Bruxelles, 01/10/2015 (Agence Europe) - Un État membre peut appliquer sa réglementation nationale sur la protection des données personnelles à une société d'un autre État membre lorsque celle-ci exerce sur son territoire une « activité réelle et effective » au moyen d'une « installation stable ». Si ces conditions ne sont pas réunies, les éventuels manquements de l'entreprise dans le pays devront être traités selon la réglementation nationale de l'État membre dans lequel elle a son siège.
C'est ce qui ressort de l'arrêt rendu jeudi 1er octobre (aff. C-230/14) par lequel la Cour de justice de l'UE clarifie l'applicabilité des différentes réglementations nationales de protection des données personnelles aux sociétés ayant des activités transfrontalières au regard de la directive sur la protection des données personnelles (95/46/CE). L'affaire au principal concerne la société slovaque Weltimmo qui exploite un site Internet d'annonces immobilières pour des biens situés en Hongrie. La société ayant omis d'effacer les annonces et les données personnelles de nombreux annonceurs malgré les requêtes de ces derniers, l'autorité hongroise chargée de la protection des données l'a condamnée à une amende, en application de la réglementation hongroise transposant la directive. Saisie en cassation d'un recours de Weltimmo, la Cour suprême hongroise demandait aux juges européens si, en l'espèce, l'autorité nationale hongroise avait le droit d'appliquer la loi hongroise sur la protection des données et d'appliquer, sur cette base, des sanctions.
La Cour répond par l'affirmative du moment qu'il est vérifié que la société exerce dans le pays des « activités réelles et effectives » et qu'elle y dispose d'un « établissement » au sens de la directive, c'est-à-dire d'une installation stable sur place (un représentant suffit, indique la Cour). Cela semble être le cas de Weltimmo qui traite la vente de biens immobiliers hongrois et qui dispose dans le pays d'un représentant faisant le relais entre la société et les annonceurs, d'un compte bancaire destiné au recouvrement des créances et d'une boîte aux lettres sur le territoire hongrois.
Dans l'hypothèse toutefois où ces conditions ne seraient pas réunies, la législation applicable serait celle d'un autre État membre - en l'espèce, la législation slovaque, où Weltimmo a son siège - et l'autorité de contrôle de l'État où l'infraction a été commise ne pourrait pas appliquer des sanctions en vertu de sa législation nationale, son pouvoir de sanction se limitant au territoire national. Elle devrait, dans ce cas, demander à l'autorité de contrôle de l'autre État intéressé de constater l'infraction en vertu de la législation de cet État et d'appliquer des sanctions en conséquence. Cela ne préjuge toutefois pas le droit de toute personne de saisir une autorité nationale d'une demande de protection de ses données personnelles, même si le droit applicable est celui d'un autre État membre, conclut la Cour. (Francesco Gariazzo)