Responsable de traitements : une notion extensive

La société Uber France a contesté sans succès sa qualité de responsable de traitement au profit de sa maison mère UBER B.V. établie au Pays-Bas. La notion de responsable de traitements est indifférente à celle de siège social. Un prestataire est responsable de traitement dès lors qu’il dispose d’un « établissement » sur le territoire français au sens de l’article 5/I de la Loi Informatique et Libertés et de l’article 4§1/sous/a) de la directive 95/46/CE, tel qu’interprétés par la CJUE dans l’arrêt Weltimmo C-230/14 du 1er octobre 2015, à savoir une installation présentant un caractère de stabilité et exerçant une activité effective et réelle sur le territoire français.

Affaire Uber

La société Uber France SAS est bien un « établissement » implanté sur le territoire français au sens de l’article 5/I de la Loi Informatique et Libertés et de l’article 4§1/sous/a) de la Directive 95/46/CE. La loi française n°78-47 du 06 janvier 1978, lui est donc pleinement  applicable.

Assistance et support marketing

Les juridictions européennes interprètent de manière extensive la notion d’établissement. Les  traitements de données personnelles ne doivent pas être réalisés nécessairement par l’établissement en tant que responsable de traitement, mais simplement dans le cadre de ses activités. Les activités d’assistance, de support et de marketing de la société Uber, sont des activités connexes indispensables au traitement des données des utilisateurs français, et dès lors indissociablement liées à l’activité de la plateforme Uber sur le territoire français.

Pour mémoire, l’article 5-I/1° de la Loi Informatique et Libertés soumet à la loi française les traitements de données à caractère personnel, dont le responsable est établi sur le territoire français, quelle que soit la forme juridique de cet établissement. À cet égard, l’article 4§1/sous/a) de la directive 95/46/CE, prévoit que chaque état membre applique les dispositions nationales qu’il arrête en vertu de la Directive, lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre. Le même article prévoit, dans le cas où un même responsable du traitement est établi sur le territoire de plusieurs états membres, qu’il soit tenu de prendre les mesures nécessaires pour que chacun de ses établissements respecte les obligations prévues par le droit national applicable, de sorte qu’incombe au responsable du traitement l’obligation d’appliquer en parallèle les lois nationales correspondant à chaque établissement.

Notion d’installation stable

Au sens de la Directive, est considéré comme un « établissement » sur le territoire de l’état membre, une installation stable où s’exerce une activité effective et réelle au sein d’un état membre. Il importe peu que le responsable exerce son activité par le biais d’une « succursale » ou d’une « filiale » dotée de la personnalité juridique.

Ainsi, afin d’assurer une protection efficace et complète du droit à la vie privée des personnes physiques, lorsqu’un responsable du traitement est établi sur le territoire de d’un État membre, il doit respecter les obligations imposées par la loi de l’État membres concerné pour le traitement des données effectué dans le cadre de son activité. Étant précisé que l’article 4 de la directive précitée n’exige pas que le traitement concerné soit effectué « par » l’établissement du responsable de traitement mais « dans le cadre des activités » de cet établissement.