CJUE, 3e ch., 1 octobre 2015, n° C-230/14
COUR DE JUSTICE DE L’UNION EUROPEENNE
Arrêt
PARTIES
Demandeur :
Weltimmo
Défendeur :
Nemzeti Adatvédelmi és Információszabadság Hatóság
COMPOSITION DE LA JURIDICTION
Président :
M. Ileic
Juges :
Mme Toader, MM. Ó Caoimh, Jaraiunas, Fernlund (rapporteur)
Avocat général :
M. Cruz Villalón
Avocats :
Mes Dudás, Holmes
LA COUR (troisième chambre),
Arrêt
1 La demande de décision préjudicielle porte sur l'interprétation des articles 4, paragraphe 1, sous a), et 28, paragraphes 1, 3 et 6, de la directive 95-46-CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
2 Cette demande a été présentée dans le cadre d'un litige opposant Weltimmo s. r. o. (ci-après "Weltimmo"), société dont le siège est situé en Slovaquie, à la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorité nationale chargée de la protection des données et de la liberté de l'information, ci-après l'"autorité de contrôle hongroise") au sujet d'une amende infligée par cette dernière pour violation de la loi n° CXII de 2011 sur l'autodétermination en matière d'information et la liberté de l'information (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, ci-après la "loi sur l'information"), qui a transposé la directive 95-46 dans le droit hongrois.
Le cadre juridique
Le droit de l'Union
3 Les considérants 3, 18 et 19 de la directive 95-46 énoncent:
"(3) considérant que l'établissement et le fonctionnement du marché intérieur dans lequel, conformément à l'article [26 TFUE], la libre circulation des marchandises, des personnes, des services et des capitaux est assurée, nécessitent non seulement que des données à caractère personnel puissent circuler librement d'un État membre à l'autre, mais également que les droits fondamentaux des personnes soient sauvegardés;
(18) considérant qu'il est nécessaire, afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l'un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l'autorité du responsable du traitement établi dans un État membre à l'application de la législation de cet État;
(19) considérant que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable; que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard; que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux".
4 L'article 2 de la directive 95-46 prévoit:
"Aux fins de la présente directive, on entend par:
b) "traitement de données à caractère personnel ['feldolgozása']" (traitement ['feldolgozás']): toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction; "
5 L'article 4, paragraphe 1, sous a), de la directive 95-46 dispose:
"1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:
a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable".
6 Aux termes de l'article 28, paragraphes 1, 3 et 6, de la directive 95-46:
"1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.
Ces autorités exercent en toute indépendance les missions dont elles sont investies.
3. Chaque autorité de contrôle dispose notamment:
- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,
- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en œuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,
- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.
Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.
6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.
Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile."
Le droit hongrois
7 L'article 2, paragraphe 1, de la loi sur l'information prévoit:
"Le champ d'application de la présente loi s'étend à tous les traitements de données et opérations techniques de traitement de données effectués sur le territoire de la Hongrie, qui ont trait à des données relatives à des personnes physiques, ainsi qu'à des données d'intérêt public ou à des données qui sont publiques pour des raisons d'intérêt général."
8 L'article 3, paragraphes 10 et 17, de la loi sur l'information contient les définitions suivantes:
"10. " traitement de données " : toute opération ou ensemble d'opérations, indépendamment du procédé utilisé, appliquées à des données, telles que la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'utilisation, la consultation, la transmission, la divulgation, le rapprochement ou l'interconnexion, le verrouillage, l'effacement ou la destruction, ainsi que le fait d'empêcher la réutilisation des données, la réalisation d'enregistrements photographiques ou audiovisuels, ainsi que l'enregistrement de caractéristiques physiques permettant d'identifier la personne (par exemple empreintes digitales ou palmaires, échantillon d'ADN, numérisation de l'iris);
17. " opérations techniques de traitement des données " [" adatfeldolgozás "]: les tâches techniques liées aux opérations de traitement des données, indépendamment des procédés et moyens utilisés à cette fin, ainsi que du lieu d'application, dès lors que ces tâches techniques portent sur les données".
Le litige au principal et les questions préjudicielles
9 Weltimmo, société immatriculée en Slovaquie, exploite un site Internet d'annonces immobilières concernant des biens situés en Hongrie. À ce titre, elle traite les données à caractère personnel des annonceurs. Les annonces sont publiées gratuitement pendant un mois et deviennent payantes au terme de ce délai. De nombreux annonceurs ont demandé, par courrier électronique, le retrait de leurs annonces à compter de ce terme et, par la même occasion, l'effacement des données à caractère personnel les concernant. Weltimmo n'a toutefois pas procédé à cet effacement et a facturé aux intéressés le prix de ses services. En l'absence de règlement des sommes facturées, cette société a communiqué les données à caractère personnel relatives aux annonceurs concernés à des agences de recouvrement.
10 Lesdits annonceurs ont déposé des plaintes auprès de l'autorité de contrôle hongroise. Celle-ci s'est déclarée compétente sur le fondement de l'article 2, paragraphe 1, de la loi sur l'information, en estimant que la collecte des données concernées avait eu lieu sur le territoire hongrois et que celle-ci constituait un traitement de données ou une opération technique de traitement de données se rapportant à des personnes physiques. Considérant que Weltimmo avait violé la loi sur l'information, cette autorité de contrôle a infligé à ladite société une amende de dix millions de forints hongrois (HUF) (environ 32 000 euros).
11 Weltimmo a alors saisi le tribunal administratif et du travail de Budapest (Fovárosi Közigazgatási és Munkaügyi Bíróság), lequel a considéré que le fait que cette société ne disposait pas d'un siège ou d'un établissement situé en Hongrie ne constituait pas un argument de défense valable, dès lors que la fourniture des données relatives aux biens immobiliers hongrois concernés ainsi que le traitement de ces données avaient eu lieu en Hongrie. Ce tribunal a toutefois annulé la décision de l'autorité de contrôle hongroise pour d'autres motifs, tenant à l'imprécision de certains éléments de fait.
12 Weltimmo s'est pourvue en cassation devant la juridiction de renvoi en soutenant qu'aucun éclaircissement supplémentaire des faits n'était nécessaire, dès lors que, en vertu de l'article 4, paragraphe 1, sous a), de la directive 95-46, l'autorité de contrôle hongroise, en l'occurrence, n'était pas compétente et ne pouvait appliquer le droit hongrois à un prestataire de services établi dans un autre État membre. Weltimmo a soutenu que, en application de l'article 28, paragraphe 6, de la directive 95-46, cette autorité aurait dû demander à l'autorité slovaque compétente en la matière d'agir en ses lieu et place.
13 L'autorité de contrôle hongroise a fait valoir que Weltimmo avait, en Hongrie, un représentant de nationalité hongroise, à savoir l'un des propriétaires de cette société, qui a représenté celle-ci au cours des procédures administrative et juridictionnelle suivies dans cet État membre. Cette autorité a ajouté que les serveurs Internet de Weltimmo étaient, vraisemblablement, installés en Allemagne ou en Autriche, mais que les propriétaires de cette société habitaient en Hongrie. Enfin, selon ladite autorité, il découle de l'article 28, paragraphe 6, de la directive 95-46 qu'elle était en tout état de cause compétente pour agir, indépendamment du droit applicable.
14 Nourrissant des doutes quant à la détermination du droit applicable et quant aux pouvoirs dont dispose l'autorité de contrôle hongroise au regard des articles 4, paragraphe 1, et 28 de la directive 95-46, la Cour suprême a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes:
"1) L'article 28, paragraphe 1, de la directive 95-46 peut-il être interprété en ce sens que les dispositions du droit national sont applicables, sur le territoire d'un premier État membre, à l'égard d'un responsable de traitement exploitant un site Internet d'annonces immobilières et établi exclusivement dans un second État membre, qui publie également des annonces concernant des biens immobiliers situés dans le premier État membre et dont les propriétaires communiquent les données à caractère personnel les concernant vers l'outil (serveur) de stockage et de traitement des données, situé dans le second État membre, de l'exploitant du site Internet?
2) Peut-on interpréter l'article 4, paragraphe 1, sous a), de la directive 95-46, à la lumière des considérants 18 à 20, de l'article 1er, paragraphe 2, et de l'article 28, paragraphe 1, de cette directive, en ce sens que l'autorité de contrôle hongroise ne peut appliquer la loi hongroise relative à la protection des données, en tant que droit national, à l'égard de l'exploitant d'un site Internet d'annonces immobilières qui est exclusivement établi dans un autre État membre, même lorsque celui-ci publie des annonces concernant des biens immobiliers situés en Hongrie, dont les propriétaires, selon toute vraisemblance, communiquent les données à partir du territoire hongrois vers l'outil (serveur) de stockage et de traitement des données, situé dans cet autre État membre, de l'exploitant du site Internet?
3) Le point de savoir si un service offert par un responsable de traitement exploitant un site Internet est tourné vers le territoire d'un autre État membre est-il pertinent aux fins de l'interprétation?
4) Le point de savoir si les données concernant les biens immobiliers situés sur le territoire de cet autre État membre, ou les données à caractère personnel relatives à leurs propriétaires, ont effectivement été téléchargées à partir du territoire de cet État membre est-il pertinent aux fins de l'interprétation?
5) Le fait que les données à caractère personnel liées à ces biens immobiliers soient les données à caractère personnel relatives à des citoyens d'un autre État membre est-il pertinent aux fins de l'interprétation?
6) Le fait que les propriétaires de l'entreprise établie en Slovaquie habitent en Hongrie est-il pertinent aux fins de l'interprétation?
7) S'il ressort des réponses apportées aux questions précédentes que l'autorité de contrôle hongroise peut agir, mais qu'elle doit appliquer non pas le droit national, mais celui de l'État membre d'établissement, faut-il alors interpréter l'article 28, paragraphe 6, de la directive 95-46 en ce sens que l'autorité de contrôle hongroise ne peut exercer que les pouvoirs prévus à l'article 28, paragraphe 3, de cette directive, cela conformément au droit de l'État membre d'établissement, et qu'elle ne peut, par conséquent, infliger une amende?
8) La notion " d'adatfeldolgozás " (opérations techniques de traitement des données), au sens tant de l'article 4, paragraphe 1, sous a), que de l'article 28, paragraphe 6, de la directive 95-46, est-elle, dans la terminologie de cette directive, identique à celle " d'adatkezelés " (traitement de données)?"
Sur les questions préjudicielles
Remarques liminaires
15 S'agissant, tout d'abord, du cadre factuel du litige au principal, il y a lieu de mentionner un certain nombre d'éléments d'information supplémentaires, présentés par l'autorité de contrôle hongroise dans ses observations écrites et lors de l'audience devant la Cour.
16 Il ressort de ces éléments, premièrement, que cette autorité aurait appris, de manière informelle, de son homologue slovaque que Weltimmo n'exerçait aucune activité au lieu de son siège, en Slovaquie. Par ailleurs, Weltimmo aurait, à plusieurs reprises, déplacé ce siège d'un État à un autre. Deuxièmement, Weltimmo aurait développé deux sites d'annonces immobilières, rédigés exclusivement en langue hongroise. Elle aurait ouvert un compte bancaire en Hongrie, destiné au recouvrement de ses créances, et aurait disposé d'une boîte aux lettres dans cet État membre, pour ses affaires courantes. Le courrier aurait été régulièrement relevé et transmis à Weltimmo par voie électronique. Troisièmement, les annonceurs devaient eux-mêmes non seulement inscrire les données relatives à leurs biens immobiliers sur le site de Weltimmo, mais aussi effacer ces données de ce site s'ils ne souhaitaient pas que celles-ci continuent d'y figurer au-delà du délai d'un mois évoqué précédemment. Weltimmo aurait soulevé un problème de gestion informatique pour expliquer que cet effacement n'avait pu être effectué. Quatrièmement, Weltimmo serait une société composée d'une ou de deux personnes seulement. Son représentant en Hongrie aurait tenté de négocier avec les annonceurs le règlement des créances impayées.
17 S'agissant, ensuite, du libellé des questions posées, bien que la juridiction de renvoi utilise les termes "exclusivement établi" dans ses première et deuxième questions, il ressort de la décision de renvoi et des observations écrites et orales présentées par l'autorité de contrôle hongroise que, si Weltimmo est immatriculée en Slovaquie et est, par conséquent, établie dans cet État membre, au sens du droit des sociétés, il existe un doute sur le point de savoir si elle est "établie" uniquement dans cet État membre, au sens de l'article 4, paragraphe 1, sous a), de la directive 95-46. En interrogeant la Cour au sujet de l'interprétation de cette disposition, la juridiction de renvoi cherche, en effet, à savoir ce que recouvre la notion d'"établissement" utilisée à cette disposition.
18 Il convient, enfin, de relever que, dans les première et deuxième questions, la juridiction de renvoi fait état de ce que le serveur utilisé par Weltimmo est installé en Slovaquie, tandis que, dans un autre passage de la décision de renvoi, elle mentionne la possibilité que les serveurs de cette société se trouvent en Allemagne ou en Autriche. Dans ces conditions, il apparaît opportun de considérer que le point de savoir dans quel État membre le ou les serveurs utilisés par ladite société sont installés n'est pas tranché.
Sur les première à sixième questions
19 Par ses première à sixième questions, qu'il y a lieu d'examiner ensemble, la juridiction de renvoi demande en substance si les articles 4, paragraphe 1, sous a), et 28, paragraphe 1, de la directive 95-46 doivent être interprétés en ce sens que, dans des circonstances telles que celles en cause au principal, ils permettent à l'autorité de contrôle d'un État membre d'appliquer sa législation nationale sur la protection des données à l'égard d'un responsable de traitement, dont la société est immatriculée dans un autre État membre et qui exploite un site Internet d'annonces immobilières concernant des biens immobiliers situés sur le territoire du premier de ces deux États. Elle demande en particulier s'il est pertinent que cet État membre soit celui:
- vers lequel l'activité du responsable du traitement des données à caractère personnel est tournée,
- où les biens immobiliers concernés sont situés,
- à partir duquel les données relatives aux propriétaires de ces biens sont communiquées,
- dont ceux-ci sont ressortissants, et
- dans lequel les propriétaires de cette société habitent.
20 S'agissant du droit applicable, la juridiction de renvoi mentionne plus particulièrement les droits slovaque et hongrois, le premier de ces droits étant celui de l'État membre dans lequel le responsable du traitement des données à caractère personnel concernées est immatriculé et le second étant celui de l'État membre visé par les sites Internet en cause au principal, sur le territoire duquel les biens immobiliers faisant l'objet des annonces publiées sont situés.
21 À cet égard, il convient de constater que l'article 4 de la directive 95-46, intitulé "Droit national applicable", qui figure au chapitre Ier de cette directive, intitulé "Dispositions générales", régit précisément la question posée.
22 L'article 28 de la directive 95-46, intitulé "Autorité de contrôle", est, en revanche, consacré au rôle et aux pouvoirs de cette autorité. En vertu de cet article 28, paragraphe 1, celle-ci est chargée de surveiller l'application, sur le territoire de l'État membre dont elle relève, des dispositions adoptées par les États membres en application de cette directive. Conformément à l'article 28, paragraphe 6, de ladite directive, l'autorité de contrôle exerce les pouvoirs dont elle est investie, indépendamment du droit national applicable au traitement des données à caractère personnel.
23 C'est donc au regard non pas de l'article 28 de la directive 95-46, mais de l'article 4 de cette dernière qu'il convient de déterminer le droit national applicable au responsable de ce traitement.
24 Aux termes de l'article 4, paragraphe 1, sous a), de la directive 95-46, chaque État membre applique les dispositions nationales qu'il arrête en vertu de cette directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre.
25 Au vu de l'objectif poursuivi par la directive 95-46, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l'égard du traitement des données à caractère personnel, l'expression "dans le cadre des activités d'un établissement" ne saurait recevoir une interprétation restrictive (voir, en ce sens, arrêt Google Spain et Google, C-131-12, EU:C:2014:317, point 53).
26 Afin d'atteindre cet objectif et d'éviter qu'une personne soit exclue de la protection qui lui est garantie par cette directive, le considérant 18 de ladite directive énonce qu'il est nécessaire que tout traitement de données à caractère personnel effectué dans l'Union européenne respecte la législation de l'un des États membres et qu'il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l'autorité du responsable du traitement établi dans un État membre à l'application de la législation de cet État.
27 Le législateur de l'Union a ainsi prévu un champ d'application territorial de la directive 95-46 particulièrement large, qu'il a inscrit à l'article 4 de celle-ci (voir, en ce sens, arrêt Google Spain et Google, C-131-12, EU:C:2014:317, point 54).
28 S'agissant, en premier lieu, de la notion d'"établissement", il convient de rappeler que le considérant 19 de la directive 95-46 énonce que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante (arrêt Google Spain et Google, C-131-12, EU:C:2014:317, point 48). Ce considérant précise, par ailleurs, que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux.
29 Il en découle, ainsi que l'a relevé en substance M. l'avocat général aux points 28 et 32 à 34 de ses conclusions, une conception souple de la notion d'établissement, qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée. Ainsi, afin de déterminer si une société, responsable d'un traitement de données, dispose d'un établissement, au sens de la directive 95-46, dans un État membre autre que l'État membre ou le pays tiers où elle est immatriculée, il convient d'évaluer tant le degré de stabilité de l'installation que la réalité de l'exercice des activités dans cet autre État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question. Cela vaut tout particulièrement pour des entreprises qui s'emploient à offrir des services exclusivement sur Internet.
30 À cet égard, il y a lieu, notamment, de considérer, au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète du droit à la vie privée et à éviter tout contournement, que la présence d'un seul représentant peut, dans certaines circonstances, suffire pour constituer une installation stable si celui-ci agit avec un degré de stabilité suffisant à l'aide des moyens nécessaires à la fourniture des services concrets concernés, dans l'État membre en question.
31 En outre, afin de réaliser ledit objectif, il y a lieu de considérer que la notion d'"établissement", au sens de la directive 95-46, s'étend à toute activité réelle et effective, même minime, exercée au moyen d'une installation stable.
32 En l'occurrence, l'activité exercée par Weltimmo consiste, à tout le moins, dans l'exploitation d'un ou de plusieurs sites Internet d'annonces immobilières concernant des biens situés en Hongrie, qui sont rédigés en langue hongroise et dont les annonces deviennent payantes au terme d'un délai d'un mois. Il y a donc lieu de constater que cette société se livre à une activité réelle et effective en Hongrie.
33 En outre, il ressort notamment des précisions apportées par l'autorité de contrôle hongroise que Weltimmo dispose d'un représentant en Hongrie, qui est mentionné dans le registre des sociétés slovaque sous une adresse située en Hongrie et qui a cherché à négocier avec les annonceurs le règlement des créances impayées. Ce représentant a servi de relais entre cette société et les plaignants et a représenté celle-ci au cours des procédures administrative et judiciaire. En outre, ladite société a ouvert un compte bancaire en Hongrie, destiné au recouvrement de ses créances et elle utilise une boîte aux lettres sur le territoire de cet État membre pour la gestion de ses affaires courantes. Ces éléments, qu'il appartient à la juridiction de renvoi de vérifier, sont susceptibles d'établir, dans une situation telle que celle en cause au principal, l'existence d'un "établissement", au sens de l'article 4, paragraphe 1, sous a), de la directive 95-46.
34 Il importe, en second lieu, de savoir si le traitement des données à caractère personnel concerné est effectué "dans le cadre des activités" de cet établissement.
35 La Cour a déjà considéré que l'article 4, paragraphe 1, sous a), de la directive 95-46 exige que le traitement de données à caractère personnel en question soit effectué non pas "par" l'établissement concerné lui-même, mais uniquement "dans le cadre des activités" de celui-ci (arrêt Google Spain et Google, C-131-12, EU:C:2014:317, point 52).
36 En l'occurrence, le traitement en cause au principal consiste, notamment, dans la publication, sur les sites Internet d'annonces immobilières de Weltimmo, de données à caractère personnel relatives aux propriétaires de ces biens ainsi que, le cas échéant, dans l'utilisation de ces données pour les besoins de la facturation des annonces au terme d'un délai d'un mois.
37 À cet égard, il convient de rappeler que, s'agissant en particulier d'Internet, la Cour a déjà eu l'occasion de constater que l'opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un "traitement", au sens de l'article 2, sous b), de la directive 95-46 (arrêts Lindqvist, C-101/01, EU:C:2003:596, point 25, ainsi que Google Spain et Google, C-131-12, EU:C:2014:317, point 26).
38 Or, il ne fait pas de doute que ce traitement a lieu dans le cadre des activités, décrites au point 32 du présent arrêt, auxquelles se livre Weltimmo en Hongrie.
39 Partant, sous réserve des vérifications rappelées au point 33 du présent arrêt, qu'il appartient à la juridiction de renvoi d'effectuer aux fins d'établir, le cas échéant, l'existence d'un établissement du responsable du traitement en Hongrie, il y a lieu de considérer que ce traitement est réalisé dans le cadre des activités de cet établissement et que l'article 4, paragraphe 1, sous a), de la directive 96/46 permet, dans une situation telle que celle en cause au principal, l'application du droit hongrois relatif à la protection des données à caractère personnel.
40 La circonstance que les propriétaires des biens faisant l'objet des annonces immobilières sont de nationalité hongroise n'est, en revanche, aucunement pertinente aux fins de déterminer le droit national applicable au traitement des données en cause au principal.
41 Eu égard à l'ensemble des considérations qui précèdent, il convient de répondre aux première à sixième questions de la manière suivante:
- l'article 4, paragraphe 1, sous a), directive 95-46 doit être interprété en ce sens qu'il permet l'application de la législation relative à la protection des données à caractère personnel d'un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui-ci exerce, au moyen d'une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué;
- afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d'une part, que l'activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l'exploitation de sites Internet d'annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui-ci et qu'elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d'autre part, que ce responsable dispose d'un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées;
- en revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.
Sur la septième question
42 La septième question n'est posée que dans l'hypothèse où l'autorité de contrôle hongroise considérerait que Weltimmo dispose, non pas en Hongrie, mais dans un autre État membre, d'un établissement, au sens de l'article 4, paragraphe 1, sous a), de la directive 95-46, exerçant des activités dans le cadre desquelles le traitement des données à caractère personnel concernées est effectué.
43 Par cette question, la juridiction de renvoi demande, en substance, si, dans le cas où l'autorité de contrôle hongroise parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel est non pas le droit hongrois, mais le droit d'un autre État membre, l'article 28, paragraphes 1, 3 et 6, de la directive 95-46 devrait être interprété en ce sens que cette autorité ne pourrait exercer que les pouvoirs prévus à l'article 28, paragraphe 3, de cette directive, conformément au droit de cet autre État membre, et ne pourrait infliger de sanctions.
44 S'agissant, en premier lieu, de la compétence d'une autorité de contrôle pour agir dans ce cas de figure, il y a lieu de relever que, en vertu de l'article 28, paragraphe 4, de la directive 95-46, chaque autorité de contrôle peut être saisie, par toute personne, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel.
45 Par conséquent, dans une situation telle que celle en cause au principal, l'autorité de contrôle hongroise peut être saisie par des personnes, telles que les annonceurs de biens immobiliers en cause au principal, qui s'estiment victimes d'un traitement illicite des données à caractère personnel les concernant dans l'État membre dans lequel elles détiennent ces biens.
46 Il convient d'examiner, en second lieu, quels sont les pouvoirs de cette autorité de contrôle, à la lumière de l'article 28, paragraphes 1, 3 et 6, de la directive 95-46.
47 Il résulte de l'article 28, paragraphe 1, de cette directive que chaque autorité de contrôle mise en place par un État membre veille au respect, sur le territoire de cet État membre, des dispositions adoptées par les États membres en application de la directive 95-46.
48 En vertu de l'article 28, paragraphe 3, de la directive 95-46, ces autorités de contrôle disposent notamment de pouvoirs d'investigation, tels que le pouvoir de recueillir toutes les informations nécessaires à l'accomplissement de leur mission de contrôle, et de pouvoirs effectifs d'intervention, tels que ceux d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou d'adresser un avertissement ou une admonestation au responsable du traitement.
49 Compte tenu du caractère non exhaustif des pouvoirs ainsi énumérés et du type de pouvoirs d'intervention mentionnés à cette disposition ainsi que de la marge de manœuvre dont disposent les États membres pour la transposition de la directive 95-46, il y a lieu de considérer que ces pouvoirs d'intervention peuvent comprendre celui de sanctionner le responsable du traitement de données en lui infligeant, le cas échéant, une amende.
50 Les pouvoirs accordés aux autorités de contrôle doivent être exercés conformément au droit procédural de l'État membre dont elles relèvent.
51 Il ressort de l'article 28, paragraphes 1 et 3, de la directive 95-46 que chaque autorité de contrôle exerce l'ensemble des pouvoirs qui lui ont été conférés sur le territoire de l'État membre dont elle relève, afin d'assurer sur ce territoire le respect des règles en matière de protection des données.
52 Cette application territoriale des pouvoirs de chaque autorité de contrôle est confirmée à l'article 28, paragraphe 6, de cette directive, lequel énonce que chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément à l'article 28, paragraphe 3, de ladite directive et cela indépendamment du droit national applicable. Cet article 28, paragraphe 6, précise également que chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre et que les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.
53 Cette disposition est nécessaire pour assurer la libre circulation des données à caractère personnel dans l'Union, tout en veillant au respect des règles visant à protéger la vie privée des personnes physiques prévues par la directive 95-46. En effet, en l'absence de ladite disposition, dans le cas où le responsable du traitement des données à caractère personnel serait soumis à la loi d'un État membre, mais enfreindrait le droit à la protection de la vie privée des personnes physiques dans un autre État membre, notamment en tournant son activité vers cet autre État membre sans pour autant y être établi, au sens de cette directive, il serait difficile, voire impossible, pour ces personnes de faire respecter leur droit à cette protection.
54 Il résulte ainsi de l'article 28, paragraphe 6, de la directive 95-46 que l'autorité de contrôle d'un État membre, qui est saisie par des personnes physiques d'une réclamation relative au traitement des données à caractère personnel les concernant, sur le fondement de l'article 28, paragraphe 4, de cette directive, peut examiner cette réclamation indépendamment du droit applicable, et, par conséquent, même si le droit applicable au traitement des données concernées est celui d'un autre État membre.
55 Toutefois, dans cette hypothèse, les pouvoirs de cette autorité ne comprennent pas nécessairement l'ensemble de ceux dont elle est investie conformément au droit de l'État membre dont elle relève.
56 En effet, ainsi que M. l'avocat général l'a relevé au point 50 de ses conclusions, il découle des exigences résultant de la souveraineté territoriale de l'État membre concerné, du principe de légalité et de la notion d'État de droit que le pouvoir de répression ne peut, en principe, s'exercer en dehors des limites légales dans lesquelles une autorité administrative est habilitée à agir, dans le respect du droit de l'État membre dont elle relève.
57 Ainsi, lorsqu'une autorité de contrôle est saisie d'une plainte, conformément à l'article 28, paragraphe 4, de la directive 95-46, cette autorité peut exercer ses pouvoirs d'investigation indépendamment du droit applicable et avant même de savoir quel est le droit national qui est applicable au traitement en cause. Cependant, si elle parvient à la conclusion que le droit d'un autre État membre est applicable, elle ne saurait imposer des sanctions en dehors du territoire de l'État membre dont elle relève. Dans une telle situation, il lui appartient, en exécution de l'obligation de coopération que prévoit l'article 28, paragraphe 6, de cette directive, de demander à l'autorité de contrôle de cet autre État membre de constater une éventuelle infraction à ce droit et d'imposer des sanctions si ce dernier le permet, en s'appuyant, le cas échéant, sur les informations qu'elle lui aura transmises.
58 L'autorité de contrôle saisie d'une telle plainte peut, dans le cadre de cette coopération, être amenée à effectuer d'autres investigations, sur les instructions de l'autorité de contrôle de l'autre État membre.
59 Il s'ensuit que, dans une situation telle que celle en cause au principal, dans l'hypothèse où le droit applicable serait celui d'un État membre autre que la Hongrie, l'autorité de contrôle hongroise ne pourrait exercer les pouvoirs de sanction que le droit hongrois lui a confiés.
60 Il résulte des considérations qui précèdent qu'il convient de répondre à la septième question que, dans l'hypothèse où l'autorité de contrôle d'un État membre saisie de plaintes, conformément à l'article 28, paragraphe 4, de la directive 95-46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d'un autre État membre, l'article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d'interventions qui lui ont été conférés conformément à l'article 28, paragraphe 3, de ladite directive que sur le territoire de l'État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n'est pas établi sur ce territoire, mais devrait, en application de l'article 28, paragraphe 6, de la même directive, demander à l'autorité de contrôle relevant de l'État membre dont le droit est applicable d'intervenir.
Sur la huitième question
61 Par sa huitième question, la juridiction de renvoi interroge la Cour sur la portée de la notion d'"adatfeldolgozás" (opérations techniques de traitement des données), utilisée en particulier à l'article 4, paragraphe 1, sous a), de la directive 95-46, relatif à la détermination du droit applicable, et à l'article 28, paragraphe 6, de cette directive, relatif à la compétence de l'autorité de contrôle.
62 Il ressort de la directive 95-46 dans sa version en langue hongroise que celle-ci utilise systématiquement le terme "adatfeldolgozás".
63 La juridiction de renvoi indique que la loi sur l'information utilise, notamment dans ses dispositions visant à mettre en œuvre les dispositions de la directive 95-46 relatives à la compétence des autorités de contrôle, le terme "adatkezelés" (traitement de données). Or, ainsi qu'il ressort de l'article 3, point 10, de cette loi, ce terme a un sens plus large que celui du terme "adatfeldolgozás", défini à l'article 3, point 17, de ladite loi et englobe ce dernier terme.
64 Si la notion d'"adatfeldolgozás", selon son acception habituelle et ainsi qu'il ressort de la loi sur l'information, a un sens plus étroit que la notion d'"adatkezelés", il convient toutefois de relever que la version de la directive 95-46 en langue hongroise définit le terme "adatfeldolgozás" à son article 2, sous b), d'une manière large, correspondant au terme "adatkezelés".
65 Il s'ensuit qu'il convient de répondre à la huitième question que la directive 95-46 doit être interprétée en ce sens que la notion d'"adatfeldolgozás" (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle-ci, doit être comprise dans un sens identique à celui du terme "adatkezelés" (traitement de données).
Sur les dépens
66 La procédure revêtant, à l'égard des parties au principal, le caractère d'un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l'objet d'un remboursement.
Par ces motifs, LA COUR (troisième chambre) dit pour droit,
1) L'article 4, paragraphe 1, sous a), de la directive 95-46-CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu'il permet l'application de la législation relative à la protection des données à caractère personnel d'un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui-ci exerce, au moyen d'une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué. Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d'une part, que l'activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l'exploitation de sites Internet d'annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui-ci et qu'elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d'autre part, que ce responsable dispose d'un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées. En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données,
2) Dans l'hypothèse où l'autorité de contrôle d'un État membre saisie de plaintes, conformément à l'article 28, paragraphe 4, de la directive 95-46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d'un autre État membre, l'article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d'interventions qui lui ont été conférés conformément à l'article 28, paragraphe 3, de ladite directive que sur le territoire de l'État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n'est pas établi sur ce territoire, mais devrait, en application de l'article 28, paragraphe 6, de la même directive, demander à l'autorité de contrôle relevant de l'État membre dont le droit est applicable d'intervenir,
3) La directive 95-46 doit être interprétée en ce sens que la notion d'"adatfeldolgozás" (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle-ci, doit être comprise dans un sens identique à celui du terme "adatkezelés" (traitement de données).