Language of document : ECLI:EU:C:2015:426

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. PEDRO CRUZ VILLALÓN

présentées le 25 juin 2015 (1)

Affaire C‑230/14

Weltimmo s.r.o.

contre

Nemzeti Adatvédelmi és Információszabadság Hatóság

[demande de décision préjudicielle présentée par la Kúria (Hongrie)]

«Protection des données à caractère personnel – Directive 95/46/CE – Article 4, paragraphe 1, et article 28, paragraphes 1, 3 et 6 – Responsable du traitement des données établi dans un autre État membre – Détermination du droit applicable et de l’autorité de contrôle compétente – Pouvoirs de l’autorité de contrôle – Pouvoir de sanction –Notion de ‘traitement des données’»





1.        Les questions préjudicielles posées par la Kúria (Cour suprême, Hongrie) ont pour origine un litige qui oppose la Nemzeti Adatvédelmi és Információszabadság Hatóság (ci‑après l’«autorité de contrôle hongroise») à une entreprise, établie en Slovaquie, qui exploite un site Internet publiant des annonces immobilières pour des biens immobiliers situés en Hongrie.

2.        Présentée ainsi, cette affaire offre une fois encore à la Cour l’occasion de se prononcer sur la façon de déterminer le droit applicable au traitement des données conformément à l’article 4, paragraphe 1, sous a), de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (2), disposition qu’elle a déjà interprétée dans son arrêt Google Spain et Google (3). La présente affaire soulève cependant des questions inédites concernant tant la détermination de l’autorité de contrôle compétente que le droit national qu’elle doit appliquer et les pouvoirs dont elle dispose, en particulier pour ce qui est de la faculté d’imposer des sanctions.

I –    Le cadre juridique

A –    Le droit de l’Union

3.        La directive 95/46 met en place différents critères permettant de déterminer le droit national applicable au traitement des données à caractère personnel. Aux termes de son considérant 18, «[…] il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État».

4.        Par ailleurs, le considérant 19 de la directive 95/46 souligne que «[…] l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux».

5.        L’article 4, paragraphe 1, sous a), de la directive 95/46, qui nous intéresse en l’espèce, est la disposition qui détermine le droit applicable au traitement des données. Il dispose ce qui suit:

«1.      Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a)      le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

[…].»

6.        L’article 28 est consacré aux autorités de contrôle en matière des protections des données. Voici ce que prévoient ses paragraphes 1, 3, 4 et 6:

«1.      Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

[…]

3.      Chaque autorité de contrôle dispose notamment:

–        de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

–        de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

–        du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

4.      Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.

[…]

6.      Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.»

[…].»

B –    Le droit hongrois

7.        La directive 95/46 a été transposée dans l’ordre juridique hongrois par la loi CXII sur l’autodétermination en matière d’information et la liberté de l’information (évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló), de 2011 (ci‑après la «loi Info»).

8.        L’article 2 de la loi Info dispose ce qui suit:

«1.      Le champ d’application de la présente loi s’étend à tous les traitements de données et opérations techniques de traitement de données effectués sur le territoire de la Hongrie qui ont trait à des données de personnes physiques, ainsi qu’à des données d’intérêt public ou à des données qui sont publiques pour des raisons d’intérêt général.

2.      La présente loi s’applique aux traitements de données et opérations techniques de traitement des données indépendamment du point de savoir s’ils sont effectués en totalité ou en partie par des moyens techniques, ou encore par des procédés manuels.

3.      Les dispositions de la présente loi doivent être appliquées si un responsable de traitement effectuant un traitement de données à caractère personnel en dehors du territoire de l’Union européenne charge un sous‑traitant disposant d’un siège, d’un établissement, d’une succursale, ou encore d’un domicile ou d’une résidence sur le territoire de la Hongrie d’effectuer des opérations techniques de traitement des données, ou s’il a recours à des moyens situés sur ce territoire, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union européenne. Un tel responsable du traitement doit désigner un représentant établi sur le territoire de la Hongrie.»

9.        L’article 3 de la loi Info dispose qu’aux fins de l’application de cette loi, l’on entend par:

«9.      ‘responsable du traitement’: la personne physique ou morale ou tout organisme dépourvu de la personnalité morale qui, seul(e) ou conjointement avec d’autres, détermine les finalités du traitement de données, prend et exécute les décisions relatives au traitement de données (y compris les moyens utilisés) ou les fait exécuter par un sous‑traitant;

10.      ‘traitement de données’: toute opération ou ensemble d’opérations, indépendamment du procédé utilisé, appliquées à des données, telles que la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’utilisation, la consultation, la transmission, la divulgation, le rapprochement ou l’interconnexion, le verrouillage, l’effacement ou la destruction, ainsi que le fait d’empêcher la réutilisation des données, la réalisation d’enregistrements photographiques ou audiovisuels, ainsi que l’enregistrement de caractéristiques physiques permettant d’identifier la personne (par exemple, empreintes digitales ou palmaires, échantillon d’ADN, scan de l’iris);

11.      ‘transmission de données’: le fait de rendre les données accessibles à une personne déterminée;

[…]

17.      ‘opérations techniques de traitement des données’ (adatfeldolgozás): les tâches techniques liées aux opérations de traitement des données, indépendamment des procédés et moyens utilisés à cette fin, ainsi que du lieu d’application, dès lors que ces tâches techniques portent sur les données;

18.      ‘sous‑traitant’: la personne physique ou morale, ou tout organisme dépourvu de la personnalité morale qui, sur la base d’un contrat – y compris d’un contrat conclu sur la base d’une règle de droit – effectue les opérations techniques de traitement des données;

[…]»

II – Les faits et la procédure dans le litige au principal

10.      La présente demande préjudicielle a été formée à l’occasion d’un recours en cassation engagé devant la Kúria contre l’arrêt que le Fövárosi Közigazgatási és Munkaügyi Biróság (tribunal du contentieux administratif et des affaires sociales de Budapest) a rendu dans la procédure de contentieux administratif de protection des données opposant la société Weltimmo s.r.o. (ci‑après «Weltimmo») à l’autorité de contrôle hongroise.

11.      Weltimmo, dont le siège social est établi en Slovaquie, est une société qui exploite un site Internet d’intermédiaire immobilier. Son activité consiste à gérer ce site Internet, qui publie des annonces concernant des biens immobiliers situés en Hongrie. Ces annonces sont gratuites pour l’annonceur pendant le premier mois, mais le service devient payant à l’expiration de celui‑ci. Ne souhaitant pas acquitter un tel paiement à l’issue du premier mois, de nombreux annonceurs ont, par courrier électronique, demandé le retrait de leurs annonces et l’effacement de leurs données à caractère personnel. Weltimmo a fait la sourde oreille et leur a, par conséquent, facturé ses services. Ses factures étant demeurées impayées, Weltimmo a communiqué les données à caractère personnel des annonceurs à des agences de recouvrement.

12.      Saisie de plaintes par les annonceurs, l’autorité de contrôle hongroise chargée de la protection des données s’est déclarée compétente et a jugé que c’était la loi hongroise qui devait s’appliquer (puisqu’en vertu de l’article 3, paragraphe 10, de la loi Info, la collecte de données est un traitement de données). Elle a donc infligé une amende de dix millions de forints hongrois (HUF) à Weltimmo, qui a formé un recours contre celle‑ci devant le Fövárosi Közigazgatási és Munkaügyi Biróság. Sans remettre en cause la compétence de contrôle ni l’applicabilité du droit hongrois, celui‑ci a annulé la décision administrative en raison de l’imprécision de certains éléments de fait.

13.      Dans son pourvoi en cassation, Weltimmo demande notamment à la Kúria de déclarer qu’aucun éclaircissement n’était nécessaire puisque, conformément à l’article 4, paragraphe 1, sous a), de la directive 95/46, l’autorité de contrôle hongroise n’était pas compétente et ne pouvait pas appliquer le droit hongrois à un fournisseur de services établi dans un autre État membre. Elle a ajouté qu’en application de l’article 28, paragraphe 6, de la directive 95/46, cette autorité aurait dû demander à son homologue slovaque d’agir contre Weltimmo.

14.      L’autorité de contrôle hongroise soutient qu’elle est compétente et qu’elle doit appliquer la législation hongroise puisque Weltimmo avait une «personne de contact hongroise», à savoir un des propriétaires hongrois de l’entreprise, qui l’a représentée au cours de la procédure tant administrative que judiciaire. Elle fait en outre valoir que les propriétaires de Weltimmo résident en Hongrie. En tout état de cause, elle considère que l’article 28, paragraphe 6, de la directive 95/46 crée une compétence en sa faveur, indépendamment du droit applicable.

III – Les questions préjudicielles et la procédure devant la Cour

15.      Jugeant que les dispositions applicables de la directive 95/46 n’étaient pas suffisamment claires, la Kúria a, le 22 avril 2014, formé une demande préjudicielle, qui est parvenue au greffe de la Cour le 12 mai 2014. Elle a posé les questions suivantes:

«1)      L’article 28, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci‑après la ‘directive 95/46’) peut‑il être interprété en ce sens que les dispositions du droit national sont applicables, sur le territoire d’un premier État membre, à l’égard d’un responsable de traitement exploitant un site Internet d’annonces immobilières et établi exclusivement dans un second État membre, qui publie également des annonces concernant des biens immobiliers situés dans le premier État membre et dont les propriétaires communiquent leurs données à caractère personnel vers l’outil (serveur) de stockage et de traitement des données, situé dans le second État membre, de l’exploitant du site Internet?

2)      Peut‑on interpréter l’article 4, paragraphe 1, sous a), de la directive 95/46, à la lumière des considérants 18 à 20, de l’article 1er, paragraphe 2, et de l’article 28, paragraphe 1, de cette même directive, en ce sens que l’autorité nationale – hongroise – chargée de la protection des données et de la liberté de l’information (Nemzeti Adatvédelmi és Információszabadság Hatóság, ci‑après l’‘autorité chargée de la protection des données’) ne peut pas appliquer la loi hongroise relative à la protection des données, en tant que droit national, à l’égard de l’exploitant d’un site Internet d’annonces immobilières qui est exclusivement établi dans un autre État membre, même lorsque celui‑ci publie des annonces concernant des biens immobiliers situés en Hongrie dont les propriétaires, selon toute vraisemblance, communiquent les données à partir du territoire de la Hongrie vers l’outil (serveur) de stockage et de traitement des données, situé dans cet autre État membre, de l’exploitant du site Internet?

3)      Le point de savoir si un service offert par un responsable de traitement exploitant un site Internet est tourné vers le territoire d’un autre État membre revêt‑il de la pertinence aux fins de l’interprétation?

4)      Le point de savoir si les données concernant les biens immobiliers situés sur le territoire de cet autre État membre, ou les données à caractère personnel de leurs propriétaires, ont effectivement été téléchargées à partir du territoire de cet État membre, revêt‑il de la pertinence aux fins de l’interprétation?

5)      Le fait que les données à caractère personnel liées à ces biens immobiliers soient les données à caractère personnel de citoyens d’un autre État membre revêt‑il de la pertinence aux fins de l’interprétation?

6)      Le fait que les propriétaires de l’entreprise établie en Slovaquie aient une résidence en Hongrie revêt‑il de la pertinence aux fins de l’interprétation?

7)      S’il ressort des réponses apportées aux questions ci‑dessus que l’autorité hongroise chargée de la protection des données peut agir, mais qu’elle doit appliquer non le droit national, mais celui de l’État membre d’établissement, faut‑il alors interpréter l’article 28, paragraphe 6, de la directive 95/46 en ce sens que l’autorité hongroise chargée de la protection des données ne peut exercer que les pouvoirs prévus à l’article 28, paragraphe 3, de cette même directive, ce conformément au droit de l’État membre d’établissement, et qu’elle ne peut pas, par conséquent, imposer une amende?

8)      La notion de ‘adatfeldolgozás’, tant au sens de l’article 4, paragraphe 1, sous a), que de l’article 28, paragraphe 6, de [la version en langue hongroise de] la directive 95/46, est‑elle, dans la terminologie de cette directive, identique à celle de ‘adatkezelés’?»

16.      Ont présenté des observations écrites à la Cour les gouvernements hongrois, slovaque et du Royaume‑Uni, l’autorité de contrôle hongroise et la Commission européenne. Ont comparu lors de l’audience qui s’est tenue 12 mars 2015 les gouvernements hongrois, slovaque et polonais, l’autorité de contrôle hongroise ainsi que la Commission.

IV – Analyse

17.      Les questions préjudicielles formulées par la Kúria portent sur deux problèmes qui, bien que présentés comme liés l’un à l’autre, méritent une attention distincte, comme l’indiquent les observations écrites et orales présentées au cours de la procédure. Il convient, en effet, de séparer la question du droit applicable au traitement des données de celle de l’autorité de contrôle compétente. C’est la raison pour laquelle je structurerai mon raisonnement en deux parties essentiellement. En premier lieu, j’aborderai la question du droit applicable au traitement des données et, par voie de conséquence, celle de l’«établissement», ce qui m’amènera à examiner les six premières questions conjointement. En second lieu, j’étudierai la question de la détermination de l’autorité de contrôle compétente et de ses pouvoirs, ce qui m’obligera donc à analyser la question de l’éventuelle dissociation entre l’autorité de contrôle compétente et le droit applicable (septième question). Enfin, je me pencherai sur le problème de terminologie soulevé dans la huitième question.

A –    Sur le droit applicable au traitement des données et sur la notion d’«établissement» (six premières questions préjudicielles)

18.      La Kúria a posé ses six premières questions, qu’il convient d’examiner conjointement, parce qu’elle souhaite savoir, en substance, si l’article 4, paragraphe 1, sous a), et l’article 28, paragraphe 1, de la directive 95/46 peuvent être interprétés en ce sens que, dans des circonstances telles que celles de l’espèce, ils permettent d’appliquer la loi hongroise sur la protection des données et autorisent que ce soit l’autorité de contrôle hongroise qui applique cette loi à un gestionnaire d’un site Internet établi exclusivement dans un autre État membre. À ce propos, elle interroge en outre la Cour sur l’incidence de toute une série de facteurs spécifiques, tels que le fait que les services de cette entreprise soient destinés au territoire d’un autre État membre, le lieu à partir duquel les données relatives aux biens immobiliers ont été téléchargées, la nationalité des personnes dont les données à caractère personnel ont été utilisées et le fait que les propriétaires de l’entreprise disposent d’une résidence en Hongrie.

19.      Dans le texte de ses deux premières questions, la Kúria s’est référée tant à l’article 28, paragraphe 1, qu’à l’article 4, paragraphe 1, sous a), de la directive 95/46. Je considère, néanmoins, qu’il est possible de répondre à ces questions sans analyser la portée de la première de ces deux dispositions. En effet, tout ce que l’article 28, paragraphe 1, dispose, c’est que «[c]haque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive». Selon moi, cette disposition n’est pas décisive pour déterminer la loi applicable. En premier lieu, d’un point de vue systématique, l’article 28 s’inscrit dans le chapitre VI de la directive, qui a pour objet d’énoncer les règles régissant l’autorité de contrôle et le groupe de protection des personnes à l’égard du traitement des données à caractère personnel; il ne traite aucunement de la question du droit applicable. En second lieu, la formulation même de cet article 28, paragraphe 1, de la directive ne fournit aucun critère supplémentaire qui permettrait de déterminer le droit applicable au traitement des données. En somme, cette disposition ne contient aucun élément dont l’interprétation permettrait de donner une réponse différente à la question de la détermination du droit applicable conformément aux critères énoncés à l’article 4 de cette directive, qui est celui qui règle spécifiquement la question du droit applicable.

20.      Nous observons à titre liminaire, à propos de cet article 4, paragraphe 1, sous a), de la directive, qu’aussi bien les observations présentées lors de l’audience que celles qui l’avaient été durant la procédure écrite sont unanimes à souligner la pertinence de cette disposition pour répondre aux questions relatives au droit applicable, tout autant que l’importance particulière qu’il y a à déterminer le lieu d’établissement de Weltimmo.

21.      La problématique du droit applicable dans des situations transfrontalières de traitement de données est une question controversée depuis des décennies sur le plan international (4). Avec l’article 4 de la directive, qui a pour objet de déterminer le droit applicable, c’est la première fois qu’un législateur parvient à répondre à cette question (5). Cette disposition énonce différents critères permettant d’établir si le droit national au moyen duquel la directive a été transposée dans un ordre juridique interne est applicable. Elle détermine ainsi de manière indirecte (puisqu’elle permet d’établir si ces règles nationales sont applicables) le champ d’application territorial de la directive elle‑même.

22.      L’article 4, paragraphe 1, sous a), de la directive 95/46, aux termes duquel «[c]haque État membre applique les dispositions nationales qu’il arrête (6) en vertu de la présente directive aux traitements de données à caractère personnel lorsque: a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre», revêt donc une signification particulière pour les situations dans lesquelles se pose la question du droit applicable entre deux États membres de l’Union européenne.

23.      L’article 4, paragraphe 1, sous a), remplit donc une double fonction. D’une part, il permet d’appliquer le droit de l’Union par le truchement du droit d’un de ses États membres lorsque le traitement des données est effectué exclusivement «dans le cadre» des activités d’un établissement situé sur son territoire bien que le traitement des données «proprement dit» ait lieu dans un pays tiers (ce qui était le cas dans l’affaire Google Spain et Google (7)). D’autre part, cette disposition opère comme règle de détermination du droit applicable entre États membres (ce qui est la question en cause dans la présente affaire). Dans cette seconde situation, l’article 4, paragraphe 1, sous a), de la directive 95/46 est la disposition qui détermine le droit applicable en tant que règle de conflit entre les législations des différents États membres.

24.      La juridiction de renvoi a formulé ses questions à propos du gestionnaire d’une page Internet d’annonces immobilières qui est exclusivement établi dans un autre État membre, ce que conteste l’autorité de contrôle hongroise. Pour le gouvernement du Royaume‑Uni, il est évident que la loi qui doit s’appliquer en l’espèce est celle de l’État membre d’établissement, à savoir la Slovaquie, et que l’autorité de contrôle hongroise ne peut pas appliquer les règles de son propre droit national. La Commission va dans le même sens et souligne qu’indépendamment du fait que la loi hongroise pourrait s’appliquer si l’on considérait que la requérante est établie également sur le territoire hongrois, la Kúria a signalé que l’entreprise est, en l’espèce, exclusivement établie dans un autre État membre.

25.      Au‑delà de l’évaluation de fait inscrite dans le texte des questions préjudicielles quant au lieu d’établissement effectif, les troisième, quatrième, cinquième et sixième questions de la Kúria trahissent une certaine incertitude concernant la notion d’«établissement», au sens de la directive 95/46, en tant que notion qui n’est peut‑être pas purement formelle. C’est la raison pour laquelle je considère que, pour répondre utilement aux six premières questions, il faut définir les critères qui permettent de dire si nous nous trouvons en présence d’un traitement de données effectué «dans le cadre des activités d’un établissement du responsable du traitement» sur le territoire hongrois au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.

26.      Pour déterminer si c’est la législation hongroise ou, au contraire, la législation slovaque qui doit s’appliquer en l’espèce, il serait dès lors nécessaire de procéder en deux étapes suivant la méthode adoptée par la Cour dans l’arrêt Google Spain et Google (8). Il conviendrait ainsi, en premier lieu, de tirer au clair la question de savoir si Weltimmo disposait d’un établissement sur le territoire de la Hongrie et, en second lieu, si le traitement des données s’est produit dans le cadre des activités de cet établissement. Il convient cependant d’observer que, contrairement à ce qui s’est passé dans l’affaire Google Spain et Google, la question de savoir si le traitement des données s’est produit «dans le cadre des activités d’un établissement» n’est pas en litige dans la présente affaire. La question déterminante est à proprement parler celle de l’existence ou non d’un établissement en Hongrie ou en Slovaquie ou dans les deux pays. C’est la raison pour laquelle mon analyse se focalisera fondamentalement sur cette première étape du raisonnement.

27.      Dans ses observations écrites, le gouvernement hongrois a signalé à ce sujet que les différentes versions linguistiques de cette disposition militent en faveur d’une interprétation de la notion d’«établissement» qui pourrait ne pas se référer purement et simplement à la notion d’«établissement» au sens du droit des sociétés. Partisan lui aussi d’une conception non formaliste de la notion d’«établissement», le gouvernement slovaque estime qu’il convient, dans ce contexte, de se référer à la jurisprudence de la Cour relative à la liberté d’établissement. Dans le même sens, l’autorité de contrôle hongroise se fait l’avocate d’une conception de la notion d’«établissement» qui ne serait pas dominée par la forme juridique de celui‑ci et considère que l’établissement peut être constitué par le représentant de Weltimmo en Hongrie, à savoir M. Benkö en l’espèce. En effet, c’est lui qui a représenté l’entreprise au cours de la procédure administrative et dans le recours contentieux de première instance; c’est lui qui a servi de relais aux plaignants et c’est lui qui est inscrit au registre des sociétés slovaque au moyen d’une adresse située en Hongrie. L’autorité de contrôle hongroise a également relevé lors de l’audience que Weltimmo possède une boîte postale en Hongrie pour la gestion de ses affaires courantes et que l’autorité slovaque de protection des données qu’elle avait consultée de façon informelle lui avait confirmé l’absence d’activité effective de l’entreprise en Slovaquie. Seul le gouvernement polonais a insisté, lors de l’audience, sur la nécessité de tenir compte exclusivement de l’enregistrement de la société dans un État membre, qui serait le seul élément objectif et vérifiable.

28.      Cela étant dit, il faut impérativement s’inspirer du considérant 19 de la directive 95/46, qui est un élément d’interprétation fondamental pour déterminer le contenu de la notion d’«établissement» au sens de cette directive. En effet, ce considérant énonce une conception souple de la notion d’«établissement» et s’écarte ainsi de toute approche formaliste qui voudrait qu’une entreprise ne soit établie que dans le lieu où elle est enregistrée. En premier lieu, il introduit un critère d’effectivité et un élément de permanence lorsqu’il déclare que «l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable». En second lieu, il fait montre d’une grande flexibilité lorsqu’il dispose que «la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard».

29.      Cette conception de la notion d’«établissement» s’inscrit dans le droit‑fil de l’interprétation qu’en a donnée la Cour dans la jurisprudence qu’elle a consacrée à d’autres domaines du droit de l’Union. Il est, notamment, de jurisprudence constante que «la notion d’établissement, au sens des articles 52 et suivants du traité, comporte l’exercice effectif d’une activité économique au moyen d’une installation stable dans un autre État membre pour une durée indéterminée» (9), ce qui «suppose, par conséquent, une implantation réelle de la société concernée dans l’État membre d’accueil et l’exercice d’une activité économique effective dans celui‑ci» (10).

30.      Par ailleurs, dans son avis 8/2010, le groupe de travail «article 29» sur la protection des données (ci‑après le «groupe de l’article 29») (11) renvoie à l’interprétation de la notion d’«établissement» en tant que critère de rattachement aux fins de la perception de la taxe sur la valeur ajoutée (TVA) (12). La jurisprudence de la Cour en cette matière s’avère particulièrement intéressante en ce qu’elle consacre la notion d’«établissement» en tant que critère de rattachement permettant de déterminer l’assujettissement à une législation fiscale nationale et elle approfondit la notion d’«établissement stable», lequel «doit se caractériser par un degré suffisant de permanence et une structure appropriée, en termes de moyens humains et techniques, lui permettant de recevoir et d’utiliser les services qui lui sont fournis pour les besoins propres de cet établissement» (13). De surcroît, la notion d’«établissement» au sens tant de la convention de Rome (14) que de la convention de Bruxelles (15) plaide, elle aussi, pour une conception dénuée de tout formalisme (16).

31.      Indépendamment de la différence manifeste de contexte et d’objectif qui existe entre les domaines dans lesquels s’inscrit la jurisprudence que la Cour a consacrée aux matières auxquelles je viens de me référer, d’une part, et l’affaire qui nous occupe aujourd’hui, d’autre part, il est en tout cas significatif que, dans différents domaines, le droit de l’Union met l’accent sur une conception de la notion d’«établissement» qui est fondée sur le caractère réel de l’exercice des activités économiques et un certain degré de stabilité, dans le droit‑fil des indications qui figurent dans le considérant 19 de la directive 95/46.

32.      Par ailleurs, eu égard à l’objet spécifique de la directive 95/46, tel qu’il est défini à l’article 1er, paragraphe 1, de celle‑ci, à savoir «assure[r] la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel», je considère qu’il convient d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités en tenant compte de la nature spécifique des activités économiques et des prestations de services en question.

33.      Ainsi donc, comme l’ont signalé l’autorité de contrôle hongroise et le gouvernement slovaque, et conformément aux critères proposés par le groupe de l’article 29 (17), un seul agent suffirait pour que l’on puisse considérer avoir affaire à une installation stable si cet agent intervient avec un degré de stabilité suffisant grâce à la présence des moyens nécessaires à la prestation des services concrets dont il s’agit dans l’État membre en question.

34.      En effet, comme l’avocat général Jääskinen l’a signalé dans les conclusions qu’il a présentées dans l’affaire Google Spain et Google, le modèle économique de l’acteur en question doit être pris en considération pour déterminer si les conditions énoncées à l’article 4 de la directive 95/46 sont remplies (18). Pour cela, il est nécessaire d’apprécier la particularité des entreprises qui opèrent exclusivement par Internet, dont le modèle économique relativise la notion d’«installation physique permanente», ce qui conditionne également l’intensité des moyens tant humains que matériels mis en œuvre. En effet, dans certaines circonstances, un agent présent en permanence et muni d’à peine plus qu’un ordinateur portable peut constituer une structure suffisante pour pouvoir exercer une activité effective, réelle et présentant un degré de stabilité suffisant. Compte tenu de ces considérations, il s’impose, lorsque l’on évalue ces moyens humains et techniques, d’examiner soigneusement les spécificités des entreprises qui s’emploient à offrir des services sur Internet et de tenir compte des particularités de chaque situation concrète.

35.      La spécificité des activités économiques fournies par Internet a, en effet, déjà été prise en considération pour déterminer le contenu de la notion d’«établissement» dans d’autres instruments du droit de l’Union. En particulier, le considérant 19 de la directive 2000/31/CE (19) dispose que «[l]e lieu d’établissement d’une société qui fournit des services par le biais d’un site Internet n’est pas le lieu où se situe l’installation technologique servant de support au site ni le lieu où son site est accessible, mais le lieu où elle exerce son activité économique». Le groupe de l’article 29 a jugé que cette définition était pertinente aux fins de l’interprétation de l’article 4 de la directive 95/46 (20).

36.      Ces considérations permettent de conclure que, sans contester que Weltimmo est une société formellement inscrite en Slovaquie, rien ne permet d’exclure qu’elle exerce effectivement et réellement son activité sur le territoire d’un autre État, à savoir la Hongrie en l’espèce, par le truchement d’un établissement stable, qui peut être constitué par un seul agent. Si tel était le cas, Weltimmo disposerait d’un établissement en Hongrie au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46.

37.      Les différents facteurs supplémentaires signalés par la Kúria dans ses questions préjudicielles, à savoir le lieu où ont été chargées les données, l’État membre auquel sont destinés les services, la nationalité des parties lésées ou le lieu de résidence des propriétaires de l’entreprise, n’ont aucune incidence directe et déterminante sur la détermination du droit applicable (21). En effet, ces éléments ne figurent pas dans la directive en tant que critères pertinents qui permettraient de s’écarter du critère énoncé à l’article 4, paragraphe 1, sous a) (22).

38.      Nonobstant ce que je viens de dire, plusieurs de ces facteurs pourraient, dans des circonstances déterminées, constituer des indices du caractère réel et effectif de l’activité qui permettent de connaître le lieu d’établissement, et, en particulier, au moment de déterminer si le traitement des données s’est produit dans le cadre des opérations d’un établissement du responsable du traitement.

39.      En ce qui concerne, en particulier, le second de ces éléments, à savoir le fait que le traitement des données se produit dans le cadre des activités de l’établissement situé dans un État membre, il convient de se référer à l’interprétation que la Cour a donnée dans l’arrêt Google Spain et Google (23). Il résulte de celle‑ci que l’article 4, paragraphe 1, sous a), de la directive 95/46 «exige non pas que le traitement de données à caractère personnel en question soit effectué ‘par’ l’établissement concerné lui‑même, mais uniquement qu’il le soit ‘dans le cadre des activités’ de celui‑ci» (24). La Cour ajoute qu’au vu de l’objectif de la directive, «cette […] expression ne saurait recevoir une interprétation restrictive» (25).

40.      Si la juridiction de renvoi devait estimer que Weltimmo est établie dans les deux États membres en question après avoir appliqué les critères que nous venons d’énoncer, ce deuxième critère présenterait une importance particulière. Comme le gouvernement slovaque et la Commission l’ont souligné dans leurs observations écrites, il faudrait alors s’occuper avec précision des activités dans le cadre desquelles le traitement a été effectué et, en particulier, à leur degré de rattachement à un établissement donné (26). Le groupe de l’article 29 a, lui aussi, relevé, à propos des moteurs de recherche, d’autres éléments déterminants qui pourraient s’avérer fort utiles pour déterminer si les activités se situent dans le contexte de l’établissement: le fait que l’établissement est chargé des relations avec les utilisateurs, qu’il joue un rôle dans la vente de publicité ciblée aux habitants de cet État ou qu’il répond aux demandes d’application de la loi des autorités compétentes d’un État membre à l’égard des données d’utilisateur (27).

41.      En fin de compte, pour établir si le droit hongrois peut s’appliquer à l’activité que Weltimmo déploie en Hongrie, il faudrait rechercher si cette entreprise dispose, dans ce pays, d’un établissement dans le cadre des activités duquel le traitement des données litigieux aurait été effectué. Pour cela, il faudrait déterminer si l’agent auquel la décision de renvoi se réfère dispose d’une installation stable, indépendamment de sa forme juridique, par le truchement de laquelle il exerce effectivement et réellement une activité dans le cadre de laquelle le traitement de données controversé aurait eu lieu.

42.      En conclusion, je considère qu’il convient de répondre conjointement aux six premières questions de la Kúria en ce sens que l’article 4, paragraphe 1, sous a), de la directive 95/46 fait obstacle à ce que l’autorité de contrôle hongroise applique la loi de ce pays à un responsable de traitement de données établi exclusivement dans un autre État membre. À cette fin, la notion d’«établissement» doit être interprétée comme désignant l’existence d’une installation stable, indépendamment de sa forme juridique, par le truchement de laquelle il exerce une activité effective et réelle. Un seul agent peut être considéré comme étant une installation stable s’il présente un degré de stabilité suffisant du fait de la présence des moyens humains et techniques nécessaires à la fourniture des services concrets dont il s’agit.

D’autres éléments, tels que le lieu où les données ont été téléchargées, la nationalité des parties lésées, le domicile des propriétaires de l’entreprise responsable du traitement des données ou le fait que le service fourni par ce responsable est destiné au territoire d’un autre État membre sont dénués de pertinence directe et décisive pour déterminer le droit applicable, indépendamment du fait qu’ils peuvent constituer des indices du caractère réel et effectif de l’activité aux fins de localiser le lieu d’établissement et, en particulier, pour déterminer si le traitement des données a eu lieu dans le cadre des opérations de cet établissement.

B –    Sur l’autorité de contrôle compétente et l’éventuelle dissociation entre le droit applicable et l’autorité compétente (septième question préjudicielle)

43.      La septième question préjudicielle de la Kúria est rédigée comme suit: «S’il ressort des réponses apportées aux questions ci‑dessus que l’autorité hongroise chargée de la protection des données peut agir, mais qu’elle doit appliquer non le droit national, mais celui de l’État membre d’établissement, faut‑il alors interpréter l’article 28, paragraphe 6, de la directive 95/46 en ce sens que l’autorité hongroise chargée de la protection des données ne peut exercer que les pouvoirs prévus à l’article 28, paragraphe 3, de cette même directive, ce conformément au droit de l’État membre d’établissement, et qu’elle ne peut pas, par conséquent, imposer une amende?»

44.      Ainsi qu’on peut le voir, cette question est déterminante uniquement dans l’hypothèse où la juridiction de renvoi considérerait, conformément aux critères exposés précédemment, que Weltimmo ne dispose d’aucun établissement en Hongrie et est établie exclusivement en Slovaquie. Pour pouvoir répondre de façon utile à cette question, il est donc nécessaire d’examiner préalablement, puisque cela ne résulte pas de façon expresse de la réponse donnée aux questions précédentes, la possibilité qu’une autorité de contrôle d’un État membre puisse agir même lorsque, conformément aux critères de l’article 4, paragraphe 1, sous a), de la directive 95/46, le droit d’un autre État membre demeure applicable. Répondre affirmativement à cette question nous obligerait, ensuite, à déterminer l’étendue et le contenu des compétences dont disposerait alors cette autorité.

45.      Se pose donc la question préliminaire de savoir si, en plus d’être une règle de conflit, l’article 4, qui a trait au droit applicable, est également une règle permettant de désigner la juridiction compétente et, le cas échéant, il faudra nous interroger sur la valeur des précisions que l’article 28 fournit en matière de compétence des autorités publiques. Toutes ces interrogations se situent dans le contexte d’une réforme d’envergure du droit de l’Union en matière de protection des données (28).

46.      Les interprétations des paragraphes 1, 3 et 6 de l’article 28 de la directive 95/46 qui ont été défendues dans les observations présentées à la Cour vont dans plusieurs directions. Ainsi donc, l’autorité de contrôle hongroise se déclare compétente à infliger une sanction pécuniaire même si c’était la législation d’un autre État membre qui devait s’appliquer. Le gouvernement hongrois s’est prononcé dans le même sens: il serait évident, selon lui, que le statut des compétences des autorités de contrôle qui sont énoncées à l’article 28, paragraphe 3, de la directive et la procédure à suivre pour leur exercice demeurent régis par le droit national de l’État dans lequel cette autorité a son siège, de sorte qu’elle devrait imposer les sanctions qui appartiendraient suivant les règles de son propre droit national.

47.      La Commission, pour son part, estime que, pour autant qu’elles puissent les exercer sur leur propre territoire, les autorités de contrôle d’un État membre ont le droit d’exercer les compétences énumérées à l’article 28, paragraphe 3, de la directive 95/46 conformément aux règles de l’article 28, paragraphes 1 et 6. Au contraire, si une compétence ne pouvait être exercée que sur le territoire d’un autre État membre, cette autorité n’aurait d’autre ressource que de demander la coopération administrative de l’autorité de contrôle de cet autre État membre. L’autorité de contrôle du premier État membre ne pourrait donc pas infliger une sanction à un responsable du traitement des données établi exclusivement dans un autre État membre. Le gouvernement slovaque va dans le même sens et considère que, si le droit slovaque était applicable, l’autorité de contrôle hongroise serait, en application de l’article 28, paragraphes 3 et 6, compétente à mener une enquête et à examiner les plaintes dont elle serait saisie et appliquer ses propres règles de procédure, mais qu’elle devrait adresser une demande de coopération à l’autorité de contrôle de l’État membre dont le droit est applicable parce que ce serait cette dernière qui devrait se prononcer sur l’éventuelle imposition d’une sanction. Le gouvernement polonais souligne que la directive ne prévoit pas la possibilité pour les autorités d’un État membre d’appliquer le droit national d’un autre et soutient que, si le législateur avait souhaité mettre en place une possibilité aussi ambitieuse, la directive contiendrait des dispositions précises définissant son champ d’application. Enfin, le gouvernement du Royaume‑Uni estime que c’est le droit slovaque qui doit s’appliquer et que l’autorité de contrôle hongroise n’est pas compétente.

48.      Comme on peut le voir, les opinions divergent clairement. Seules les observations des gouvernements du Royaume‑Uni et polonais semblent conclure qu’il est absolument nécessaire que droit applicable et juridiction de l’autorité de contrôle coïncident, de sorte que le droit applicable déterminé conformément à l’article 4, paragraphe 1, sous b), de la directive 95/46 désignerait également l’autorité de contrôle compétente (29).

49.      Comme je vais m’employer à le démontrer, je considère que la question complexe qui nous occupe aujourd’hui doit être tranchée avec le souci de concilier les objectifs particuliers de la directive 95/46 et les principes qui régissent l’action des autorités administratives de contrôle.

50.      La problématique soulevée par cette question préjudicielle s’inscrit dans une question de fond de plus grande envergure: faut‑il admettre que la directive 95/46 apporte un tempérament, voire une dérogation, à la règle suivant laquelle les autorités administratives d’un État agissent, en principe, suivant les règles de leur droit national et en assurent l’application? En ce qui concerne la compétence des autorités publiques et, donc, l’exercice de pouvoirs de droit public, en particulier du ius puniendi, en effet, il est impératif de partir des exigences résultant de la souveraineté territoriale de l’État (30), du principe de légalité et, en définitive, de la notion d’«État de droit» (31), exigences qui imposeraient que juridiction de l’autorité de contrôle et droit applicable coïncident (32). En ce sens, le pouvoir répressif, qui est celui qui nous intéresse spécifiquement en l’espèce, ne peut, en principe, pas s’exercer en dehors des limites légales dans lesquelles une autorité administrative est habilitée à agir dans le respect de son droit national (33). Pour s’écarter de ces règles, il faut, à tout le moins, qu’il existe une base légale spécifique autorisant et délimitant l’application du droit public d’un autre État membre, et permettant en outre, avec précision et clarté, que les sujets de droit puissent prévoir le droit auquel leur comportement est soumis ainsi que ses conséquences (34).

51.      Dans le droit‑fil de ce qui précède, je ne crois pas que l’article 28, paragraphe 6, première phrase, aux termes duquel «[i]ndépendamment du droit applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3», permette de tirer une conséquence aussi nette (35). En effet, cette disposition ne fournit aucune précision concernant son champ d’application et sa portée, et n’énonce aucune garantie qui soit susceptible de permettre aux autorités administratives d’un État membre d’appliquer les règles du droit d’un autre, en particulier les sanctions de droit administratif.

52.      L’article 28, paragraphe 1, de la directive 95/46 n’offre pas non plus, selon moi, une base légale suffisante qui leur permettrait d’agir ainsi en raison du simple fait, invoqué par le gouvernement hongrois et par l’autorité de contrôle hongroise, que cette disposition utilise le pluriel lorsqu’elle précise que «[c]haque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive» (36).

53.      Nonobstant ce qui précède, ces dispositions montrent la possibilité d’une certaine dissociation entre l’autorité compétente et le droit applicable. En tout état de cause, elles admettent que l’autorité de contrôle d’un État membre puisse surveiller les activités exercées sur son territoire, même lorsque la législation applicable est celle d’un autre État membre.

54.      Je considère, à ce stade de mon analyse, qu’il est possible de donner à l’article 28, paragraphes 1, 3 et 6, de la directive 95/46 une interprétation conciliable avec les principes fondamentaux qui régissent l’exercice du pouvoir répressif de l’administration. Pareille interprétation serait rendue plus aisée par un examen conjoint de la première phrase du premier alinéa du paragraphe 6 de l’article 28 et de la seconde phrase du même alinéa, aux termes de laquelle l’autorité compétente sur le territoire de son propre État membre «peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre», et du second alinéa de ce même paragraphe 6 de l’article 28, qui dispose que «les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions […]».

55.      En ce sens, la possibilité d’agir que l’article 28, paragraphe 6, de la directive 95/46 offre aux autorités de contrôle même lorsque le droit de leur État membre ne peut pas s’appliquer doit faire l’objet d’une interprétation systématique en tenant compte de l’existence d’un mandat clair de coopération entre autorités administratives et du fait qu’une autorité peut être invitée à exercer ses pouvoirs par une autre. Une appréciation d’ensemble de cette disposition montre, en effet, que les tâches peuvent être réparties entre les différentes autorités de contrôle dans un cadre de coopération et d’assistance mutuelle.

56.      Le fait que la législation applicable soit celle d’un État membre ne prive pas les autorités de contrôle d’autres États membres de leur possibilité d’agir, compte tenu du fait, en particulier, que, dans certaines situations, bien que ce soit le droit d’un autre État membre qui doive s’appliquer conformément au critère énoncé à l’article 4, paragraphe 1, sous a), de la directive 95/46, de nombreux autres éléments de rattachement au territoire peuvent se présenter, notamment les moyens techniques ou, en particulier, les personnes lésées par le traitement des données. Eu égard à tout cela, il faudrait, pour pouvoir appliquer effectivement la directive, que l’autorité locale puisse mener une enquête et adopter certaines mesures, même avant d’avoir pu déterminer quel est le droit applicable.

57.      Plus concrètement, une autorité de contrôle invitée à agir par une réclamation ou une demande individuelle doit pouvoir déployer ses capacités d’instruction sur son propre territoire. C’est ce qui résulte sans ambiguïté de l’article 28, paragraphe 4, de la directive 95/46, qui oblige les autorités de contrôle à examiner toute demande que lui présenterait une personne relativement à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel. Cette appréciation est également conforme aux dispositions de la convention 108 de 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (37), dont l’article 14 prévoit que toute personne résidant sur le territoire d’une autre Partie contractante «doit avoir la faculté de présenter sa demande par l’intermédiaire de l’autorité désignée par cette Partie».

58.      Cette façon de procéder peut déjà fournir une réponse suffisante à la préoccupation que le gouvernement hongrois a exprimée lors de l’audience lorsqu’il a signalé que, si l’autorité de contrôle hongroise n’était pas compétente, l’obligation pour les personnes lésées de s’adresser à des autorités étrangères dans des langues qu’elles ne maîtrisent pas diminuerait l’efficacité des remèdes mis en place par la directive.

59.      En conclusion, les autorités de contrôle disposent des pouvoirs d’investigation et d’intervention énoncés à l’article 28, paragraphe 3, de la directive 95/46 quel que soit le droit matériel éventuellement applicable, mais ne peuvent les exercer que dans le respect des règles de leur droit national dans leur ressort territorial (38) et des principes que j’ai énumérés au point 50 des présentes conclusions.

60.      Il est donc manifeste que la possibilité pour l’autorité de contrôle d’un État membre d’intervenir lorsque c’est le droit matériel d’un autre État membre qui doit s’appliquer n’est pas illimitée. En effet, le principe suivant lequel l’autorité de contrôle sera liée, dans l’exercice de ses compétences, par les limites que lui impose sa condition de sujet de droit public soumis à la loi de son propre État membre demeure d’application. Elle ne pourra d’ailleurs exercer ses compétences que sur le territoire de celui‑ci. En particulier, c’est l’autorité de contrôle de l’État membre dont le droit matériel doit s’appliquer au traitement de données conformément au critère énoncé à l’article 4, paragraphe 1, sous a), de la directive 95/46 qui devra, inéluctablement, constater l’illicéité du traitement des données et c’est elle également qui devra, le cas échéant, infliger les sanctions qu’appellent les infractions.

61.      C’est la raison pour laquelle, si rien n’empêche que le pouvoir d’infliger des sanctions puisse être considéré comme l’un des pouvoirs visés à l’article 28, paragraphe 3, de la directive 95/46 (dont le point 3 se réfère au «pouvoir d’ester en justice en cas de violation» par les autorités de contrôle), l’autorité de contrôle devra, en exécution de l’obligation de coopération que lui fait l’article 28, paragraphe 6, de la directive, demander à l’autorité de contrôle de l’État membre dont le droit s’applique au traitement des données de constater l’éventuelle infraction conformément à la loi applicable et d’imposer des sanctions s’il y a lieu sur la base des informations récoltées et transmises, le cas échéant, par l’autorité du premier État membre.

62.      Cette interprétation ne contredit pas ce que le groupe de l’article 29 semble avoir dit dans divers documents. Il a d’abord souligné dans son avis 8/2010 sur le droit applicable que l’article 28, paragraphe 6, a précisément pour objet de «combler l’écart susceptible d’apparaître, sur le marché intérieur, entre le droit applicable et les compétences de contrôle dans le domaine de la protection des données» (39). S’il a effectivement déclaré en toutes lettres dans son avis qu’à cette fin, «[…] lorsque c’est le droit d’un autre État membre qui est applicable en matière de protection des données, l’autorité de contrôle peut exercer, sur son territoire, tous les pouvoirs qui lui sont conférés par l’ordre juridique national», il n’en a pas moins émis de sérieux doutes concernant l’étendue des compétences des autorités de contrôle dans ce domaine (40). Invité à poursuivre ses réflexions par la Commission, il a précisé ultérieurement sa position sur la question de la dissociation entre droit applicable et juridiction dans son rapport sur la mise en œuvre pratique de l’article 28, paragraphe 6 (41). Il a conclu que, lorsque se présente une situation de pareille dissociation, l’autorité devra appliquer les règles de procédure et les règles administratives de son propre système juridique, mais que c’est à l’État membre dont la législation est applicable qu’il appartiendra de régler les aspects matériels de la protection des données (42).

63.      Les considérations qui précèdent s’inscrivent dans un contexte juridique particulier, dans lequel l’instrument d’intervention du droit de l’Union est une directive, ce qui a permis aux États membres de conserver une liberté considérable en ce qui concerne, en particulier, les règles qu’appliquent les autorités de contrôle et les sanctions qu’elles peuvent infliger (43). En l’absence de base légale claire et de garanties assurant l’étroite collaboration dans l’interprétation des infractions et l’équivalence des sanctions (44), il serait ainsi difficilement conciliable avec les exigences que comportent les principes de souveraineté territoriale et de légalité que la dissociation entre autorité compétente et droit applicable entraîne soit l’imposition des sanctions prévues par le droit de l’État de l’autorité de contrôle locale, sanctions qui pourraient très bien ne pas être prévues par l’ordre juridique de l’État dont la législation doit s’appliquer au traitement de données, soit l’application des sanctions du droit administratif d’un autre État membre par l’autorité locale.

64.      Enfin, l’argument que le gouvernement hongrois et l’autorité de contrôle hongroise déduisent d’une application par analogie de l’arrêt que la Cour a rendu dans l’affaire UPC DTH (45), comme ils l’ont suggéré pour justifier la compétence de cette dernière à imposer des sanctions en l’espèce, n’entraîne pas une conclusion différente. Dans cet arrêt, dans lequel elle a interprété certains instruments du cadre réglementaire des communications électroniques (46), la Cour a dit pour droit que «les procédures de surveillance relatives aux services de communications électroniques […] relèvent des autorités de l’État membre dans lequel résident les destinataires desdits services» (47).

65.      Pour répondre à cet argument, qu’il nous suffise de signaler qu’indépendamment du fait que cette interprétation portait sur une situation de libre prestation des services et était circonscrite à un cadre juridique dont les objectifs et la structure diffèrent profondément de celui qui nous occupe en l’espèce, l’on retiendra, ce qui est plus pertinent, que la Cour s’est prononcée sur une situation dans laquelle le droit applicable ne faisait pas l’objet de discussions (48).

66.      Pour toutes les raisons que je viens d’exposer, je considère qu’en l’état actuel du droit de l’Union, il convient de répondre à la septième question préjudicielle de la Kúria dans les termes suivants:

Si la juridiction nationale juge que, conformément au critère énoncé à l’article 4, paragraphe 1, sous a), de la directive 95/46, son droit national ne s’applique pas, l’article 28, paragraphe 6, de cette directive doit être interprété en ce sens que c’est à l’autorité de contrôle de l’État membre dont le droit est applicable qu’il appartient de sanctionner, sur son territoire et dans le respect des modalités définies par son droit national, les infractions commises dans le traitement des données, indépendamment du point de savoir quelle autorité de contrôle locale peut exercer l’ensemble des pouvoirs énumérés à l’article 28, paragraphe 3.

C –    Sur la notion de «traitement» de données (huitième question préjudicielle)

67.      La huitième question que la juridiction de renvoi a adressée à la Cour est rédigée comme suit: «La notion de ‘adatfeldolgozás’, tant au sens de l’article 4, paragraphe 1, sous a), que de l’article 28, paragraphe 6, de [la version en langue hongroise de] la directive 95/46, est‑elle, dans la terminologie de cette directive, identique à celle de ‘adatkezelés’?»

68.      Toutes les observations présentées à la Cour coïncident sur ce point et concluent que la distinction terminologique signalée dans la décision de renvoi n’a aucune incidence.

69.      Les différents articles de la directive 95/46 utilisent systématiquement le terme «[adat]feldogozás» pour désigner la notion de «traitement de données», telle qu’elle est définie à l’article 2, sous b), de la directive. Seule la loi Info dissocie la notion d’«adatkezelés» de la notion d’«adatfeldolgozás» (49), et définit cette dernière comme désignant «l’exécution de tâches techniques liées aux opérations de traitement de données […]» (50).

70.      Or, la définition de la notion d’«[adat]feldogozás» qui apparaît à l’article 2, sous b), de la directive 95/46 et qui est utilisée tant à l’article 4, paragraphe 1, sous a), qu’à l’article 28, paragraphe 6, est plus large et inclut toute opération appliquée à des données personnelles, qu’elle soit réalisée ou non au moyen de procédés automatisés. Cette notion large de «traitement» inclurait donc la notion plus restreinte d’«exécution de tâches techniques liées aux opérations de traitement de données».

71.      C’est la raison pour laquelle je propose à la Cour de répondre à la huitième question dans les termes suivants:

La notion d’«adatfeldogozás» utilisée à l’article 4, paragraphe 1, sous a), et à l’article 28, paragraphe 6, de la version en langue hongroise de la directive 95/46 doit être interprétée en ce sens qu’elle inclut aussi bien le traitement de données au sens large que l’exécution de tâches techniques liées aux opérations de traitement de données.

V –    Conclusion

72.      Eu égard aux arguments que j’ai exposés, je propose à la Cour de répondre aux questions de la Kúria dans les termes que voici:

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données fait obstacle à ce que l’autorité de contrôle hongroise applique la loi de ce pays à un responsable de traitement de données établi exclusivement dans un autre État membre. À cette fin, la notion d’«établissement» doit être interprétée comme désignant l’existence d’une installation stable, indépendamment de sa forme juridique, par le truchement de laquelle il exerce une activité effective et réelle. Un seul agent peut être considéré comme étant une installation stable s’il présente un degré de stabilité suffisant du fait de la présence des moyens humains et techniques nécessaires à la fourniture des services concrets dont il s’agit.

D’autres éléments, tels que le lieu où les données ont été téléchargées, la nationalité des parties lésées, le domicile des propriétaires de l’entreprise responsable du traitement de données ou le fait que le service fourni par ce responsable est destiné au territoire d’un autre État membre sont dénués de pertinence directe et décisive pour déterminer le droit applicable, indépendamment du fait qu’ils peuvent constituer des indices du caractère réel et effectif de l’activité aux fins de localiser le lieu d’établissement et, en particulier, pour déterminer si le traitement des données a eu lieu dans le cadre des opérations de cet établissement.

2)      Si la juridiction nationale juge que, conformément au critère énoncé à l’article 4, paragraphe 1, sous a), de la directive 95/46, son droit national ne s’applique pas, l’article 28, paragraphe 6, de cette directive doit être interprété en ce sens que c’est à l’autorité de contrôle de l’État membre dont le droit est applicable qu’il appartient de sanctionner, sur son territoire et dans le respect des modalités définies par son droit national, les infractions commises dans le traitement des données, indépendamment du point de savoir quelle autorité de contrôle locale peut exercer l’ensemble des pouvoirs énumérés à l’article 28, paragraphe 3.

3)      La notion d’«adatfeldogozás» utilisée à l’article 4, paragraphe 1, sous a), et à l’article 28, paragraphe 6, de la version en langue hongroise de la directive 95/46 doit être intreprétée en ce sens qu’elle inclut aussi bien le traitement de données au sens large que l’exécution de tâches techniques liées aux opérations de traitement de données.

1 – Langue originale: espagnol.

2 – Directive du Parlement européen et du Conseil du 24 octobre 1995 (JO L 281, p. 31).

3 – C‑131/12, EU:C:2014:317.

4 – Voir, notamment, Rigaux, F., «La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel», Revue critique de droit international privé, 1980, p. 443 à 478.

5 – Bygrave, L., «Determining applicable law pursuant to European Data Protection Legislation», Computer Law and Security Report, no 16, 2000, p. 252.

6 – Note sans incidence dans la version en langue française.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, points 48 à 50.

9 – Arrêts Factortame e.a. (C‑221/89, EU:C:1991:320, point 20) et Commission/Royaume‑Uni (C‑246/89, EU:C:1991:375, point 21).

10 – Arrêt Cadbury Schweppes et Cadbury Schweppes Overseas (C‑196/04, EU:C:2006:544, point 54).

11 – Avis 8/2010 sur le droit applicable, rendu le 16 décembre 2010 (0836‑02/10/FR, WP 179).

12 – En effet, cet avis se réfère aux arrêts Berkholz (168/84, EU:C:1985:299, point 18) et Lease Plan (C‑390/96, EU:C:1998:206), dans lesquels la Cour a interprété l’article 9, paragraphe 1, de la sixième directive 77/388/CEE du Conseil, du 17 mars 1977, en matière d’harmonisation des législations des États membres relatives aux taxes sur le chiffre d’affaires – Système commun de taxe sur la valeur ajoutée: assiette uniforme (JO L 145, p. 1).

13 – Voir arrêt Welmory (C‑605/12, EU:C:2014:2298, point 58), dans lequel la Cour a interprété l’article 44 de la directive 2006/112/CE du Conseil, du 28 novembre 2006, relative au système commun de taxe sur la valeur ajoutée (JO L 347, p. 1), dans sa version modifiée par la directive 2008/8/CE du Conseil, du 12 février 2008 (JO L 44, p. 11). Voir également arrêt Planzer Luxembourg (C‑73/06, EU:C:2007:397, point 54 et jurisprudence citée).

14 – Convention sur la loi applicable aux obligations contractuelles, ouverte à la signature à Rome le 19 juin 1980 (JO L 266, p. 1).

15 – Convention du 27 septembre 1968 concernant la compétence judiciaire et l’exécution des décisions en matière civile et commerciale (JO 1972, L 299, p. 32; version consolidée JO 1998, C 27, p. 1).

16 – La Cour a dit pour droit que «la notion de succursale, d’agence ou de tout autre établissement implique un centre d’opérations qui se manifeste d’une façon durable vers l’extérieur comme le prolongement d’une maison mère, pourvu d’une direction et matériellement équipé de façon à pouvoir négocier des affaires avec des tiers» (arrêts Somafer, 33/78, EU:C:1978:205, point 12, et Blanckaert & Willems, 139/80, EU:C:1981:70, point 11), et elle a insisté sur le fait que «le terme ‘établissement’ vis[e] toute structure stable d’une entreprise. Par conséquent, non seulement les filiales et les succursales, mais également d’autres unités telles que les bureaux d’une entreprise pourraient constituer des établissements au sens de l’article 6, paragraphe 2, sous b), de la convention de Rome, alors même qu’il ne serait pas doté de la personnalité juridique» (arrêt Voogsgeerd, C‑384/10, EU:C:2011:842, point 54).

17 – Avis 8/2010, p. 14.

18 – C‑131/12, EU:C:2013:424, point 65.

19 – Directive du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique») (JO L 178, p. 1).

20 – Voir le document de travail relatif à l’application internationale du droit de l’Union européenne en matière de protection des données au traitement des données à caractère personnel sur Internet par des sites web établis en dehors de l’UE, le 30 mai 2002 (WP 56, 5035/01/FR/Final,p. 8).

21 – Les parties qui ont présenté les observations à la Cour sont divisées au sujet de ces facteurs. Alors que l’autorité de contrôle hongroise estime qu’ils sont pertinents, le gouvernement du Royaume‑Uni considère qu’aucun d’entre eux n’est digne d’intérêt puisque l’article 4, paragraphe 1, de la directive n’en mentionne aucun. La Commission a conclu dans le même sens. Pour le gouvernement hongrois, seuls le fait que les services sont destinés au territoire d’un État membre et le lieu où les données ont été téléchargées dans le système informatique seraient pertinents. Le gouvernement slovaque considère que ni le lieu où les données sont communiquées, ni la nationalité des parties lésées, ni la résidence des propriétaires de l’entreprise ne sont pertinents pour déterminer le droit national applicable.

22 – Le groupe de l’article 29 s’est également prononcé en ce sens lorsqu’il a déclaré que «ni la nationalité ou le lieu de résidence habituel des personnes concernées ni la localisation physique des données à caractère personnel ne sont déterminants [pour désigner le droit applicable]», avis 8/2010, p. 9 et 10. Voir également points 55 à 58 des conclusions que l’avocat général Jääskinen a présentées dans l’affaire Google Spain et Google (C‑131/12, EU:C:2013:424).

23 – C‑131/12, EU:C:2014:317, points 48 à 50.

24 – Ibidem, point 52.

25 – Ibidem, point 53.

26 – Voir également, sur ce point, avis 8/2010 du groupe de l’article 29.

27 – Avis 1/2008 sur les aspects de la protection des données liés au moteur de recherche, avis rendu le 4 avril 2008 (WP 148, 00737/FR).

28 – Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [COM(2012) 11 final].

29 – La doctrine est divisée pour le surplus. Certains auteurs considèrent que l’article 4 de la directive est la règle qui détermine la juridiction également (notamment, Bing, J., «Data Protection, Jurisdiction and the Choice of Law», Privacy Law & Policy Reporter, 1999), alors que d’autres considèrent le contraire. Voir, notamment, Swire, P. P., «Of Elephants, Mice and Privacy: International Choice of Law and the Internet», The International Lawyer, 1998, p. 991. Voir également, sur cette question, Kuner, C., «Data Protection Law and International Jurisdiction on the Internet (Part 1)», International Journal of Law and Information Technology, no 18, 2010, p. 176.

30 – Aux termes du considérant 21 de la directive 95/46, celle‑ci «ne préjuge pas des règles de territorialité applicables en matière de droit pénal». Je considère que cela vaut également pour les sanctions administratives.

31 – Dont le noyau essentiel peut être défini en ce sens que toutes les autorités publiques, à tous les niveaux, «must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers», Lord Bingham, «The Rule of Law», The Cambridge Law Journal, no 66, 2007, p. 78.

32 – Selon la doctrine, «le régime de contrôle a un caractère fondamentalement administratif ou de droit public, ce qui a pour conséquence qu’il existe une corrélation étroite entre le droit applicable et l’autorité compétente à sanctionner d’éventuelles infractions», Miguel Asensio, P. A., Derecho Privado de Internet, 4e édition, Madrid, 2011, p. 333. La doctrine s’est prononcée dans un sens analogue en ce qui concerne les compétences des autorités de contrôle en matière de concurrence, les auteurs signalant que, dans le domaine de l’exercice de l’autorité publique, l’applicabilité du droit détermine la compétence de l’autorité qui doit l’appliquer. Voir, notamment, Basedow, J., «Antitrust or Competition Law, International», dans Wolfrum, R. (éd.), Max Planck Encyclopedia of Public International Law, 2009.

33 – Voir, en ce sens, Rigaux F., op. cit. p. 469: «On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux‑mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori.»

34 – Ohler, C., Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, p. 109 et 314.

35 – Mis en italique par moi.

36 – Mis en italique par moi. Sur cette controverse, voir Damman, U., et Simitis, S., EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden‑Baden, 1997, p. 306.

37 – Convention ETS 108, à laquelle tous les États membres sont parties. Aux termes du considérant 11 de la directive, celle‑ci précise et élargit la protection mise en place par cette convention.

38 – Voir, sur cette question, Damman, U., et Simitis, S., op.cit., p. 313.

39 – Avis 8/2010 sur le droit applicable, p. 29.

40 – C’est ainsi que, dans son avis 8/2010, le groupe de l’article 29 souligne, d’une part, que la coopération entre autorités de contrôle ne se limite pas, comme il l’indique fort à propos, à l’échange d’informations, mais inclut également «[le] traitement de plaintes transfrontalières, [la] recherche de preuves pour d’autres autorités chargées de la protection des données ou [l’]application de sanctions» (p. 31). Dans ce même avis, il n’en exprime pas moins des doutes concernant l’étendue des pouvoirs que chaque autorité de contrôle doit exercer: «Il convient dès lors de se pencher sur plusieurs questions à savoir notamment: […] il s’agit en particulier de déterminer la mesure dans laquelle l’autorité du lieu où le traitement est effectué exercera ses pouvoirs, s’agissant de l’application des principes matériels et des sanctions; de savoir si elle doit limiter l’exercice de ses pouvoirs à la vérification des faits et si elle peut prendre des mesures d’exécution provisoires, voire même des mesures définitives; de savoir si elle peut donner sa propre interprétation des dispositions du droit applicable ou s’il s’agit là d’une prérogative de l’autorité de l’État membre dont le droit est applicable» (p. 30).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, , du 20 avril 2011 [Ref. Ares (2011) 444105].

42 – Ibidem p. 31. L’exemple no 10 qu’il offre dans son avis est très éloquent à ce sujet. Cet exemple est fondé sur l’hypothèse de l’application du droit allemand à un traitement de données effectué au Royaume‑Uni: «l’autorité britannique chargée de la protection des données doit avoir le pouvoir d’inspecter les locaux au Royaume‑Uni et d’établir des conclusions à transmettre à son homologue allemande; cette dernière doit pouvoir infliger une sanction au responsable du traitement établi en Allemagne, sur la base des conclusions de l’autorité britannique».

43 – Ainsi que le confirme le considérant 9 de la directive 95/46. L’on consultera, sur ce point, le document élaboré par l’Agence des droits fondamentaux de l’Union européenne (FRA), Data Protection in the European Union: the role of National Data Protection Authorities, 2010, qui met le doigt sur les différents pouvoirs des autorités de contrôle dans les États membres.

44 – En ce sens, la pertinence et le caractère innovateur du droit de l’Union en matière de protection des données dans l’espace administratif européen sont indubitables. Si elle est adoptée entre‑temps, la proposition de règlement général de protection des données, devenue règlement, entraînera une modification d’envergure en la matière, notamment en ce qui concerne la mise en place d’un système complexe et élaboré de coopération, de cohérence et de répartition des responsabilités entre les différentes autorités de contrôle.

45 – C‑475/12, EU:C:2014:285.

46 – En particulier la directive 2002/20/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à l’autorisation de réseaux et de services de communications électroniques (directive «autorisation») (JO L 108, p. 21), dans sa version résultant de la directive 2009/140/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO L 337, p. 37), et la directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108, p. 33), dans sa version résultant de la même directive 2009/140.

47 – Arrêt UPC DTH (C‑475/12, EU:C:2014:285, point 88).

48 – En effet, la sanction infligée dans cette affaire avait pour origine le refus de la société en cause de fournir des renseignements à l’autorité nationale des communications. La Cour a dit pour droit qu’«en vertu de l’article 11, paragraphe 1, sous b), de la directive ‘autorisation’ […], les autorités nationales peuvent demander aux entreprises les informations qui sont raisonnablement nécessaires et objectivement justifiées pour leur permettre de verifier le respect des conditions relatives à la protection des consommateurs lorsqu’elles reçoivent une plainte ou qu’elles mènent une enquête de leur propre initiative» (ibidem, point 85).

49 – Dans la directive apparaît uniquement un mot dérivé du terme «adatkezelés» pour désigner le responsable du traitement de données.

50 – Article 3, paragraphe 17, de la loi Info. Le paragraphe 10 de cet article 3 de la loi Info définit la notion d’«adatkezelés» d’une façon plus large, qui correspond, en substance, à la notion de «traitement de données» définie à l’article 2, sous b), de la directive 95/46.