2

Le champ territorial d’application : une difficile coordination entre les États membres

< Rapport d'information de la commission des affaires européennes >

Saisissant une marge de manœuvre ouverte par le RGPD, le Gouvernement a adapté le champ d’application territorial de la loi Informatique et libertés.

En vertu de l’article 3 du règlement, les dispositions qu’il contient s’appliquent :

- au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union ;

- au même traitement de données relatives à des personnes concernées résidant sur le territoire de l’Union, par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, si les activités de traitement sont liées :

o à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes ;

o au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

- au même traitement lorsqu’il est effectué par un responsable de traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Il s’agit d’une véritable innovation dans l’application d’un droit extraterritorial, étant entendu que la grande majorité des acteurs économiques responsables des traitements de donnée à caractère personnel sont établis en dehors du territoire de l’Union européenne.

Or, au titre de l’article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les traitements de données à caractère personnel qui sont soumis à la loi sont définis de manière plus restrictive. Ils se distinguent entre deux catégories :

- les traitements dont le responsable est établi sur le territoire français ;

- les traitements dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre État membre de la Communauté européenne.

Le Gouvernement a fait le choix de fixer, à l’article 8 du projet de loi , un cadre territorial, non pas au champ d’application des dispositions du règlement, qui sont d’application directe dans tous les États membres, mais aux marges de manœuvre nationales, afin de pallier les difficultés relatives aux divergences entre législations nationales. Celles-ci ne peuvent en effet que découler de l’architecture actuelle du texte européen, malgré les lignes directrices du G29.

En l’absence de précision du règlement, alors que les marges de manœuvre concernent de nombreux aspects fixés par le texte, le projet de loi retient le lieu de résidence de la personne concernée pour l’ensemble des marges de manœuvre nationales, à l’exception des traitements mentionnés à l’article 85-2 du règlement.

Il s’agit ici de faire usage d’une marge de manœuvre décrite au considérant 153 du règlement, relative aux exceptions au nom des libertés d’expression et d’information, dont la liberté de la presse. Dans ce cadre, la logique est inversée et le droit applicable est alors celui de l’État membre dans lequel le responsable de traitement est établi.

Le choix global du Gouvernement est certes un choix cohérent, appliquant le principe du pays de résidence, qui sera le plus protecteur pour les droits fondamentaux des Français en ligne. C’est également le choix retenu par l’Allemagne, dans la section I (4) de sa propre loi sur les données personnelles, qui, si elle semble privilégier la notion d’établissement principal, étend le champ d’application des dispositions aux traitements privés si « le responsable de traitement ou le sous-traitant, bien que n’ayant pas d’établissement dans un État membre, relève du champ d’application du règlement. » L’article 4 du règlement intégrant la collecte dans les opérations de traitement, tout responsable établi dans un État membre de l’Union européenne qui collectera les données de citoyens allemands sera passible de la loi allemande de protection des données.

Votre rapporteure estime que cette précision permet une plus grande sécurité juridique, plutôt que de demeurer à droit constant, et garantit la bonne application de marges de manœuvre nationales aussi importantes que celles qui s’appliquent aux données génétiques, biométriques ou encore aux régimes d’autorisation relatifs au répertoire national d’identification des personnes physiques (NIR) (27). Elle est d’ailleurs essentielle en ce qui concerne le droit des enfants. Votre rapporteure soutient donc pleinement ce choix fort du Gouvernement.

Les États membres qui ont fait le choix d’appliquer leurs marges de manœuvre nationales au lieu d’établissement du responsable de traitement réfléchissent à la possibilité de mettre une règle de résidence au moins dans ce cas d’application.

Votre rapporteure considère toutefois que la rédaction proposée introduit une divergence dommageable au sein du champ d’application de l’article 5, dont la première partie, inchangée, ne s’applique qu’en fonction du lieu de résidence du responsable de traitement. Une telle divergence entre les dispositions de la loi issues des marges de manœuvre nationales et celles qui sont antérieures ne peut être que dommageable pour la bonne intelligibilité de l’ensemble. Il doit donc revenir à l’ordonnance habilitant le gouvernement de revoir l’ensemble du texte aux fins d’en assurer une meilleure intelligibilité et de faire en sorte que les acteurs économiques puissent connaître au mieux le champ d’application des marges de manœuvre nationales au moment du traitement des données. Cette question se pose avec d’autant plus d’acuité pour les traitements transfrontaliers. De plus, il conviendrait de faire en sorte que la protection des données ne s’applique pas uniquement en fonction de critères de résidence. Les personnes de passage de courte durée en France ou les travailleurs frontaliers, qui peuvent faire l’objet de nombreux traitements de données personnelles, ne seraient en effet pas concernés. Dès lors, la protection devrait s’étendre à toutes les personnes concernées se trouvant en France au moment du traitement de leurs données.

Elle souligne enfin les risques propres aux divergences entre les champs d’application nationaux. Il s’agira de trouver dans le cadre de la coopération entre les autorités de contrôle et les juridictions des modalités de conciliation entre les applications différenciées des marges de manœuvre nationales.

< Rapport d'information de la commission des affaires européennes >