e-commerce et données personnelles : la CJUE précise la loi applicable

Grâce à Amazon 5
En bref
image dediée
Crédits : Cour de justice de l'Union européenne
Justice
Marc Rees

Dans un arrêt rendu ce jour, la justice européenne a ausculté plusieurs clauses contractuelles d’Amazon en vigueur jusqu'en 2012. Elle précise à ce titre quelle loi, du pays du consommateur ou du siège de l’entreprise au Luxembourg, doit prévaloir aussi bien pour le contrat de vente que pour le traitement de données personnelles.

L’affaire est née en Autriche, suite à l’agacement d’une association de consommateurs. La Verein für Konsumenteninformation a en effet trainé devant les tribunaux les CGU d’Amazon en vigueur jusqu’en 2012, en particulier celle selon laquelle la loi luxembourgeoise régit le contrat passé avec le consommateur (point 12 des CGU « Le droit luxembourgeois s’applique à l’exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises »).

Dans son arrêt rendu ce matin, la Cour de Justice de l’Union européenne a rappelé à destination des juridictions nationales que de telles clauses n’étaient pas par défaut illicites. Cependant, elle a aussi posé le principe selon lequel une clause contractuelle prérédigée est toujours abusive lorsqu’elle crée « en dépit de l’exigence de bonne foi, un déséquilibre significatif entre les droits et les obligations des parties au détriment du consommateur ».

Or, spécifiquement, elle considère que « le caractère abusif d’une telle clause peut découler d’une formulation ne satisfaisant pas à l’exigence d’une rédaction claire et compréhensible », thèse formulée par l’association de consommateurs. Par-dessus tout, « le choix de la loi applicable ne peut avoir pour résultat de priver le consommateur de la protection que lui assurent les dispositions auxquelles il ne peut être dérogé par accord en vertu de la loi qui aurait été applicable en l’absence de choix ».

En clair, quoi que laisse entendre Amazon, les dispositions légales du pays du consommateur, auxquelles il ne peut être dérogé par accord, restent toujours en vigueur. De plus, les clauses attributives de compétence, si elles sont licites, doivent nécessairement être rédigées en des termes très accessibles à destination du consommateur. Et pour cause, les conséquences concrètes peuvent être très douloureuses en cas de litige entre le e-commerçant et son client.

Le droit applicable au traitement des données personnelles

Par la même occasion, la CJUE s’est aussi intéressée au droit applicable aux traitements automatisés de données chez Amazon. La question est identique : est-ce le droit luxembourgeois ou celui d’un autre État membre ?

Par principe, répondent les juges européens, « un traitement de données effectué dans le cadre des activités d’un établissement est régi par le droit de l’État membre sur le territoire duquel est situé cet établissement ». Mais la Cour a surtout rappelé sa jurisprudence Weltimmo, à savoir que cette notion d’établissement « s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable ». Du coup, des critères très minces peuvent permettre aux juridictions nationales d’un autre pays de l’Union que le Luxembourg d’appliquer leur « législation CNIL » (voir cette interview de Me Benjamin May).

Dans sa foulée, la CJUE a aussi ajouté que le simple fait qu’Amazon dispose d’un site Internet accessible en Autriche ne suffit pas à justifier le critère de l’établissement dans ce pays. Mais inversement, « la circonstance que l’entreprise responsable du traitement de données ne possède ni filiale ni succursale dans un État membre n’exclut pas nécessairement l’existence d’un tel établissement ».

La Cour retient donc le critère de l'établissement et d’une activité stable et effective dans l’autre pays, en posant qu’ « un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre ». Amazon procédant au traitement des données intéressant les Autrichiens depuis l’Allemagne, les juridictions nationales pourraient donc très bien décider que ce soit la CNIL allemande qui soit compétente pour contrôler ce traitement.


chargement
Chargement des commentaires...