L’a-territorialité du droit à l’ère numérique, compte rendu de la conférence du Conseil d’État : part. 2

Monsieur Edouard Geffray (secrétaire général de la CNIL) : Une déterritorialitée technique des données à caractère personnel

« Le numérique n’est pas a-territorial, il part toujours d’un territoire qui produit de la technique ». Les acteurs privés souhaitent tantôt s’abstraire de la technique et des frontières, tantôt se rappeler que les frontières existent pour mettre des lignes de front à une réglementation globalisée en matière fiscale ou juridique.

Quelle est la règle territoriale d’un phénomène de déterritorialisation ou  qui inspire à l’être ?

Monsieur Edouard Geffray illustre sa vision par un parallèle au droit de la mer. Sur internet, vous naviguez. Vous êtes hackés par des pirates. Vous êtes submergés par des flux de données. On arrive sur des ports comme le Safe Harbor. C’est un vocabulaire de la mer qui ne se réglemente pas, ne se partage pas, sur lequel on ne se rend pas justice. L’histoire du droit de la mer est celui de la territorialisation de l’espace maritime partiel. « De l’histoire de conflit de conception, entre le droit des ports » (si je tiens le port de départ et celui d’arrivée, je tiens l’espace maritime et j’y impose mon droit) « et le droit du navigateur qui bat pavillon » (il y a des règles pour accoster et à bord le navigateur est seul maître).

La vision américaine est celle du droit des ports voulant une extraterritorialité du droit. « La protection des données n’est pas un droit fondamental aux USA ». C’est un droit activé à différentes occasions, notamment pour le consommateur. Cette application extraterritoriale est activée car les acteurs étrangers interagissent avec les USA, ils doivent ainsi respecter la loi des États-Unis. Ainsi les acteurs privés américains tentent de tout rattacher à leurs droits et leurs juridictions.

L’approche européenne est celle du droit du navigateur, de la personne. Un droit rattaché à la personne sur le fondement de l’article 8 de la Charte des droits fondamentaux de l’Union européenne. Le droit européen s’applique si le responsable du traitement est établi en Europe, mais uniquement pour la partie du traitement.

« Le principe réside dans l’interdiction de transférer des données des Européens en dehors de l’Union européenne ». À l’exception, d’un niveau de protection substantiellement équivalent dans un pays étranger, les données à caractère personnel ne peuvent pas être transférées. La protection de la personne suit ainsi les données à caractère personnel. Cette adéquation des droits peut valoir pour les pays, mais également pour les entreprises par des clauses garantissant le même niveau de protection. Avec le nouveau règlement, le droit européen s’applique aux acteurs privés étrangers s’ils visent un résident de l’Union européenne. Cette nouveauté repose sur le critère du ciblage d’un citoyen de l’Union européenne.

« Selon les deux visions, celle du droit des ports ou celle du navigateur, il y a des effets extraterritoriaux ».

L’extraterritorialité soulève un problème de souveraineté : « Suis-je capable de faire respecter mon droit pour mon ressortissant ? » In fine, c’est un enjeu d’efficacité de la protection. Selon Monsieur Geffray il faut passer de la territorialité du sol à celle de la personne afin de protéger les données à caractère personnel du citoyen de l’Union européenne.

La CNIL et le nouveau règlement européen ?

Aujourd’hui, les traitements des données à caractère personnel sont contrôlés en amont et en aval par des plaintes qui donnent lieu à un contrôle. Avec le nouveau règlement européen, plus de déclaration préalable et une quasi absence d’autorisation, le système de plainte est maintenu avec une prise de décision européenne. Ce renforcement est accompagné d’un renforcement des sanctions (4 % du chiffre d’affaires mondiales). L’entreprise devra tenir un registre des données à caractère personnel. La CNIL va accompagner au quotidien les entreprises dans leur travail de mise en conformité à la législation. « Une des grandes avancées réside dans la mutualisation de la réponse, qui se trouve étendue à l’ensemble de l’Union européenne ». Les CNIL de l’Union européenne adopteront ainsi des sanctions conjointes aux multinationales, pour plus d’efficacité et de poids dans leurs décisions.

L’accord Privacy Shield est-il satisfaisant ?

« L’accord vise à permettre le transfert des données de l’Europe vers certaines entreprises américaines ». Il fait suite à l’invalidation du précédent (Safe harbor) pour violation du droit de l’Union européenne et plus particulièrement l’absence de droit au recours effectif pour les Européens, ainsi que la collecte massive et indifférenciée des données des Européens par les autorités américaines. Le Privacy Shield répond en partie à ces questions par la création d’un Ombudsman qui visera à recueillir les plaintes et réduire le risque de la collecte massive des données. Mais comment cela va-t-il s’appliquer ? Il existe une clause de bilan annuel permettant aux autorités de protection des données à caractère personnel des États membres de participer à l’évaluation du dispositif. Toutefois, si le bilan n’est pas satisfaisant, l’accord sera-t-il remis en cause ? Cela paraît peu probable. Au mieux des renégociations seront lancées.

Quelle est la meilleure solution pour protéger les données à caractère personnel ?

En octobre 2014, un juge japonais a ordonné à un moteur de recherche, le déréférencement par analogie au concept de droit à l’oubli envisagé par le droit européen. Un peu partout dans le monde, il y a une demande de droit à l’oubli, qui sera peut-être relayé par l’émergence d’un standard mondial comme cela a pu l’être pour le droit de propriété intellectuel (182 pays dans ce sens). « Cette convergence mondiale sur le droit à l’oubli produirait un niveau minimal de protection ». Des systèmes d’interopérabilité sont en création et notamment avec la Chine qui en augmentant un peu leur niveau de protection permettra qu’on puisse transférer les données à caractère personnel.

Monsieur Geffray conclut en expliquant que les entreprises étrangères ont intérêt à se soumettre au droit européen donnant ainsi un gage de confiance aux clients européens qui permettront de les capter et de les garder.

Pour accéder au programme 2016 des colloques et conférences du Conseil d’État:

Programme 2016 des colloques et conférences du Conseil d’État

Pour retrouver les vidéos des précédentes conférences du cycle sur le droit comparé et la territorialité du droit:

Vidéos de la conférence : L’a-territorialité du droit à l’ère numérique

Pour revoir la première partie de ce CR sur blockchain, justice prédictive droit à l’oubli

Nicolas Brémand, Doctorant en droit, Université de Nantes.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s