L’essentiel : La société Uber France a été reconnue comme un « établissement » sur le territoire français, ce qui la rend responsable du traitement des données personnelles selon la loi française et la directive européenne. La notion d’établissement, interprétée de manière extensive par les juridictions européennes, ne dépend pas de la forme juridique, mais de l’existence d’une activité effective et réelle. Ainsi, même si les traitements de données ne sont pas réalisés directement par Uber France, ils sont indissociablement liés à ses activités de support et de marketing, imposant le respect des obligations légales en matière de protection des données.

La société Uber France a contesté sans succès sa qualité de responsable de traitement au profit de sa maison mère UBER B.V. établie au Pays-Bas. La notion de responsable de traitements est indifférente à celle de siège social. Un prestataire est responsable de traitement dès lors qu’il dispose d’un « établissement » sur le territoire français au sens de l’article 5/I de la Loi Informatique et Libertés et de l’article 4§1/sous/a) de la directive 95/46/CE, tel qu’interprétés par la CJUE dans l’arrêt Weltimmo C-230/14 du 1er octobre 2015, à savoir une installation présentant un caractère de stabilité et exerçant une activité effective et réelle sur le territoire français.

Affaire Uber

La société Uber France SAS est bien un « établissement » implanté sur le territoire français au sens de l’article 5/I de la Loi Informatique et Libertés et de l’article 4§1/sous/a) de la Directive 95/46/CE. La loi française n°78-47 du 06 janvier 1978, lui est donc pleinement applicable.

Assistance et support marketing

Les juridictions européennes interprètent de manière extensive la notion d’établissement. Les traitements de données personnelles ne doivent pas être réalisés nécessairement par l’établissement en tant que responsable de traitement, mais simplement dans le cadre de ses activités. Les activités d’assistance, de support et de marketing de la société Uber, sont des activités connexes indispensables au traitement des données des utilisateurs français, et dès lors indissociablement liées à l’activité de la plateforme Uber sur le territoire français.

Pour mémoire, l’article 5-I/1° de la Loi Informatique et Libertés soumet à la loi française les traitements de données à caractère personnel, dont le responsable est établi sur le territoire français, quelle que soit la forme juridique de cet établissement. À cet égard, l’article 4§1/sous/a) de la directive 95/46/CE, prévoit que chaque état membre applique les dispositions nationales qu’il arrête en vertu de la Directive, lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre. Le même article prévoit, dans le cas où un même responsable du traitement est établi sur le territoire de plusieurs états membres, qu’il soit tenu de prendre les mesures nécessaires pour que chacun de ses établissements respecte les obligations prévues par le droit national applicable, de sorte qu’incombe au responsable du traitement l’obligation d’appliquer en parallèle les lois nationales correspondant à chaque établissement.

Notion d’installation stable

Au sens de la Directive, est considéré comme un « établissement » sur le territoire de l’état membre, une installation stable où s’exerce une activité effective et réelle au sein d’un état membre. Il importe peu que le responsable exerce son activité par le biais d’une « succursale » ou d’une « filiale » dotée de la personnalité juridique.

Ainsi, afin d’assurer une protection efficace et complète du droit à la vie privée des personnes physiques, lorsqu’un responsable du traitement est établi sur le territoire de d’un État membre, il doit respecter les obligations imposées par la loi de l’État membres concerné pour le traitement des données effectué dans le cadre de son activité. Étant précisé que l’article 4 de la directive précitée n’exige pas que le traitement concerné soit effectué « par » l’établissement du responsable de traitement mais « dans le cadre des activités » de cet établissement.

Q/R juridiques soulevées :

Quelle est la position d’Uber France concernant sa responsabilité en matière de traitement des données ?

Uber France a contesté sa qualité de responsable de traitement des données, souhaitant transférer cette responsabilité à sa maison mère, UBER B.V., située aux Pays-Bas. Cependant, cette contestation a été rejetée, car la notion de responsable de traitement ne dépend pas du siège social de l’entreprise. En effet, selon la législation française et la directive européenne, un prestataire est considéré comme responsable de traitement dès qu’il possède un « établissement » sur le territoire français. Cela est précisé dans l’article 5/I de la Loi Informatique et Libertés et l’article 4§1/sous/a) de la directive 95/46/CE, qui stipulent qu’un établissement doit avoir un caractère de stabilité et exercer une activité réelle sur le territoire français.

Quelles sont les implications de la loi française sur les activités d’Uber en France ?

La société Uber France SAS est reconnue comme un « établissement » sur le territoire français, ce qui signifie que la loi française n°78-47 du 06 janvier 1978, relative à la protection des données personnelles, lui est pleinement applicable. Cela implique qu’Uber France doit respecter les obligations légales en matière de traitement des données personnelles, même si ces traitements ne sont pas réalisés directement par l’établissement. Les juridictions européennes interprètent la notion d’établissement de manière extensive, ce qui signifie que les activités d’assistance, de support et de marketing d’Uber sont considérées comme des activités connexes essentielles au traitement des données des utilisateurs français.

Comment la directive 95/46/CE influence-t-elle le traitement des données par Uber ?

L’article 5-I/1° de la Loi Informatique et Libertés stipule que les traitements de données à caractère personnel sont soumis à la loi française lorsque le responsable est établi sur le territoire français. Cela signifie qu’Uber France doit se conformer aux lois françaises, indépendamment de la forme juridique de son établissement. De plus, l’article 4§1/sous/a) de la directive 95/46/CE impose aux États membres d’appliquer leurs dispositions nationales lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement. Cela signifie qu’Uber doit s’assurer que chaque établissement respecte les lois nationales applicables, ce qui renforce la responsabilité d’Uber en matière de protection des données.

Qu’est-ce qu’une installation stable selon la directive ?

Selon la directive, une « installation stable » est définie comme un établissement où une activité effective et réelle est exercée au sein d’un État membre. Il est important de noter que la forme juridique de l’établissement, qu’il s’agisse d’une succursale ou d’une filiale, n’est pas déterminante. Cette définition vise à garantir une protection efficace du droit à la vie privée des personnes physiques. Ainsi, lorsque le responsable du traitement est établi dans un État membre, il doit respecter les obligations imposées par la législation de cet État pour le traitement des données effectué dans le cadre de son activité. L’article 4 de la directive précise également que le traitement des données n’a pas besoin d’être effectué « par » l’établissement, mais « dans le cadre des activités » de cet établissement, ce qui élargit encore la portée des obligations de conformité.