Par un jugement en date du 30 novembre 2022, le Tribunal judiciaire de Paris a débouté la Ville de Paris de sa demande de condamnation d’une société exploitant une plateforme de mise en relation en matière de location de biens meublés de tourisme au paiement d’une amende civile.
La Ville de Paris a par ailleurs été condamnée au paiement de la somme de 20 000 euros au titre de l’article 700 du Code de procédure civile.
Pour fonder sa décision, le Tribunal judiciaire s’appuie sur le non-respect des dispositions du RGPD en matière de transfert de données à caractère personnel hors de l’Union européenne.
Quels étaient les faits ?
En l’espèce, le 17 décembre 2019, la Ville de Paris avait adressé à la société défenderesse une demande de communication d’informations sur le fondement de l’article L324-2-1 du Code du tourisme. Ce dernier permet aux communes d’obtenir de l’exploitant de la plateforme de mis en relation, dans un délai d’un mois à partir de la date de la demande de la commune, la transmission des informations suivantes : nombre de jours au cours desquels le meublé de tourisme a fait l’objet d’une location par son intermédiaire, le nom du loueur, l’adresse du meublé, numéro de déclaration, le faite que le meublé constitue ou non la résidence principale du loueur. La transmission en question doit par ailleurs être réalisée par voie électronique au moyen de tableaux définis par arrêté.
Par courriel du 29 janvier 2020, la société a accusé réception de la demande d’informations du 17 décembre, et d’une relance datant du 27 janvier 2020.
Le 28 janvier 2021, la Ville de Paris a assigné la société devant le président du Tribunal judiciaire de Paris.
Pourquoi la décision est-elle favorable à la plateforme ?
Le Tribunal judiciaire identifie plusieurs traitements de données à caractère personnel distincts, à savoir :
- Le traitement mis en œuvre par la société en cause dans le cadre de l’exploitation de la plateforme et pour lequel elle agit en qualité de responsable du traitement,
- Le traitement mis en œuvre par la Ville de Paris à réception des données dont elle obtient la communication en application de l’article L324-2-1 du code du tourisme.
En d’autres termes, la société défenderesse est responsable du traitement mis en œuvre avant toute transmission de données à caractère personnel à la Ville de Paris.
En revanche, le Tribunal judiciaire retient que :
- La finalité et les moyens du traitement consistant en la transmission des données à la commune sont définies par l’article L324-2-1 du code du tourisme,
- Les textes réglementaires pris en application de l’article précité du code du tourisme ne définissent pas les mesures techniques et organisationnelles de la transmission des données au sens de l’article 24 du RGPD,
- La réglementation applicable n’impose pas la conclusion d’une convention entre les parties au litige dans le cadre de la transmission des données,
- La Ville de Paris aurait du prévoir les modalités de la communication des données en sa qualité de responsable,
- La Ville de Paris aurait du tirer les conséquences de son choix de plateforme tierce sur laquelle elle demandait que les données personnelles soient déposées par la société défenderesse. Ainsi, aurait-elle du s’assurer de la conformité du transfert de données aux Etats-Unis occasionné par le recours à la plateforme choisie.
Sur la base de ces constats, le Tribunal judiciaire déboute la Ville de Paris de ses demandes.
Que retenir ?
Le Tribunal judiciaire confirme que deux responsables de traitement distincts se rendant destinataires de données n’ont pas l’obligation de conclure un contrat au regard du RGPD. Le cas échéant, il y a lieu de vérifier si un texte spécial impose la conclusion d’une telle convention.
En revanche, la solution interroge à plusieurs titres.
D’abord, la décision ne définit pas clairement quelle est l’entité responsable du traitement au regard de la transmission des données, bien que cette dernière soit prévue par la loi.
Par ailleurs, il semble résulter du jugement que la vérification de la conformité à la réglementation en matière de protection des données des modalités de transmission des données pèse sur l’entité qui se fonde sur un texte pour obtenir ladite communication.
Toutefois, sans remettre en cause les constats de non-conformité du transfert hors Union européenne, les conclusions tirées de ces derniers par le Tribunal judiciaire peuvent être questionnées au regard de l’objet de la demande de la Ville de Paris, à savoir la condamnation de la société au paiement d’une amende civile sur le fondement de l’article L324-2-1, III du code du tourisme. En effet, la décision ne semble pas indiquer que la société exploitant la plateforme ait proposé une solution alternative lui permettant de concilier la conformité de la transmission des données aux règles en matière de transferts de données hors UE, avec l’obligation de communication d’informations à la commune mise à sa charge par l’article précité.