Saisie du litige, la Cour fédérale allemande a relevé que le prestataire de services peut, au sens du droit national, conclure avec un tiers un contrat sur la perception de la rémunération. Dès lors, le FAI « peut lui transmettre les données [relatives au trafic] dans la mesure où cette transmission est nécessaire pour la perception de la rémunération et l’établissement d’une facture détaillée ».

En effet selon la juridiction allemande, la faculté de transmission des données « vaut non seulement pour les contrats de recouvrement de créances lorsque celles-ci demeurent dans le patrimoine de leurs titulaires initiaux, mais également pour d’autres contrats de cession, notamment les contrats qui portent sur une acquisition de créances et qui prévoient que le droit cédé appartient définitivement au cessionnaire, tant sur le plan juridique qu’économique ».

La Cour allemande a estimé que ces dispositions devaient être interprétées à la lumière de l’article 6 (2) et (5) de la Directive « vie privée et communications électroniques », qui prévoit que le traitement de données relatives au trafic « doit être restreint aux personnes agissant sous l’autorité des fournisseurs de réseaux publics de communications et de services de communication accessibles au public qui sont chargés d’assurer la facturation (…) » et « doit se limiter à ce qui est nécessaire à de telles activités ». Elle a donc posé une question préjudicielle à la CJUE afin de déterminer la portée de ces dispositions.

La CJUE a considéré que ces dispositions permettent au fournisseur de services en ligne de transmettre des données relatives au trafic au cessionnaire de ses créances et autorisent ce cessionnaire à traiter lesdites données, non seulement aux fins de facturation mais aussi aux fins de recouvrement.

Toutefois, l’interprétation donnée par la Cour de l’expression « sous l’autorité du fournisseur » vient fortement encadrer le contrat de cession en question. En effet, bien que l’on puisse considérer que le cessionnaire de la créance soit indépendant sur le plan économique et juridique, la Cour européenne estime que celui-ci doit agir « sur la seule instruction et sous le contrôle dudit fournisseur ». Ces critères correspondent à ceux établis par la Directive 95/CE/EC à propos de la relation entre le responsable de traitement et le sous-traitant.

Par ailleurs, une cession de créance peut être opérée entre un FAI et une société d’affacturage, pourvu que seules soient traitées les données « nécessaires aux fins de recouvrement des créances cédées ». Enfin, la Cour n’hésite pas à s’immiscer dans l’économie du contrat de cession de créance et exige que celui-ci comporte « des dispositions de nature à garantir le traitement licite par le cessionnaire » et permette au fournisseur de services en ligne de s’assurer à tout moment de leur respect par le cessionnaire. Elle vient en effet valider le contrat qui avait été conclu en l’espèce par les parties et qui prévoyait « l’obligation d’effacer ou de restituer immédiatement et irrémédiablement lesdites données dès que la connaissance de celles-ci cesse d’être nécessaire pour le recouvrement des créances concernées » et permettait au fournisseur de services en ligne de « contrôler le respect des règles de sécurité et de protection des données par le cessionnaire qui, sur simple demande, peut être obligé d’effacer ou de restituer les données relatives au trafic ».

Si la Cour vient confirmer par cet arrêt la validité du contrat de cession de créance opéré par un fournisseur de services en ligne, force est de constater que, loin d’être abandonné à la volonté des parties, celui-ci prend désormais la forme d’un contrat en partie réglementé.

Décision : CJUE, 3e ch., 22 nov. 2012, aff. C-119/12, Probst
http://curia.europa.eu/juris/document/document.jsf?text=&docid=130242&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1364904

Article publié en langue anglaise dans The Privacy Advisor, IAPP, Mars 2013, vol. 13, n°2
https://www.privacyassociation.org/publications/2013_03_01_eu_the_factoring_company_of_an_isp_should_act_as_a_data

curia.europa.eu/juris/document/document.jsf

https://www.privacyassociation.org/publications/2013_03_01_eu_the_factoring_company_of_an_isp_should_act_as_a_data