Après une série de trois arrêts notables [1]CJUE 1er octobre 2015 Weltimmo, aff. C-230/14, CJUE 1er octobre 2015 Bara e.a. Aff. C-201/14 et CJUE 6 octobre 2015 Schrems contre DPC Irlande Aff. C-362/14 en octobre 2015, dont l’arrêt Schrems [4]CJUE 6 octobre 2015 Schrems contre DPC Irlande Aff. C-362/14 qui remit en cause les instruments juridiques employés jusqu’ici de transfert de données personnelles vers des Etats tiers, et invalidant l’accord Safe Harbor avec les Etats-Unis, la de la Cour de justice de l’Union européenne (CJUE) n’a plus rendu d’arrêts relatifs à la protection des données pendant presque un an. Les questions préjudicielles sur ce sujet n’ont pourtant pas arrêté de s’accumuler [2]Voir les affaires : C-210/16 au sujet des contrats de sous-traitance et de la compétence territoriale des autorités de contrôle ; C-73/16 sur la collecte de données par les autorités fiscales … Continue reading.
Après une telle série d’arrêts importants l’an dernier, puis ce long silence, l’arrêt « Verein für Konsumenteninformation contre Amazon EU » du 28 juillet 2016 paraît presque décevant, puisqu’il ne vient que préciser la jurisprudence « Weltimmo » de l’an dernier [3]CJUE 1 october 2015 Weltimmo, aff. C-230/14, qui portait sur la notion d’établissement contenue à l’article 4 paragraphe 1 sous a) de la directive 95/46/CE.
L’affaire « Verein für Konsumenteninformation contre Amazon EU » portait sur le fond sur une action en cessation en matière de protection des consommateurs, au sens de la directive 2009/22/CE, portée par une association autrichienne (Verein für Konsumenteninformation – VKI) devant les tribunaux autrichiens, et visant à faire déclarer comme abusives des dispositions des clauses générales de vente d’Amazon. Cette affaire souleva de nombreuses questions quant au droit applicable, puisque le juge faisait face en l’espèce à un contrat d’adhésion rédigé par une entreprise établie au Luxembourg, souscrit par des consommateurs autrichiens par le biais d’un site Internet dirigeant ses activités vers l’Allemagne et l’Autriche, et comportant des clauses relatives à des traitements de données personnelles ayant lieu en Allemagne. Pour compliquer l’affaire, ce contrat comportait une clause rattachant le contrat au droit national luxembourgeois, exerçant ainsi un choix autorisé par l’article 6 paragraphe 2 du règlement de Rome I[5]Règlement 593/2008/CE sur la loi applicable aux obligations contractuelles.
L’affaire aboutit à la Cour Suprême autrichienne, qui sursit à statuer et posa une série de questions à la CJUE. L’essentiel de ces questions portait sur la détermination du droit national applicable, en vertu notamment des règlements de Rome I et Rome II [6]Règlement 864/2007/CE sur la loi applicable aux obligations non contractuelles. Dans ses réponses à ces questions, la CJUE apporte un certain nombre de précisions importantes, parmi lesquelles :
-
Le fait que le règlement de Rome II relatif aux obligations non-contractuelles s’applique pour déterminer la loi applicable à une action en cessation au sens de la directive 2009/22/CE relative aux actions en cessation en matière de protection des intérêts des consommateurs, et ce nonobstant le choix du droit applicable par le contrat contesté ;
-
La nature abusive des clauses doit être appréciée au regard du droit national applicable en vertu, cette fois, du règlement de Rome I, et ce même dans le cadre d’une action en cessation au sens de la directive 2009/22/CE. Cette appréciation, qui revient aux juridictions nationales, doit s’opérer au cas par cas en fonction de l’ensemble des circonstances de l’espèce ;
-
Sur la question de savoir si une entreprise avait le droit d’imposer au consommateur le droit national applicable du lieu de son siège, sans que cela ne soit considéré comme une clause abusive, la Cour répond que cela peut être le cas si elle est rédigée de sorte à induire ce consommateur en erreur en lui donnant l’impression que seule la loi nationale choisie par l’entreprise s’applique sans que le consommateur ne bénéficie des droits qui lui restent garantis même dans ce cas en vertu de l’article 6 paragraphe 2 du règlement de Rome I, qui rappelle que ce choix « ne peut […] avoir pour résultat de priver le consommateur de la protection que lui assurent les dispositions auxquelles il ne peut être dérogé par accord en vertu de la loi qui aurait été applicable en l’absence de choix […] » [7]extrait de l’art. 6 par. 2 du règlement 593/2008/CE dit de « Rome I »
Pour intéressants que soient les points ci-dessus, nous n’entrerons pas plus dans le détail à leur sujet, pour nous concentrer sur l’aspect qui a valu à cet arrêt le qualificatif de « décevant » en début d’article, en rapport avec le thème de la protection des données.
La dernière question posée par le juge autrichien à la CJUE dans son renvoi préjudiciel portait en effet sur la compatibilité entre les règles d’attribution de la compétence et du droit applicable à l’article 4 de la directive 95/46/CE relative à la protection des données [8]Voir là-dessus également l’arrêt Weltimmo : CJUE 1 october 2015 Weltimmo, aff. C-230/14 et les règlements de Rome I et de Rome II :
« Le traitement de données à caractère personnel par une entreprise qui conclut par voie de commerce électronique des contrats avec des consommateurs résidant dans d’autres Etats membres est-il soumis, en vertu de l’article 4, paragraphe 1 sous a), de la directive 95/46, exclusivement et quel que soit le droit qui serait applicable par ailleurs, au droit de l’Etat membre où l’entreprise a son établissement qui procède au traitement, ou cette entreprise est-elle tenue de respecter aussi les règles en matière de protection des données Etats membres vers lesquels elle dirige son activité économique ? » [9]CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15
La question méritait d’être posée. En effet, dans le cadre d’un contrat liant une entreprise à un consommateur résidant dans l’Union européenne, l’article 6 du règlement de Rome I prévoit, sauf exception, que le droit national applicable est celui du pays où le consommateur a sa résidence habituelle. Le règlement de Rome II dispose lui la règle générale selon laquelle le droit national du pays où a lieu un dommage est applicable en cas de litige. L’article 4, paragraphe 1 sous a) de la directive 95/46/CE est-il compatible avec ce cadre général ?
Cet article, qui porte sur le droit national applicable, dispose que « si un même responsable du traitement est établi sur le territoire de plusieurs Etats members, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable » [10]extrait de l’art. 4 par. 1 sous a) de la directive 95/46/CE.
La question suscitait d’autant plus d’intérêt que les règlements de Rome I et Rome II étant postérieurs à la directive 95/46/CE, une abrogation tacite par les premiers de la directive aurait pu être envisagée. De plus, ces règlements comportent un certain nombre de dispositions, parmi lesquelles des dispositions relatives aux lois de police, permettant à des dispositions d’un droit national de s’appliquer même lorsque, en principe, c’est au droit national d’un autre Etat membre de s’appliquer [11]Voir par exemple : art. 9 du règlement de Rome I.
Il est probable que l’article 4 paragraphe 1 sous a) de la directive 95/46/CE relative à la protection des données s’applique malgré et en dérogation des règlements de Rome I et II. Si l’article 27 du règlement de Rome II dispose que « le présent règlement n’affecte pas l’application des dispositions de droit communautaire qui, dans des matières particulières, règlent les conflits de lois en matière d’obligations non contractuelles », pour le règlement de Rome I, en effet, l’article 23 du règlement I prévoit que « A l’exception de l’article 7, le présent règlement n’affecte pas l’application des dispositions du droit communautaire qui, dans des domaines particuliers, règlent les conflits de lois en matière d’obligations contractuelles » [12]Article 23 du règlement de Rome I. Ceci dit, même dans cette hypothèse, l’article 7 du règlement de Rome I, relatif aux contrats d’assurance – qui peuvent contenir des clauses relatives à un traitement de données personnelles dans le cadre de ce contrat – s’applique. Il n’est pas non plus tout à fait certain, vu sa formulation, que l’article 9 du règlement de Rome I, relatif aux lois de police, ne s’applique pas quoi qu’il arrive[13]« Les dispositions du présent règlement ne pourront porter atteinte à l’application des lois de police du juge saisi. » (art. 9 para. 2 du Règlement de Rome II) Cette formulation laisse … Continue reading. Et même lorsque les règlements de Rome I et Rome II prévoient bel et bien une prise en compte de régimes particuliers définis dans d’autres actes de l’Union européenne, la question de la frontière entre ce qui relève par exemple de la protection des données (et donc d’un droit national en vertu de la directive 95/46/CE) et du droit pouvant être d’un autre Etat membre (dans le cadre des dispositions de Rome I ou Rome II) peut se poser.
Or, la CJUE, dans son arrêt du 28 juillet 2016, n’évoque même pas ces dispositions dans ses considérants, et écarte en définitive la question de la compatibilité des règles d’attribution de la compétence nationale prévues à l’article 4 de la directive 95/46/CE sur la protection des données avec le régime de Rome I et Rome II. En rappelant sa jurisprudence Weltimmo [14]CJUE 1 october 2015 Weltimmo, aff. C-230/14 de l’an dernier, elle esquive en définitive la question que lui posait la Cour Suprême autrichienne.
Pour rappel, la jurisprudence Weltimmo avait permis à la Cour de préciser que la notion d’établissement contenue à l’article 4 paragraphe 1 sous a) de la directive 95/46/CE « ne saurait recevoir une interprétation restrictive » [15]CJUE 1er octobre 2015 « Weltimmo » Aff. C-230/14, pt. 25. Ainsi, « si la circonstance que l’entreprise responsable du traitement de données ne possède ni filiale ni succursale dans un Etat membre n’exclut pas qu’elle puisse y posséder un établissement au sens de l’article 4 paragraphe 1, sous a), de la directive 95/46, un tel établissement ne saurait exister du simple fait que le site Internet de l’entreprise en question y est accessible » [16]CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15, pt. 76. Il incombe dès lors au juge national d’évaluer « tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans l’Etat membre en question » [17]CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15, pt. 77. En ce sens, et pour définir s’il y a un établissement ou non au sens de la directive, la forme juridique de celui-ci importe peu et peut même ne pas exister du tout. En pratique, ainsi, la solution retenue est proche des critères de l’article 6 paragraphe 1 sous a) et sous b) du règlement de Rome I selon lequel s’applique le droit du pays du consommateur dès lors que le professionnel exerce son activité professionnelle dans ce pays ou « par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci » [18]Art. 6 par. 1 sous b) du règlement de Rome I. S’il « dirige cette activité » [19]Art. 6 par. 1 sous b) du règlement de Rome I vers le pays, c’est bien qu’il y a une « réalité de l’exercice des activités dans l’Etat membre en question » [20]CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15, pt. 77 [21]CJUE 1er octobre 2015 « Weltimmo » Aff. C-230/14, pt. 29 et pt. 41. Dans ce dernier point la Cour indique d’ailleurs explicitement que le fait de savoir si l’activité d’un … Continue reading.
Peut-être, donc, que la Cour, sachant l’entrée en vigueur prochaine (en 2018) du Règlement général de protection des données adopté cette année, et transformant radicalement les règles d’attribution de la compétence nationale en matière de protection des données par le mécanisme du guichet unique [22]Voir l’article sur le Règlement général de protection des données, n’a pas souhaité perdre de temps à démêler une question juridique théorique extrêmement complexe et a préféré l’esquiver, considérant sans doute que sa jurisprudence Weltimmo aboutissait à une solution similaire à celle issue d’une analyse croisée avec les règlements de Rome I et de Rome II. Mais la question pourra se poser à nouveau, et peut-être même avec encore plus de force, une fois le nouveau règlement entré en vigueur.
↑1 | CJUE 1er octobre 2015 Weltimmo, aff. C-230/14, CJUE 1er octobre 2015 Bara e.a. Aff. C-201/14 et CJUE 6 octobre 2015 Schrems contre DPC Irlande Aff. C-362/14 |
↑2 | Voir les affaires : C-210/16 au sujet des contrats de sous-traitance et de la compétence territoriale des autorités de contrôle ; C-73/16 sur la collecte de données par les autorités fiscales d’un Etat membre et les conditions d’un recours effectif ; C-13/16 sur la notion d’intérêt légitime ; C-424/15 qui vise à savoir si les autorités prévues par les directives 2002/21/CE bénéficient ou non des mêmes garanties d’indépendance que les autorités de protection des données en vertu de l’article 28 de la directive 95/46/CE ; C-398/15 sur la compatibilité en matière de conservation des données entre les directives 95/46/CE et 68/151/CEE ; C-192/15 sur la notion de « recours à des moyens » sur le territoire de l’UE de l’article 4 de la directive 95/46/CE et donc sur le champ d’application territorial de la directive ; C-582/14 sur les adresses IP dynamiques et sur la notion d’intérêt légitime ; C-235/14 concernant de possibles conflits entre la directive de protection des données et la directive anti-blanchiment |
↑3, ↑14 | CJUE 1 october 2015 Weltimmo, aff. C-230/14 |
↑4 | CJUE 6 octobre 2015 Schrems contre DPC Irlande Aff. C-362/14 |
↑5 | Règlement 593/2008/CE sur la loi applicable aux obligations contractuelles |
↑6 | Règlement 864/2007/CE sur la loi applicable aux obligations non contractuelles |
↑7 | extrait de l’art. 6 par. 2 du règlement 593/2008/CE dit de « Rome I » |
↑8 | Voir là-dessus également l’arrêt Weltimmo : CJUE 1 october 2015 Weltimmo, aff. C-230/14 |
↑9 | CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15 |
↑10 | extrait de l’art. 4 par. 1 sous a) de la directive 95/46/CE |
↑11 | Voir par exemple : art. 9 du règlement de Rome I |
↑12 | Article 23 du règlement de Rome I |
↑13 | « Les dispositions du présent règlement ne pourront porter atteinte à l’application des lois de police du juge saisi. » (art. 9 para. 2 du Règlement de Rome II) Cette formulation laisse supposer que même si l’art. 23 ne prévoit pas explicitement le respect de l’article 9 même lorsque les parties font le choix d’un autre droit applicable, cet l’article 6 paragraphe 2 et l’article 23 du règlement ne sauraient faire obstacle aux dispositions sur les lois de police. |
↑15 | CJUE 1er octobre 2015 « Weltimmo » Aff. C-230/14, pt. 25 |
↑16 | CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15, pt. 76 |
↑17, ↑20 | CJUE 28 juillet 2016 Verein für Konsumenteninformation contre Amazon EU Sàrl, aff. C-191/15, pt. 77 |
↑18, ↑19 | Art. 6 par. 1 sous b) du règlement de Rome I |
↑21 | CJUE 1er octobre 2015 « Weltimmo » Aff. C-230/14, pt. 29 et pt. 41. Dans ce dernier point la Cour indique d’ailleurs explicitement que le fait de savoir si l’activité d’un responsable du traitement est dirigée vers un Etat membre est à prendre en compte pour savoir s’il y dispose d’un établissement au sens de la directive 95/46/CE |
↑22 | Voir l’article sur le Règlement général de protection des données |