Précisions concernant le caractère abusif d’une clause relative à la loi applicable au traitement de données à caractère personnel dans le cadre de CGV en matière de e-commerce.
CJUE 28 juillet 2016 Amazon EU Sàrl c. Verein für Konsumenteninformation (affaire C-191/15).
La Cour de justice de l’Union européenne, est venue, par le présent arrêt, apporter des précisions importantes en matière droit de la consommation, ainsi qu’en droit des données personnelles, en se penchant sur l’application d’une clause de droit applicable contenue dans les conditions générales de vente de la filiale européenne d’Amazon, dont le siège est situé au Luxembourg, aux consommateurs autrichiens.
« une clause figurant dans les conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, (…) de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause».
« un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre ».
En l’espèce, la clause litigieuse stipulait que le droit luxembourgeois s’appliquait auxdites conditions générales de vente, lesquelles régissait les contrats de vente électroniques conclus entre les consommateurs autrichiens et Amazon Europe.
Le raisonnement de la Cour se déroule en plusieurs étapes.
Elle relève tout d’abord que les conditions générales de vente visées peuvent être qualifiées de contrat d’adhésion en ce qu’elles ne sont pas susceptibles de faire l’objet d’une négociation (définition qui rejoint celle donnée par le nouvel article 1110 du Code civil issu de la réforme du droit des contrats). Dès lors, une telle clause est susceptible de devenir abusive lorsqu’elle entraine, nonobstant l’exigence de bonne foi qui régit tout contrat, un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur.
Ce faisant, la Cour précise que le caractère abusif d’une telle clause peut découler de sa formulation. Celle-ci doit donc être rédigée de manière claire et compréhensible, suivant les prescriptions données par le droit de l’Union. Cette exigence lie d’autant plus les professionnels que ceux-ci sont investis d’un devoir d’information à l’égard du consommateur. Ainsi, une telle stipulation contractuelle ne peut avoir pour effet d’induire ce dernier en erreur, en lui donnant l’impression qu’il ne peut bénéficier de la protection que lui confère son droit national, et notamment des dispositions plus favorables dont il bénéficie a minima, lui faisant croire que seul le droit désigné dans cette clause est applicable au contrat qu’il a souscrit. Ce n’est donc pas la désignation du droit luxembourgeois qui rend en l’espèce la clause attributive de compétence abusive, mais l’absence d’information relative aux règles impératives de son pays de résidence, auxquelles il ne peut être dérogé par convention.
Enfin, confrontée à un dernier conflit de lois cette fois relatif au droit des données à caractère personnel, la Cour prend le soin de développer la notion d’établissement, qu’elle avait d’ores et déjà défini dans sa jurisprudence Weltimmo (CJUE, 1er octobre 2015, affaire C-230/14). Cette notion revêt une importance particulière puisque le traitement de données effectué dans le cadre des activités d’un établissement est régi par le droit de l’Etat membre sur le territoire duquel il est situé. La Cour précise qu’au-delà du fait que la notion d’établissement s’étende à toute activité réelle et effective, si minime soit-elle, elle ne requiert pas pour s’appliquer, que le responsable de traitement (en l’espèce Amazon Eu), possède une filiale ou une succursale dans l’Etat de la personne concernée par le traitement.
Elle distingue alors un critère essentiel, et c’est là tout l’intérêt de cette décision, qui est celui de l’installation « stable », ce qui implique que le seul fait qu’un site soit accessible dans un Etat ne permet pas d’en déduire l’existence d’un établissement. En l’espèce, le site étant accessible aux consommateurs autrichiens par l’intermédiaire du site allemand de la société, le traitement effectué sur leurs données personnelles devrait a priori être régit par le droit allemand. La Cour renvoie cependant à la juridiction autrichienne le soin de se prononcer sur ce point.
Une décision qui invite les sociétés de e-commerce à la plus grande prudence lors de la rédaction de leurs conditions générales de vente