Le champ d’application territorial du droit européen va largement évoluer au profit d’une nouvelle application extraterritoriale. En effet, le prochain règlement général sur la protection des données viens répondre au développement des flux transfrontaliers.
En outre, de plus en plus d’entreprises ont recours à des hébergeurs étrangers, par exemple, pour stocker leurs données. La problématique étant que la plupart d’entre eux appliquent à ces données leurs normes de droit interne, sans se soucier des règles européennes, alors mêmes qu’il s’agit de données concernant des citoyens européens ! On se souvient très bien du Safe Harbor qui, finalement, s’effaçait presque toujours au profit des normes américaines de droit interne…
Le règlement a vocation à mettre fin à cette problématique. Quel sera le champ d’application territorial du droit européen avec ce règlement ? Et quelles en seront les conséquences sur les transferts de fichiers clients-prospects ?
L’extension du champ d’application territorial du droit européen à des acteurs extérieurs
Les acteurs européens
« A partir du moment où les entreprises décident de faire du business avec les données personnelles des citoyens européens, elles devront se soumettre à cette règlementation », Me Sadde.
En effet, l’un des grands changements amorcés par le nouveau règlement réside dans son champ d’application territorial.
Actuellement, le droit européen ne s’applique qu’aux responsables de traitements européens ou aux entreprises implantées sur le territoire d’un état de l’union. Seules les entreprises étrangères ayant un établissement ou une filiale sur le territoire de l’union y sont également soumises…
Dès mai 2018, cette application devrait laisser place à une application extraterritoriale du droit de l’Union Européenne. En effet, l’article 3 du règlement vient définir ce nouveau principe.
Tout d’abord, le règlement s’appliquera aux données personnelles exploitées par un responsable ou un sous-traitant situé sur le territoire de l’union et, ce, peu importe que le traitement soit effectué en Europe ou non.
Ainsi, tous les responsables et sous-traitant se trouvant sur le territoire d’un état membre seront soumis au présent règlement.
Les acteurs non européens
La réelle nouveauté réside dans l’alinéa 2 de l’article. En effet, des acteurs non européens sont concernés dès lors qu’ils traitent des données de citoyens européens. En outre, l’article énonce qu’à partir du moment où vous traiter des données concernant un citoyen européen, vous serez concerné par le règlement. Le critère de rattachement n’est donc plus le même. Désormais le texte retient les activités dirigées vers l’Union Européenne et, ce, même en l’absence physique de l’entreprise sur son territoire. Par voie de conséquence, le règlement impose à ces entreprises de choisir un représentant sur le territoire de l’organisation.
Par ailleurs, l’article ne concerne que deux situations dans lesquelles le traitement :
- Est lié à des activités d’offres de biens et de services destinées à ces personnes
- Est lié à des activités relatives au suivi du comportement des personnes
Il faudra donc apprécier l’intention du responsable du traitement pour déterminer s’il se trouve dans l’une de ces deux situations.
Par exemple, si vous êtes une entreprise britannique qui collecte des informations sur des personnes physiques dans le but de prédire leurs comportements ou leurs préférences, vous serez concerné par la deuxième hypothèse.
Par ailleurs, il convient de rappeler que la jurisprudence Google Spain (CJUE, 13 mai 2014, aff.C-131/12, Google Spain SL) continuera de s’appliquer. Ainsi, un responsable de traitement extérieur à l’Union mais qui dispose d’un établissement sur le territoire de l’organisation, y exerçant une activité effective, restera soumis à la règlementation européenne.
Se pose alors la question de la raison d’un tel élargissement ?
Les raisons d’une telle extension territoriale
L’élargissement du champ d’application territorial du droit européen
L’élargissement conséquent du champ d’application territorial du droit européen s’explique par les transferts internationaux de données.
En effet, ceux-ci sont en évolution croissante depuis des années. Les géants du Big Data pompent les données des citoyens européens pour alimenter leur business sans se soucier des règles européennes, n’y étant pas toujours soumis.
Par ailleurs, de plus en plus d’entreprises font confiance à des hébergeurs étrangers disposant de serveurs suffisamment puissants pour stocker leurs données. Cependant, ceux-ci ne sont pas concernés par le droit européen…
L’accroissement de tous ces échanges donnent lieu à un certain nombre de dérives… Le règlement a vocation à assurer une protection optimale des données personnelles des citoyens de l’union, peu importe l’endroit du monde où elles se trouvent ! L’objectif majeur de ce texte est donc de promouvoir les grands principes européens sur la scène internationale.
Les transferts internationaux de données vers des pays tiers
L’élargissement de l’application territoriale du droit européen s’explique par la multiplication des échanges et des transferts à l’extérieur de l’union. Le règlement consacre d’ailleurs tout son chapitre 5 aux transferts de données en dehors de l’Union Européenne.
L’article 44 énonce qu’un tel transfert pourra s’effectuer par le responsable du traitement et le sous-traitant vers un pays tiers ou une organisation internationale si le niveau de protection des données n’est pas entravé. La seule condition pour que le transfert s’effectue légalement est qu’il ne compromette pas la protection de la donnée.
Désormais, quatre situations sont clairement énoncées :
- Le transfert sur décision d’adéquation (art.45)
- Puis, le transfert moyennant des garanties appropriées (art.46)
- Mais aussi, le transfert s’effectuant via les règles internes d’entreprise (art.47)
- Enfin, le transfert s’effectuant en vertu d’une décision de justice (art.48)
L’article 49 du règlement prévoit également d’autres dérogations possibles.
Cependant, il convient de noter que ces différentes dispositions s’appliquent en cascade ! Cela signifie qu’il faudra regarder la première possibilité : ai-je une décision d’adéquation de la part de la Commission européenne pour effectuer le transfert ? Si oui, le transfert pourra se faire sans problème. A défaut, je passe à la deuxième : est-ce que mon transfert garantie une bonne protection de la donnée ?
Ce raisonnement s’applique jusqu’à la dernière possibilité. Si aucune de ces conditions n’est remplie alors le transfert ne pourra pas s’effectuer…
Si cet article vous a plu, consultez nos articles sur le thème de la réglementation juridique ou à consulter notre livre blanc sur « les aspects juridique de la génération de leads ». Vous souhaitez être accompagné dans votre démarche d’augmentation de leads? Nous vous invitons à contacter nos équipes pour plus d’informations.