Internet est un espace libre de toute frontière, ce qui représente un réel défi pour l’application des législations. L’introduction du règlement général sur la protection des données (RGPD) à un impact sur l’Europe mais, également en dehors du territoire européen, son champ d’application étant extraterritorial. Avant son introduction, il était compliqué de faire respecter les obligations portant sur la législation en matière de données privées pour les sujets hors de l’Union européenne. « Le seul cas dans lequel la législation s’appliquait à un responsable de traitement en-dehors de l’UE était lorsque ce dernier procédait à leur traitement sur le territoire de l’Union. » L’application du RGPD vient modifier la portée territoriale dans l’application de la législation.
Des dispositions européennes
Au niveau européen, les données personnelles sont encadrées par le RGPD. Applicable depuis le 25 mai 2018, il encadre et instaure des restrictions s’agissant des données permettant d’identifier directement ou indirectement une personne. Ce règlement fait suite à la loi Française Informatique et Libertés de 1978, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui veille à son bon respect. Ce règlement est d’application directe pour toute entité qui manipule des données personnelles des Européens, de ce fait les géants du numérique notamment Facebook ou Amazon doivent en tenir compte s’ils veulent continuer à fournir des services à la population européenne tout comme les plus petites entreprises.
En cas d’infraction du RGPD, les entreprises risquent une amende pouvant aller jusqu’à « 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ». En France, plusieurs sanctions ont été prise à l’encontre de Google notamment une le 21 janvier 2019, lui infligeant une amende de 50 millions d’euros pour « manquement d’accessibilité et clarté de l’information, et absence de consentement valable pour la publicité personnalité ». La portée de son application notamment en cas de sanction est d’application extraterritoriale.
Son champ d’application extraterritoriale
Par rapport à la Directive 95/46/CE qui constituait le texte de référence en matière de protection de données à caractère personnel. Le champ d’application du RGPD à lui a été étendu, il se voit doté d’un caractère extraterritorial et contient désormais « le critère du ciblage du public du traitement de données ». La Cour de justice de l’Union européenne (CJUE) s’est prononcé en 2014 en faveur de cette extraterritorialité de la directive suite à l’affaire Google Spain, cette extension est donc conforme à la jurisprudence. Selon son article 3, le RGPD s’applique aux responsables de traitement ou sous-traitants établis au sein de l’UE, mais il peut s’appliquer également sous certaines conditions s’ils ne sont pas établis dans l’UE.
L’application du RGPD va dépendre de deux critères, celui de l’établissement, il s’agit du lieu d’établissement du responsable du traitement ou d’un sous-traitant. La notion d’établissement a été interprété par la CJUE dans l’affaire Weltimmo c. NAIH de manière « large et flexible ». Si le responsable du traitement ou un sous-traitant est établie dans l’UE alors l’application du RGPD est directe, le règlement va s’appliquer d’office que le traitement ait lieu ou non au sein de l’UE. Ensuite, le critère du ciblage, il s’agit du lieu de situation des personnes qui sont concernées par le traitement. Si le responsable du traitement est établi en dehors de l’Union européenne, mais que ses activités concernent « l’offre de biens ou de services ou la surveillance des comportements » de personnes se trouvant sur le territoire de l’Union, alors le RGPD doit s’appliquer. Ce dernier s’applique lorsqu’un résidant européen est directement visé par un traitement de données.
Le terme « personnes concernées » évoque uniquement les personnes physiques, il n’est pas utilisé le terme de citoyens ou de ressortissants. Aucun critère relatif à la nationalité ou au lieu du domicile n’est établi. On peut donc en déduire que par la notion « personnes concernées » on entend ici une personne physique se trouvant sur le territoire de l’UE dont les données personnelles sont traitées, peu importe sa nationalité ou son lieu de résidence. Une personne qui est hors de l’Union n’est pas protégée par le RGPD à moins que ses données personnelles soient traitées par un responsable de traitement ou un sous-traitant basé dans l’UE. Toutefois, l’appréciation de la soumission au Règlement doit se faire en tenant compte du cas d’espèce « notamment de l’intention de responsable de traitement d’offre des biens ou services à des personnes se trouvant sur le territoire de l’Union ».
Emilie Perez
Master 2 Cyberjustice- promotion 2020/2021
Sources :