Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

A l’heure de la mondialisation des échanges et des technologies sans frontières : quelle loi appliquer ?

27 septembre 2010

Les individus, les entreprises, mais aussi les autorités de protection de données sont confrontés, de façon quotidienne, à des situations transnationales et complexes. Il est donc devenu indispensable de mettre en œuvre des critères clairs pour définir le champ d’application de la protection offerte par le droit européen et français. La CNIL et le G29 (Groupe des CNIL européennes) poursuivent leur réflexion sur ce sujet.

La détermination du champ d’application de la protection offerte par le droit européen et le droit français est devenue un des défis majeurs pour la régulation de la protection des données personnelles au niveau mondial.

Nous sommes en effet confrontés à des situations complexes où les données personnelles sont transférées quotidiennement dans le monde entier, avec le recours croissant à des services d’externalisation, souvent hors Union européenne. Bien souvent, les données personnelles sont difficiles à localiser du fait du recours à des services dits de cloud computing. Ces situations mettent en avant une double exigence : assurer la protection des droits des citoyens tout en limitant, pour les entreprises, une application excessive d’une multitude de lois nationales.

L’article 4 de la Directive européenne de 1995 et l’article 5 de la loi du 6 janvier 1978 modifiée en août 2004 mettent en place des critères déterminant respectivement l’application du droit européen et du droit français de la protection des données personnelles.

Le critère de rattachement principal est celui du lieu d’établissement du responsable de traitement. Aussi, le droit européen sera applicable si le responsable de traitement est établi dans un pays membre de l’Union européenne. Si le responsable de traitement n’est pas établi en Europe, il sera tout de même soumis au droit européen dès lors qu’il recourt à des moyens de traitement en Europe.

La notion de moyen de traitement est entendue de façon large par le groupe des CNIL européennes. Sont ainsi considérés comme des moyens de traitement : les serveurs informatiques, les cookies, les bannières Javascript, etc.

La CNIL a engagé une large réflexion sur la mise en œuvre en pratique de ces critères, qui s’avère, dans certains cas, délicate et complexe. Elle a notamment analysé les critères retenus dans d’autres domaines du droit, comme, par exemple, le droit de la consommation.   

Cette étude servira également de contribution à l’avis que prépare le Groupe des CNIL européennes sur cette question. Elle permettra ainsi d’alimenter la réflexion engagée par la Commission européenne, dans le cadre de la révision de la directive de 1995, en vue d’une éventuelle évolution des critères actuels. 

 

Chargement en cours...