) - Verein für Konsumenteninformation

1)      Le règlement (CE) no 593/2008 du Parlement européen et du Conseil, du 17 juin 2008, sur la loi applicable aux obligations contractuelles (Rome I) et le règlement (CE) no 864/2007 du Parlement européen et du Conseil, du 11 juillet 2007, sur la loi applicable aux obligations non contractuelles (« Rome II »), doivent être interprétés en ce sens que, sans préjudice de l’article 1er, paragraphe 3, de chacun de ces règlements, la loi applicable à une action en cessation au sens de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs, dirigée contre l’utilisation de clauses contractuelles prétendument illicites par une entreprise établie dans un État membre qui conclut des contrats par voie de commerce électronique avec des consommateurs résidant dans d’autres États membres et, notamment, dans l’État du for, doit être déterminée conformément à l’article 6, paragraphe 1, du règlement no 864/2007, alors que la loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement no 593/2008, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective.

2)      L’article 3, paragraphe 1, de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doit être interprété en ce sens qu’une clause des conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur, est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, en vertu de l’article 6, paragraphe 2, du règlement no 593/2008, de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause, ce qu’il appartient à la juridiction nationale de vérifier à la lumière de toutes les circonstances pertinentes.

3)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre. Il appartient à la juridiction nationale d’apprécier si tel est le cas.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Retour au sommaire

Le GDPR

En cas d’application de l’article 3.2, l’article 27 du Règlement oblige les responsables du traitement mais aussi le sous-traitant qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement.

Comme exposé précédemment (cfr. commentaire de l’article 3.2), le Règlement est rendu applicable à un responsable ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées ou  à l'observation de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union européenne.

Rappelons ici que suivant l’article 4.17 du Règlement le représentant est « toute personne physique ou morale établie dans l'Union, (…) désignée par le responsable du traitement ou le sous-traitant par écrit, conformément à l'article 25, qui représente ce dernier ou le sous-traitant en ce qui concerne leurs devoirs respectifs en vertu du présent Règlement ». Soulignons d’ores et déjà qu’une convention écrite devient indispensable pour ladite désignation.

La disposition précise que ce devoir ne s’applique pas au traitement qui est occasionnel et qui n’inclut pas, sur une large échelle, le traitement de données sensibles au sens de l’article 9 (1) ou de données relatives aux condamnations et infractions pénales (art. 10) et ne crée probablement aucun risque pour les droits et des libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement. Il en va de même lorsque le responsable ou le sous-traitant est une autorité ou un organisme public.

Ce représentant doit être établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

Le représentant, qui agit pour le compte du responsable ou du sous-traitant, constitue notamment l’interlocuteur des autorités de contrôle (Cfr. article 58.) et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel. Ce dernier doit être expressément mandaté par écrit par le responsable du traitement ou le sous-traitant afin d'agir en son nom pour remplir les devoirs qui lui incombent en vertu du Règlement et d’être consulté en complément ou à la place du responsable ou du sous-traitant, notamment par les autorités de contrôle et les personnes concernées.

Il incombe également à ce représentant de tenir un registre de toutes les catégories d'activités de traitement de données à caractère personnel mises en œuvre sous leur responsabilité (Cfr. article 30)

La principale innovation du second projet de Règlement est de prévoir la possibilité de prononcer des mesures coercitives à l’encontre du représentant en cas de non-respect du présent Règlement par le responsable du traitement (cfr le considérant 80 et l’article 27 (4) du règlement). Cela étant, la désignation d’un représentant ne modifie en rien la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées puisque la désignation d’un représentant est sans préjudice d'actions en justice qui pourraient être intentées contre les responsable du traitement et sous-traitant eux-mêmes.

La Directive

L’article 4.2. de la Directive prévoyait que le responsable qui n’a pas d’établissement dans l’Union mais qui relève du droit de l’Union en vertu du critère d’application extraterritoriale de la réglementation européenne doit désigner un représentant sur le territoire de l’Etat membre dont il relève en vertu de l’article 4.1., c).

Belgique

Conformément à l’article 4.2 de la Directive, la loi du 8 décembre 1992 prévoit qu’en cas d’application extraterritoriale de la loi belge à un responsable qui n’a pas d’établissement en Belgique, ce dernier doit désigner un représentant établi sur le territoire belge. Cette désignation est sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

France

Conformément à l’article 4.2 de la Directive, la loi Informatique et Libertés oblige le responsable qui n’a pas d’établissement sur le territoire français mais qui relève de la loi française, à désigner un représentant établi sur ledit territoire. Cette désignation est sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

Difficultés probables

La désignation du représentant en Europe apparaît comme un début de solution afin de garantir l’efficacité de la réglementation européenne à l’égard des traitements dont le responsable est établi hors de l’Union. On saluera la possibilité prévue par le second projet de Règlement de prononcer des sanctions à l’encontre du représentant au cas où les activités de traitement ne sont pas conformes au Règlement.

Toutefois, les contours flous de la première exception à l’obligation de désigner un représentant nous semblent source d’insécurité juridique, dès lors qu’elle délaisse aux responsables du traitement ou sous-traitants établis hors de l’Union, le soin d’apprécier si le traitement envisagé présente des risques ou non au regard des droits et des libertés des personnes physiques résidant dans l’Union.

On regrette aussi que les autorités publiques étrangères soient automatiquement exemptées de l’obligation de désignation d’un représentant. Si on conçoit les difficultés diplomatiques qu’une telle désignation aurait pu entraîner, elle laisse sans défense les personnes concernées par de tels traitements. On aurait pu aussi imaginer soumettre l’Union à un devoir de négocier un traité ou un accord avec les Etats dont relèvent ces autorités afin de garantir la protection des personnes concernées.