Traitement de données en dehors de l’Union européenne : un dispositif dérogatoire universaliste du RGPD ?

0

Aux termes de l’article 3, alinéa 2, a), du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD, Règlement), et dans les hypothèses de son article 44 relatif au principe général applicable aux transferts, la compétence matérielle du Règlement a vocation à s’étendre au-delà de celle territoriale de principe, dans le cadre des traitements liés aux activités d’offre de services de la société de l’information, avec ou sans contrepartie de paiement, dès lors que les personnes concernées sont dans l’Union européenne (UE, Union).

La nature transfrontière des activités du numérique et des services de la société de l’information font des données à caractère personnel et des contenus, les deux valeurs fondamentales du commerce électronique. Dans leur ouvrage commun intitulé A qui profite le clic? Le partage de la valeur à l’heure du numérique, éditions Odile Jacob, 2015, Valérie-Laure Benabou et Judith Rochfeld affirment que : (…) Internet (…) est devenu (…) un marché planétaire d’échanges économiques, dont les caractéristiques déterminent les comportements des acteurs/agents (…) sociaux, économiques, politiques, etc. Ces deux auteurs poursuivent en précisant que : (…) quand Facebook propose de renseigner les cases « opinions politiques » ou « croyances religieuses » de votre profil (…) C’est, beaucoup plus sûrement, pour (…) capitaliser ses données en les vendant à une autre entreprise (…).

  1. Le lien entre la collecte et le traitement des données, d’une part, et l’offre de services numériques, d’autre part, s’avère donc extrêmement étroit. Raison pour laquelle l’Union européenne s’est dotée du RGPD, avec pour nécessité primordiale, la conciliation entre l’inévitable essor du marché des données à caractère personnel, et l’impérative protection de la vie privée des personnes concernées par le traitement desdites données. Quant aux objectifs, il s’agit d’établir les règles devant assurer non seulement la protection des données à caractère personnel, au sens de l’article 4, alinéa 2 du RGPD, mais aussi la libre circulation desdites données, y compris en dehors de l’espace juridique, territorial et économique européen.
  2. Le Règlement, au moyen des dispositions de son article 3, alinéa 2, a), garde toute sa force opératoire matérielle en dehors de l’espace territorial de l’Union, alors même que par dévolution, il a une compétence territoriale clairement affirmée dans le premier alinéa du même article, étant entendu que le périmètre du RGPD cible principalement le territoire de l’Union. Cette réalité est de nature à rendre ce Règlement incontournable même en dehors de l’Union, dès lors que certaines conditions sont en présence, et notamment dans le cas de traitement de données à caractère personnel, lié à l’offre de services dans l’UE.
  3. C’est tout le sens du principe général applicable aux transferts, objet des dispositions de l’article 44 du RGPD. Ainsi, afin de ne pas compromettre le niveau de protection des personnes physiques garanti par le règlement, les mêmes règles contraignantes s’appliquent invariablement, non seulement dans le cas de transfert de données vers un pays tiers ou à une organisation en vue d’un traitement, mais aussi dans le cas de transfert au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale.
  4. Ce rattachement au RGPD, d’une part, soumet le responsable de traitement ou le sous-traitant, à la rigueur juridique et technique dudit Règlement, ce qui s’accompagne d’un certain nombre de règles qui lui sont imposées en sa qualité de responsable ou de bénéficiaire de traitement de données à caractère personnel. D’autre part, ledit rattachement concède des droits dévolus aux personnes concernées par le traitement. Par conséquent, l’applicabilité du RGPD en dehors de l’Union tient donc à la prise en compte de ses exigences cardinales, et notamment le respect des principes et obligations édictés par le RGPD, et l’assurance de l’étendue et la protection des droits conférés aux personnes concernées dont les données font l’objet de traitement.
  5. Les conditions de traitement de données en dehors de l’Union européenne
  6. En principe, le responsable de traitement ou le sous-traitant ne peut transférer des données à caractère personnel des personnes concernées domiciliées en Europe, vers un pays non membre de l’UE, pour des raisons de maîtrise, de niveau de qualité de la sécurité, et de méthodes de contrôle qui peuvent ne pas être conformes aux exigences du RGPD en la matière. Le second volet, quant à lui, s’analyse au regard de la nature des services considérés à savoir les services de la société de l’information, et qui ont un lien avec ledit traitement, bien qu’étant dans l’UE. Il convient de préciser que la notion de transfert de données à caractère personnel en dehors de l’UE est très large, et recouvre toute opération sur les données, faite à partir du territoire d’un Etat non membre de l’UE, y compris une simple consultation de données, même dans le cadre professionnel. Ce qui nécessite un scrupuleux respect des règles de transfert et une singulière appétence à élaborer les stratégies pour rester en conformité avec l’esprit et la lettre du RGPD.
  7. A propos de transfert, il existe trois (3) cas de transfert de données en dehors de l’UE : le transfert sans autorisation préalable de l’autorité de contrôle, le transfert avec l’autorisation préalable de l’autorité de contrôle, et, enfin, le transfert avec information de l’autorité de contrôle et de la personne concernée.
  8. Quant aux stratégies possibles pour les transferts, elles restent dans la logique du caractère dérogatoire du transfert de données en dehors de l’Union. C’est une approche en cascade avec trois (3) options. Premièrement, conformément à l’article 45 du RGPD, le responsable de traitement ou le sous-traitant qui procède au traitement de données considérées en dehors UE se doit de s’installer dans un Etat assurant un niveau de traitement adéquat. A ce propos, la certification de même niveau de traitement adéquat est matérialisée par une décision d’adéquation délivrée par l’autorité de contrôle de l’un des pays de l’UE. La condition fondamentale d’une telle issue est que le niveau de traitement soit substantiellement équivalent à celui garanti au sein de l’Union elle-même. C’est l’option que privilégie, d’ailleurs, le RGPD, notamment en raison du haut degré de sécurité juridique qu’elle garantit. C’est aussi la position de la Cour de Justice de l’Union Européenne – CJUE, 6 octobre 2015, noC-362/14, dans l’affaire Maximillian Schrems c/ Data Protection Commissioner – qui avait déjà posé les principes évoqués dans la stratégie de la première option. A défaut de cette option, le responsable de traitement ou le sous-traitant concerné se doit de prendre des garanties juridiques appropriées, prévues à l’article 46 du RGPD. Ladite prise de garanties peut s’effectuer de plusieurs façons, et notamment soit en adoptant des clauses contractuelles, soit en édictant des règles internes contraignantes – binding corporate rules -, ou encore en mettant en place un code de conduite et/ou un mécanisme de certification, ou enfin en concluant un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques. Dans le cas où les deux premières stratégies ne peuvent être implémentées, la dernière option stratégique envisageable est le cas de transferts atypiques : il s’agit des transferts occasionnels, c’est-à-dire non répétitifs, non réguliers, et en de circonstances imprévues ou à intervalles arbitraires. Au-delà de ces différentes stratégies qui peuvent être soit alternatives soit cumulatives, il existe des incidences liées au motif qui fonde le traitement.
  9. Les incidences dues au lien entre le traitement et l’offre de services

La conjonction entre le traitement de données à caractère personnel et l’offre de services numériques est de nature à déterminer les bases légales et principes primordiaux, parmi tous ceux qui sont exigés par le RGPD.

  1. En ce qui concerne les bases légales de traitement les plus pertinentes dans le cas en présence, deux relèvent du fait que le traitement est lié à l’offre de services de la société de l’information, et notamment du commerce électronique. Il y a d’abord la réalisation d’intérêts légitimes du responsable de traitement ou de tiers, lesquels intérêts doivent revêtir les caractéristiques ci-après : être légitimes et nécessaires, et prévaloir sur les droits et libertés fondamentaux des personnes concernées. La seconde base légale idoine est le consentement de la personne concernée, qui doit être donné de manière claire, positive, univoque, écrite ou orale. Le consentement se doit d’être éclairé, libre et spécifique et, éventuellement assisté, si la personne concernée est mineure.
  2. Quant aux principes de traitement spécifiquement concernés, l’on peut citer, premièrement, la limitation de traitement. Autrement dit, les données doivent être collectées pour la finalité d’offre de services de la société de l’information, à l’exclusion de toute autre activité. En second lieu, c’est le principe de la minimisation qui, quant à lui, commande que soient collectées et traitées, seulement les données adéquates, pertinentes et limitées à l’offre de services considérés, encore faudrait-il avoir communiqué préalablement à la personne concernée le motif du traitement de ses données à caractère personnel. Ce principe a trois avantages non négligeables. D’abord, en cas de violation de données, la personne non autorisée n’aura accès qu’à une quantité limitée de données. Ensuite, les données sont conservées exactes et à jour. Enfin, la durée de conservation et de stockage de données devrait correspondre à la nature même de l’offre de services numériques dans l’Union.

Ces règles placent le RGPD au centre de toutes les problématiques relatives à la collecte et le traitement de données à caractère personnel des personnes concernées, ainsi que les activités d’offre de services de la société de l’information.

  1. L’universalité du RGPD

Le traitement de données à caractère personnel en dehors de l’UE, lié aux activités d’offre de services de la société de l’information, permet au RGPD d’avoir un très large spectre d’action qui en fait un instrument universaliste à plusieurs égards. Cette réalité, qui implique tantôt la personne, tantôt la chose, tantôt l’espace géographique ou spatio-juridique et économique, semble n’avoir qu’une seule condition à savoir : un lien avec l’UE.

  1. Pour ce qui est de la compétence universaliste par le statut des acteurs, elle peut s’observer avec l’intégration des responsables de traitement ou de sous-traitant en dehors de l’Union, ou encore de tiers bénéficiaires, d’une part, et les personnes concernées par le traitement, d’autre part. En outre, le critère de la nationalité est éclipsé par la notion de domicile, laquelle s’étend naturellement à la résidence habituelle. La qualité de personne concernée est ainsi automatiquement conférée à des catégories délicates de personnes telles que les apatrides, les réfugiés et les sans-papiers qui, juridiquement ne peuvent pas être considérés comme citoyens de l’Union. Mais encore, en ce qui concerne le mineur, la notion est plus inclusive. C’est le sens de la jurisprudence de la Cour de Justice des Communautés Européennes, décision n°523/07 du 2 avril 2009 qui y ajoute le lieu traduisant une certaine intégration de l’enfant dans un environnement social et familial, c’est-à-dire le lieu et les conditions de la scolarisation, les connaissances linguistiques et enfin les rapports familiaux et sociaux entretenus par l’enfant.
  2. En ce qui concerne la compétence universaliste par le territoire, elle tient sa raison d’être par le fait que le périmètre du RGPD est dé-délimité car, sont aussi ciblés, soit les traitements réalisés en dehors de l’Union, soit toute activité d’offre de services susceptibles d’être commercialisés ou utilisés dans l’UE. Ainsi, il est inévitable, notamment en matière d’économie numérique, de ne pas assimiler au territoire européen, les espaces juridique et économique européens, qui peuvent s’avérer étendus au-delà des frontières purement physiques, et englober tous les territoires et espaces où ont lieu le traitement.
  3. Quant à la compétence universaliste par la nature des activités d’offre de services, elle concerne les services de la société de l’information ou numériques qui, en raison de l’absence de précision dans le Règlement et de leur caractère transfrontière, peuvent être d’origine non européenne. Il est intéressant de cerner la nature véritable du service concerné, au moyen des dispositions de l’article 2, a), de la Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000, qui donne trois critères essentiels des services de la société de l’information, à savoir : tous les services fournis, normalement contre rémunération, à distance et au moyen d’équipements électroniques et de traitement de stockage de données, et à la demande individuelle d’un destinataire de services. Par conséquent, l’absence de condition obligatoire de rémunération de l’article 3, alinéa 2, a) du RGPD, étend à l’infini la liste des services possibles, ce d’autant plus qu’il n’est pas précisé s’il y a une différence entre le fait de faire une offre et celle de réaliser une fourniture de service faisant l’objet de ladite offre. Le silence du RGPD sur cette question participe aussi à renforcer son caractère universaliste.
  4. En dernier lieu, c’est la compétence universaliste juridico-administrative. La loi compétente est le Règlement, naturellement, ainsi que tous les instruments de transposition érigés par les différents Etats membres de l’Union. Sur le plan administratif, quant à lui, le responsable de traitement et le sous-traitant, ainsi que la personne concernée et tous les intervenants dans le processus de traitement de données à caractère personnel, quelle que soit leur origine, sont placés sous le joug de l’autorité de contrôle de l’application du RGPD, à l’exemple, en France, de la CNIL – Commission nationale de l’informatique et des libertés. Dans le cadre de la compétence juridictionnelle enfin, les mêmes acteurs, ainsi que les activités liées à l’offre de services numériques, peuvent être soumis à la compétence européenne, aussi bien en qualité de juridiction du lieu du délit et/ou comme juridiction du lieu du dommage, étant entendu que les infractions y relatives sont des cyberdélits.

Ce qu’il faut retenir

L’analyse du dispositif dérogatoire de traitement et de transfert de données à caractère personnel, en dehors de l’Union européenne, dans le cadre des activités commerciales et/ou non commerciales liées à l’offre de services numériques, par des acteurs relevant d’espaces juridiques non européens, montre, à suffisance, les caractères interactif, ouvert mais pas libertaire du RGPD, envers d’autres espaces territoriaux, juridiques et économiques. C’est une option réaliste et souverainiste du législateur européen qui, en raison de la nature transfrontière de la circulation de données et du commerce électronique qui s’en nourrit, se prémunie en prenant l’initiative de régir au mieux les situations qui pourraient porter atteinte à l’effort de protection des données à caractère personnel ayant un lien avec les activités économiques relevant des services de la société de l’information.

Le marché des données est étroitement lié à la qualité et à la nature des services de la société de l’information, au point où, sans données, il n’y a pas de forte valeur ajoutée dans le marché, et sans les services, les données ont bien peu d’utilité économique. Ce lien indissociable entre les opérations de traitement en dehors de l’Union et l’offre de services numériques rend le RGPD incontournable et invariablement applicable : c’est ce qui donne et confère à ce Règlement son caractère et son ambition universalistes.

 Par Laurent-Fabrice ZENGUE*


Laurent-Fabrice ZENGUE est Juriste. Spécialité, Droit du numérique et des données. DU Université Paris 1 Panthéon-Sorbonne.

baniere830x100-ict-strategies

LAISSEZ UN COMMENTAIRE

Please enter your comment!
SVP entrez votre nom ici