Que reste-t-il de nos amours ? Appliquer la loi française après le GDPR


L’entrée en application du nouveau règlement général sur la protection des données (GDPR) au 25 mai prochain est désormais un fait acquis, à peu près bien connu de tous parmi les concernés : tandis que certaines entreprises et administrations (re)découvrent à cette occasion les fondamentaux de la réglementation des traitements de données à caractère personnel, d’autres, déjà conformes au régime actuel de la loi dite “Informatique & Libertés” dans sa version issue de la directive 95/46/CE, n’ont qu’à s’adapter en douceur à ce qui sera désormais le nouvel instrument essentiel de cette réglementation.

Une sensibilisation à grande échelle réussie, donc, qui, si elle ne permet pas de présumer d’une conformité à l’avenant dans les faits, témoigne à tout le moins du sérieux avec lequel la majorité des responsables de traitements abordent la question de la protection des données – ne fût-ce que par peur du gendarme. Il ne s’agirait pas, pour autant, que le GDPR soit l’arbre qui cache la forêt : la réglementation liée aux données à caractère personnel est en effet (si l’on ose filer la métaphore) buissonnante, en ce qu’elle mobilise un nombre élargi de règles annexes, plus ou moins directement liées au nouveau règlement. Il n’est besoin, pour le prouver, que de citer la moins connue directive 2016/680, référence quasi-unique pour les autorités compétentes en matière pénale, ou encore la directive 2002/58/CE dite “e-Privacy, incontournable pour les opérateurs télécom de même que pour toute personne exploitant des cookies ou réalisant de la prospection commerciale.

Surtout, parmi ces instruments juridiques “secondaires”, se pose la question du devenir des droits nationaux, et tout particulièrement pour nous de l’historique loi Informatique & Libertés française, reléguée au rang de satellite du GDPR par le biais des principes du droit unioniste. Le règlement, en effet, par le double jeu du principe de primauté (consacré par l’arrêt Costa c. ENEL de la Cour de justice de l’Union Européenne le 15 juin 1964) et du principe d’applicabilité directe (prévu par l’article 288 du traité sur le fonctionnement de l’Union Européenne), constituera la norme de référence principale pour tous les traitements tombant dans son champ d’application : le droit national ne peut, dans les limites de ce champ, que le préciser ou l’adapter à la marge (comprendre : quand le règlement lui-même le permet), mais en aucun cas l’écarter ou le contredire.

Quel est alors l’intérêt du chantier législatif que constitue l’actuelle réforme de la loi Informatique & Libertés ? Y aura-t-il encore à terme vraiment lieu de s’y référer ? Répondre à ces questions suppose d’entrer dans l’analyse d’un aspect souvent négligé de la réglementation des traitements de données à caractère personnel : son champ d’application. Si le droit français s’apprête nécessairement à s’effacer devant l’instrument écrasant que représente le texte européen, les problématiques de loi applicable, elles, n’en ressortent que plus complexes, la réglementation apparaissant plus que jamais comme un vaste jeu de poupées russes.

Détendez-vous, ça va bien se passer

 

La loi française “vassale” du GDPR : le principe applicable pour la majorité des traitements

Partons déjà du moins du constat suivant : l’immense majorité des traitements de données à caractère personnel mis en oeuvre par des entreprises ou des organismes publics situé(e)s sur le territoire de l’Union Européenne, et/ou visant des personnes situées sur ce même territoire, seront soumis au GDPR.

Plus précisément, tel sera le cas, par application de l’article 3 du règlement (champ d’application territorial), des traitements effectués :

  • dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire de l’Union Européenne ;
  • ou dans le cadre des activités d’un responsable de traitement établi dans un lieu où le droit d’un État membre de l’Union Européenne s’applique en vertu du droit international public ;
  • ou dans le cadre d’activités liées à l’offre de biens ou de services à ces personnes concernées dans l’Union Européenne, qu’un paiement soit exigé ou non desdites personnes, ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union Européenne (peu important, dans ces dernier cas, que le responsable de traitement soit établi hors de l’Union Européenne).

Hors ces trois hypothèses, le traitement relèvera d’une loi “non européenne”, autrement dit ni du GDPR, ni du droit national d’un Etat membre de l’Union Européenne ; il s’agira, probablement, de la loi du pays d’établissement du responsable de ce traitement – et ici touche-t-on aux limites de notre maigre expertise.

Pour tous les traitements répondant aux conditions précédentes, en revanche, le raisonnement peut être prolongé. En effet, l’article 2 du GDPR introduit une série d’exceptions liées à la nature ou la finalité du traitement (champ d’application matériel), dans lesquelles ce traitement, bien qu’effectué notamment “dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire de l’Union Européenne“, ne sera pas appréhendé par le règlement lui-même, mais par d’autres corps de règles. Ces exceptions feront l’objet d’analyses dédiées dans les parties ultérieures de cet article. Listons-les cependant déjà, pour un maximum de clarté ; il s’agit :

  • des traitements effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces – ces traitements sont régis par la directive (UE) 2016/680, c’est-à-dire plus exactement par les lois nationales des Etats membres transposant cette directive (en France, le chapitre XIII de la loi Informatique & Libertés, tel que prévu par l’actuel projet de loi) ;
  • des traitements effectués dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union, et des traitements effectués par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne (activités concernant la politique étrangère et de sécurité commune) – ces traitements relèvent du droit national de l’Etat membre concerné ;
  • des traitements effectués par les institutions, organes et organismes de l’Union – ces traitements relèvent d’un règlement distinct, le règlement (CE) n°45/2001 ;
  • enfin, des traitements effectués par une personne physique dans le cadre d’une activité strictement personnelle ou domestique – ces traitements, qui relèvent du droit national de l’Etat membre de résidence de cette personne physique, sont en général tout simplement exemptés par ce droit national (en France, par l’article 2 alinéa 1er de la loi Informatique & Libertés).

Admettons donc, à ce stade, que le traitement qui nous occupe ne tombe dans aucune de ces exceptions (au demeurant très spécifiques), et qu’il remplit bien par ailleurs les conditions d’application du GDPR : la question qui se pose, dans ce cas, est celle d’identifier le droit national applicable “en complément” du règlement, là où ce dernier prévoit des marges de manoeuvre.

Dans nombre d’hypothèses, en effet, les dispositions du GDPR sont ou trop vagues, ou trop générales, ou en tous cas font directement appel aux droits nationaux des Etats membres pour compléter ou adapter leurs propres exigences. Ainsi, par exemple, de l’âge à partir duquel un enfant peut valablement consentir seul au traitement de ses données, fixé par défaut à 16 ans par le GDPR, mais qui peut être revu à la baisse (jusqu’à 13 ans) à la discrétion des législateurs nationaux : pour une situation donnée, il sera ainsi nécessaire, après le 25 mai 2018, afin de connaître l’âge minimum à respecter pour un traitement fondé sur le consentement, de bien identifier la loi nationale applicable.

En France, l’article 8 de l’actuel projet de loi précise le critère d’application : la loi Informatique & Libertés viendra compléter et/ou adapter le GDPR dans les cas où la personne concernée par le traitement réside en France.

Ce critère de rattachement n’est pas sans susciter un certain étonnement, dans la mesure où il prend le contre-pied de celui, traditionnel et général, qui veut que l’on applique à un traitement de données à caractère personnel la loi du pays d’établissement de son responsable. Il en résulte, ainsi qu’on le verra, une profonde distinction entre les cas où la loi Informatique & Libertés s’applique seule (article 5 de la loi Informatique & Libertés : critère d’établissement du responsable du traitement) et ceux où elle vient compléter et/ou adapter le GDPR (article 8 du projet de loi : critère de localisation de la personne concernée).

Certaines hypothèses pourraient même engendrer des conflits de lois particulièrement délicats : il suffit d’imaginer qu’un autre Etat membre ait choisi de faire dépendre l’applicabilité de sa loi, dans les mêmes circonstances, du critère d’établissement du responsable du traitement sur son territoire, pour que la loi de cet Etat membre et la loi française soient concurremment applicables ; tel serait le cas, par exemple, d’un traitement réalisé par un responsable espagnol vis-à-vis de personnes situées en France, si le droit espagnol prévoyait d’être applicable à raison de la nationalité de ce responsable. Ce risque, ainsi que de façon générale l’impératif de cohérence des instruments, conduit certains observateurs à suggérer de modifier cette subtilité de l’article 8 du projet de loi et de l’aligner, par analogie, sur les critères du champ d’application du GDPR (v. Fabrice Mattatia, “Projet de loi CNIL 3 : l’impossible défi”, La Semaine Juridique, 15 janvier 2018) ; les dispositions de la loi française complémentaires du règlement s’appliqueraient alors aux traitements :

  • dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire français ;
  • ou dans le cadre des activités d’un responsable de traitement établi dans un lieu où le droit français s’applique en vertu du droit international public ;
  • ou dans le cadre d’activités liées à l’offre de biens ou de services à ces personnes concernées en France, qu’un paiement soit exigé ou non desdites personnes, ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu en France (peu important, dans ces dernier cas, que le responsable de traitement soit établi hors de l’Union Européenne).

Quoi qu’il en soit, ce critère de localisation de la personne concernée témoigne bien de la philosophie protectrice de la réglementation des traitements de données à caractère personnel (dont à vrai dire il n’y a jamais eu trop lieu de douter) : il s’agit en effet du même critère de rattachement qui est retenu, dans les autres instruments majeurs du droit international privé que sont les règlements dits “Rome I” et “Rome II”, pour déterminer la loi applicable à un contrat de consommation ou à un dommage du fait d’un produit défectueux. Dans tous ces cas, la ratio legis consiste à faciliter l’action de l’individu concerné pour la défense de ses intérêts, en l’assurant que ce qui le regarde reste soumis à une loi qu’il peut comprendre et mettre en oeuvre le cas échéant. Tout comme le consommateur (et à d’autres égards l’auteur ou le salarié), la personne concernée vient ainsi s’inscrire dans le club très fermé des “parties faibles” protégées par le droit, y compris par le bénéfice de règles de conflits de lois favorables.

Ce critère connaît cependant une exception, précisée par l’article 8 du projet de loi également : lorsque le traitement concerné est réalisé à des fins journalistiques, ou à des fins d’expression universitaire, artistique et littéraire, par un responsable de traitement établi dans l’Union Européenne, le critère d’identification de la loi applicable en complément du GDPR redevient celui du pays d’établissement de ce responsable de traitement. Cette exception reflète, dans l’ordre des règles de conflits de lois, la situation particulièrement dérogatoire de ce type de traitements au sein de la réglementation, dont témoignent l’article 85 du GDPR et l’article 67 de la loi Informatique & Libertés. Soulignons encore au passage qu’elle ne vaut que pour ceux de ces traitements dont le responsable est établi dans l’Union : lorsque l’organe de presse responsable du traitement, par exemple, est domicilié dans un pays tiers, la loi française reprend les commandes pour protéger ses citoyens.

La presse internationale : un traitement de données à caractère personnel comme un autre

 

Les traitements des autorités publiques en matière pénale : le cas spécifique de la directive 2016/680

Hors de ce champ (extrêmement large) du GDPR qu’il vient compléter, le droit français pourra également encore être invoqué dans la mesure où il transpose la directive (UE) 2016/680, qui constitue le pendant du règlement en matière de traitements effectués par les autorités en matière pénale – ou, plus exactement, ainsi qu’indiqué ci-avant, de traitements effectués “par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces“.

Distinction plus intellectuelle que pratique, dans la double mesure où, d’une part, cette directive s’inspire largement des principes du GDPR, qu’elle ne fait qu’adapter à la marge, et où d’autre part, l’actuel projet de loi, en insérant un nouveau chapitre XIII à la loi Informatique & Libertés, se borne à la transposer, pour la majorité de ses dispositions, quasi-mot pour mot. Ne s’agissant cependant que d’une directive d’harmonisation minimale, ainsi que le précise clairement son article 1.3, il n’est pas à exclure que le législateur national se permette à terme d’insérer dans la transposition quelques spécificités de son cru.

En toute hypothèse, du moins, il est constant que les autorités compétentes en matière pénale situées sur le territoire français n’auront pour instrument de référence en termes de réglementation des traitements de données à caractère personnel, passée l’adoption du projet de loi, que ce chapitre XIII de la loi Informatique & Libertés, et n’auront ainsi pas à connaître du GDPR lui-même – situation assez rare, de fait, pour être remarquée.

 

Les traitements soumis au droit commun national : des ilôts résiduels

Hormis cette situation, donc, que reste-t-il finalement de droit national, non transposé, en matière de protection des données à caractère personnel ? Pas grand chose à l’évidence – à plus forte raison si l’on se souvient que l’essentiel de l’actuelle loi Informatique & Libertés est lui-même issu, au bout du compte, de la transposition d’une directive, la directive 95/46/CE. Le droit de la protection des données est un droit largement imprégné d’unionisme, et il n’y a pas forcément lieu de le déplorer, tant l’homogénéité des règles de droit garantit, ici comme ailleurs, leur force de frappe dans un monde globalisé.

Pour poser la question de façon plus modeste, alors : quand y aura-t-il lieu d’appliquer le droit commun français, tout le droit commun français, rien que le droit commun français ? C’est (cela n’a rien d’anodin) le GDPR lui-même qui donne la réponse, ainsi qu’exposé précédemment ; si l’on entend par droit commun ce qui ne relève pas des traitements des autorités compétentes en matière pénale (le chapitre XIII projeté, transposant la directive (UE) 2016/680, étant conçu comme une lex specialis), resteront soumis à ce droit commun :

  • les traitements effectués dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union (par exemple : les fichiers de souveraineté) ;
  • et les traitements effectués par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne (activités concernant la politique étrangère et de sécurité commune).

Pour de tels traitements, le champ d’application du droit français est par conséquent directement défini par l’article 5 de la loi Informatique & Libertés : celle-ci régira les traitements dont le responsable “est établi sur le territoire français” ou “recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne“.

Ajoutons à cela la limite prévue par le considérant 27 du GDPR, précisant que le règlement ne s’applique pas aux données relatives à des personnes décédées. Sur ce point, la loi Informatique & Libertés, depuis la loi n°2016-1321 du 7 octobre 2016 pour une République numérique, a l’originalité de permettre, via son article 40-1, à toute personne concernée de formuler des directives générales ou spécifiques relativement au sort de ses données à caractère personnel après sa mort ; tout responsable de traitement établi sur le territoire français, ou recourant à des moyens situés sur ce territoire, est ainsi tenu de prendre acte de telles directives du vivant de la personne concernée, et de les respecter dans sa mort.

 

Synthèse : les poupées russes de la protection des données personnelles

On vous l’accorde, tout ceci est bien complexe – d’autant plus que ce champ d’application éclaté en triptyque (GDPR + loi française ; loi française issue de la transposition de la directive (UE) 2016/680 ; loi française seule et entière) pourrait donner naissance à des courants jurisprudentiels divergents pour des dispositions organiquement distinctes, mais somme toute assez similaires quant à leur contenu. Il faudra par conséquent, une fois le texte adopté, prêter une étroite attention à la pratique de la CNIL, et bien identifier dans chaque cas la base juridique fondant son interprétation.

Dans cette attente, et revenant du même coup à notre métaphore sylvestre, nous vous proposons d’ores et déjà de visualiser toutes les hypothèses décrites ci-avant, et les solutions qui en découlent, sous forme d’un arbre de décision.

Suivez le guide !

 

 

Oui, on sait. Le droit international, ça fait peur.

 

Si son rôle historique sera à terme indéniablement amoindri, notre bonne vieille loi Informatique & Libertés n’a du moins pas vocation à disparaître ; au contraire : compte tenu de l’importance que revêtent les aspects liés à la protection des données à caractère personnel dans les activités des juridictions pénales, notamment, les évolutions de l’actuel projet de loi méritent d’être suivies avec attention.

Laisser un commentaire

Votre adresse mail ne sera pas publiée. Tous les champs sont obligatoires.