Dans un arrêt important mais qui a été éclipsé par le retentissement de l’arrêt Schrems, la Cour de justice de l’UE s’est prononcée sur la loi applicable au responsable de traitement de données à caractère personnel. Dans un arrêt du 1er octobre 2015, la Cour précise les critères qui permettent de déterminer qu’un responsable de traitement dispose d’un établissement sur le territoire d’un Etat membre, critère prévu à l’article 4 de la directive sur la protection des données à caractère personnel pour déterminer la loi applicable. Ce texte permet l’application de la législation d’un Etat membre autre que celui dans lequel le responsable du traitement est immatriculé, à condition qu’il y exerce une activité effective et réelle, même minime, au moyen d’une installation stable sur le territoire de cet Etat membre. Tenant compte de l’objectif d’une protection efficace et complète de la directive, la Cour adopte une conception souple de la notion d’établissement. Pour déterminer l’existence d’un tel établissement, la Cour estime qu’on peut tenir compte du fait que « que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui-ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées ». Et la Cour ajoute que la nationalité des personnes concernées par ce traitement de données est « dénuée de pertinence ».
Cette affaire concerne Weltimmo, une société immatriculée en Slovaquie, qui exploite un site internet d’annonces immobilières de biens situés en Hongrie. Pour ce faire, elle y traite des données à caractère personnel des annonceurs. La publication des annonces est gratuite pendant un mois, durée au-delà de laquelle elle devient payante. Passé ce délai, de nombreux annonceurs ont demandé le retrait de leurs annonces ainsi que l’effacement de leurs données à caractère personnel. Mais Weltimmo n’a rien fait et a, au contraire, transmis ces données à des sociétés de recouvrement de créances. Les personnes concernées ont alors déposé plainte auprès de l’autorité de contrôle hongroise qui, considérant que la loi nationale était applicable, a infligé une amende de près de 32 000 €. L’affaire est allée devant la cour suprême hongroise qui s’est tournée vers la CJUE pour obtenir des éclaircissements sur la détermination de la loi applicable. En plus de répondre à cette question, la Cour s’est prononcée sur l’étendue des prérogatives de l’autorité de contrôle nationale, dans le cas où la loi locale ne serait pas applicable. La Cour considère que ses pouvoirs existent mais sont restreints. Si elle peut procéder à des investigations, elle ne peut pas imposer des sanctions en dehors du territoire de l’Etat membre dont elle relève. Elle devra coopérer avec son homologue de cet autre Etat membre et lui demander « de constater une éventuelle infraction à ce droit et d’imposer des sanctions si ce dernier le permet, en s’appuyant, le cas échéant, sur les informations qu’elle lui aura transmises. ».