Opinion of Advocate General Cruz Villalón delivered on 25 June 2015.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2015:426
• Docket Number: C-230/14
• Celex Number: 62014CC0230
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Date: 25 June 2015

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. PEDRO CRUZ VILLALÓN

présentées le 25 juin 2015 ( 1 )

Affaire C‑230/14

Weltimmo s.r.o.

contre

Nemzeti Adatvédelmi és Információszabadság Hatóság

[demande de décision préjudicielle présentée par la Kúria (Hongrie)]

«Protection des données à caractère personnel — Directive 95/46/CE — Article 4, paragraphe 1, et article 28, paragraphes 1, 3 et 6 — Responsable du traitement des données établi dans un autre État membre — Détermination du droit applicable et de l’autorité de contrôle compétente — Pouvoirs de l’autorité de contrôle — Pouvoir de sanction — Notion de ‘traitement des données’»

1. Les questions préjudicielles posées par la Kúria (Cour suprême, Hongrie) ont pour origine un litige qui oppose la Nemzeti Adatvédelmi és Információszabadság Hatóság (ci‑après l’«autorité de contrôle hongroise») à une entreprise, établie en Slovaquie, qui exploite un site Internet publiant des annonces immobilières pour des biens immobiliers situés en Hongrie.

2. Présentée ainsi, cette affaire offre une fois encore à la Cour l’occasion de se prononcer sur la façon de déterminer le droit applicable au traitement des données conformément à l’article 4, paragraphe 1, sous a), de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 2 ), disposition qu’elle a déjà interprétée dans son arrêt Google Spain et Google ( 3 ). La présente affaire soulève cependant des questions inédites concernant tant la détermination de l’autorité de contrôle compétente que le droit national qu’elle doit appliquer et les pouvoirs dont elle dispose, en particulier pour ce qui est de la faculté d’imposer des sanctions.

I – Le cadre juridique

A – Le droit de l’Union

3. La directive 95/46 met en place différents critères permettant de déterminer le droit national applicable au traitement des données à caractère personnel. Aux termes de son considérant 18, «[…] il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État».

4. Par ailleurs, le considérant 19 de la directive 95/46 souligne que «[…] l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux».

5. L’article 4, paragraphe 1, sous a), de la directive 95/46, qui nous intéresse en l’espèce, est la disposition qui détermine le droit applicable au traitement des données. Il dispose ce qui suit: «1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque: a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable; […].»

6. L’article 28 est consacré aux autorités de contrôle en matière des protections des données. Voici ce que prévoient ses paragraphes 1, 3, 4 et 6: «1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive. Ces autorités exercent en toute indépendance les missions dont elles sont investies. […] 3. Chaque autorité de contrôle dispose notamment: — de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle, — de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques, — du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire. Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel. 4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande. Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu. […] 6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre. Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.» […].»

B – Le droit hongrois

7. La directive 95/46 a été transposée dans l’ordre juridique hongrois par la loi CXII sur l’autodétermination en matière d’information et la liberté de l’information (évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló), de 2011 (ci‑après la «loi Info»).

8. L’article 2 de la loi Info dispose ce qui suit: «1. Le champ d’application de la présente loi s’étend à tous les traitements de données et opérations techniques de traitement de données effectués sur le territoire de la Hongrie qui ont trait à des données de personnes physiques, ainsi qu’à des données d’intérêt public ou à des données qui sont publiques pour des raisons d’intérêt général. 2. La présente loi s’applique aux traitements de données et opérations techniques de traitement des données indépendamment du point de savoir s’ils sont effectués en totalité ou en partie par des moyens techniques, ou encore par des procédés manuels. 3. Les dispositions de la présente loi doivent être appliquées si un responsable de traitement effectuant un traitement de données à caractère personnel en dehors du territoire de l’Union européenne charge un sous‑traitant disposant d’un siège, d’un établissement, d’une succursale, ou encore d’un domicile ou d’une résidence sur le territoire de la Hongrie d’effectuer des opérations techniques de traitement des données, ou s’il a recours à des moyens situés sur ce territoire, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union européenne. Un tel responsable du traitement doit désigner un représentant établi sur le territoire de la Hongrie.»

9. L’article 3 de la loi Info dispose qu’aux fins de l’application de cette loi, l’on entend par: «9. ‘responsable du traitement’: la personne physique ou morale ou tout organisme dépourvu de la personnalité morale qui, seul(e) ou conjointement avec d’autres, détermine les finalités du traitement de données, prend et exécute les décisions relatives au traitement de données (y compris les moyens utilisés) ou les fait exécuter par un sous‑traitant; 10. ‘traitement de données’: toute opération ou ensemble d’opérations, indépendamment du procédé utilisé, appliquées à des données, telles que la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’utilisation, la consultation, la transmission, la divulgation, le rapprochement ou l’interconnexion, le verrouillage, l’effacement ou la destruction, ainsi que le fait d’empêcher la réutilisation des données, la réalisation d’enregistrements photographiques ou audiovisuels, ainsi que l’enregistrement de caractéristiques physiques permettant d’identifier la personne (par exemple, empreintes digitales ou palmaires, échantillon d’ADN, scan de l’iris); 11. ‘transmission de données’: le fait de rendre les données accessibles à une personne déterminée; […] 17. ‘opérations techniques de traitement des données’ (adatfeldolgozás): les...