a

La souveraineté numérique : l’application extraterritoriale du règlement

< Rapport d'information de la commission des affaires européennes >

La mise en place du RGPD se justifie par le contexte dans lequel l’économie numérique mondiale se développe désormais. La dimension européenne relève de l’évidence pour quiconque compare le tissu économique continental aux acteurs dominants américains et chinois. Les GAFAM (14) et les BATX (15), en miroir, définissent par leurs activités et leurs parts de marché des standards qui ont un impact direct sur les régulateurs nationaux. En l’absence d’acteurs économiques comparables, l’Union européenne a fait le choix de définir des standards continentaux destinés à s’appliquer à tous les acteurs numériques qui exercent leur activité en Europe ou visent des clients européens.

Or la maîtrise de leurs données par les citoyens européens est un enjeu de souveraineté nationale et désormais européenne. C’est cette logique de protection maximale des droits fondamentaux des citoyens en ligne qui a motivé également la dimension extraterritoriale du règlement, dans la mesure où il « s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union », mais aussi « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées :

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes ; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union (16). »

Il demeure cependant que cette application extraterritoriale est soumise à un certain flou qui pourrait en atténuer la portée. En effet, outre le fait que la vérification de son application dans les pays tiers demande une forte collaboration entre les autorités nationales de protection des données personnelles, la désignation d’un correspondant au sein des responsables de traitement des pays tiers ne s’appliquerait pas en cas de traitement occasionnel des données, laissant à ces entreprises la libre appréciation de ce qu’est un traitement occasionnel.

Toutefois, la définition à l’échelle continentale de standards communs ne peut que renforcer le rôle moteur de l’Union européenne dans la mise en place d’un cadre réglementaire mondial. Le RGPD a été adopté alors que le Conseil de l’Europe révisait la Convention n° 108 sur la protection des données, que l’OCDE adaptait ses lignes directrices relatives aux données personnelles et que l’APEC, organisation de coopération dans la région de l’Asie-Pacifique, développait son propre cadre juridique en la matière. L’Union européenne a eu ici l’occasion de développer un système sans précédent, fondé sur un ensemble de principes dont l’application est assurée de manière coordonnée et décentralisée par les autorités de régulation nationale, de manière à respecter la subsidiarité et à mettre en valeur l’expertise de ces agences.

< Rapport d'information de la commission des affaires européennes >