« Une étude réalisée par le CSA en janvier 2014 montre en effet que 81% des français se disent préoccupés par la protection de leurs données personnelles. »
L’avènement du RGPD (Règlement général sur la protection des données), illustration d’une volonté de renforcer le droit au respect de la vie privée
Au sein de notre droit interne, mais également à l’échelle européenne, notamment avec l’article 8 de la Charte Européenne des Droits de l’Homme, il existe un droit fondamental : le droit au respect de la vie privée et familiale.
En effet, l’article consacre ce droit en disposant que : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. »
Le droit au respect de la vie privée et familiale s’étend également à un outil d’une grande envergure depuis son apparition : internet. Ce respect à la vie privée inclut la protection des données personnelles et le respect de la confidentialité des correspondances et communications, afin qu’internet devienne un outil de confiance face aux évolutions des technologies.
La volonté européenne de trouver un cadre juridique applicable aux données numériques s’est matérialisée par l’adoption du RGPD, le 25 mai 2018, qui est un cadre européen posant un certain nombre de règles protectrices du traitement des données personnelles et du droit au respect de la vie privée. Il permet également une harmonisation à l’échelle européenne relative à la libre circulation de ces données.
Ce règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978.
Une donnée à caractère personnel, qu’est-ce que cela signifie ?
Elle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
L’identification peut être directe ou indirecte au sens de l’article 4§1 dudit règlement :
« Est réputée être une « personne physique identifiable » une personne physique identifiée directement » (nom, prénom) « ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; »
L’identification d’une personne physique peut être réalisée de deux manières :
- D’une part, elle peut se réaliser en se basant sur une seule donnée, telle que le numéro de sécurité sociale ou l’ADN.
- D’autre part, en croisant un ensemble de données, pouvant s’illustrer par une combinaison d’informations : « Notre cliente Betty Cooper, née le 18 août 1976, résidant à Rouen, vient chercher son magazine auquel elle est abonnée dans notre enseigne, toutes les semaines, et fait habituellement ses courses le vendredi. »
Le champ d’application du RGPD : une portée extra-territoriale ?
- Le champ matériel
Au sens de l’article 2 du RGPD, ledit règlement « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »
- Le champ territorial
Au sens de l’article 3 dudit règlement européen, ce dernier s’applique aux entités établies sur le territoire de l’Union européenne (UE), soit à toutes les organisations engagées dans le traitement de données personnelles, que ce soit pour son propre compte ou celui d’autrui, qu’elles soient publiques ou privées, indépendamment de la nationalité des personnes concernées par ce traitement.
Il s’applique également aux entités tierces (établies en dehors de l’UE) si elles traitent des données personnelles de personnes résidant dans l’Union européenne, et ce, lorsque ces activités de traitement sont liées à l’offre de biens ou de services, ou au suivi du comportement de ces personnes dans l’UE.
De surcroît, « le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public. »
Par l’étendue de son champ d’application, le RGPD est un instrument à portée extra-territoriale.
La mise en place difficile d’une harmonisation à l’échelle internationale : le cas des Etats-Unis.
Une harmonisation à l’échelle internationale et plus précisément transatlantique relève d’une mise en place complexe, et le Privacy Shield Agreement, également appelé « le bouclier de protection des données UE-États-Unis » est l’illustration parfaite de cette difficulté.
En effet, entre 2015 et 2016 a été négocié entre l’Union européenne et les Etats-Unis un accord dans le domaine du droit de la protection des données personnelles.
Cet accord permettait de garantir aux citoyens européens des droits protecteurs dès lors que des données personnelles étaient transférées à des entreprises certifiées aux États-Unis.
Les citoyens européens pouvaient ainsi contacter directement les entreprises pour faire valoir leurs droits, avec un délai de réponse de 45 jours qui s’imposait pour ces entreprises.
Les droits garantis dans le cadre du Privacy Shield étaient nombreux : le droit à l’information et à la divulgation ; le droit d’opposition contre un traitement de données si nécessaire ; le droit de rectifier des données inexactes ; le droit à la suppression des données ou le droit à un recours par le biais de procédures de plaintes…
Malgré l’initiative, pouvant être qualifiée de novatrice, et les droits que cet accord pouvaient garantir, le 16 juillet 2020 la Cour de justice de l’Union européenne a rendu un arrêt majeur, dit « Schrems II » invalidant le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield). Elle a exercé un contrôle de proportionnalité.
La CJUE (Cour de Justice de l’Union Européenne) avait jugé que cet accord « ne garantissait pas aux données des citoyens européens transitant vers les États-Unis un niveau de protection équivalent à celui prévu par le RGPD. »
Le problème principal résidait dans la possible ingérence des lois extraterritoriales américaines (Cloud Act…) « dans les droits fondamentaux des citoyens européens dont les données étaient transférées vers les États-Unis. »
Les conséquences de cet arrêt étaient nombreuses, d’une part, pour les organismes qui souhaitaient transférer des données, et d’autre part, en ce qu’il créait une situation d’incertitude juridique, plongeant ainsi les entreprises dans une grande insécurité économique.
En effet, en raison de ce flou juridique, plusieurs décisions de régulateurs européens empêchaient de fait, de recourir à des outils comme Facebook Connect ou Google Analytics.
Les entreprises ont dû recourir à d’autres mécanismes légaux tels que les clauses contractuelles types ou les règles d’entreprise contraignantes pour assurer la conformité avec les règles de protection des données lors du transfert de données entre l’UE et les États-Unis.
De ce fait, les négociations entre l’Union européenne et les États-Unis ont exploré la possibilité de mettre en place un nouveau cadre pour régir ces transferts de données.
Par une décision rendue le 10 juillet 2023, la Commission européenne a considéré que les États-Unis garantissent un niveau de protection des données personnelles comparable à celui de l’Union européenne.
En effet, un nouvel accord négocié par la Commission, entré en vigueur le 10 juillet dernier, est destiné à faciliter les transferts de données européennes vers les États-Unis, par la mise en place d’un nouveau cadre de transfert des données UE/États-Unis, le EU-US Data Protection Framework (DPF).
Ce nouveau cadre fait toutefois l’objet de contestations en ce qu’il violerait le règlement général sur la protection des données (RGPD) de l’UE et la Charte des droits fondamentaux de l’Union européenne.
Pour rappel, l’article 52 de la Charte garantit et protège les libertés fondamentales des citoyens de l’UE, en disposant que les restrictions à ces libertés ne peuvent être faites que lorsqu’elles « sont nécessaires et proportionnées ». Une surveillance de masse « proportionnée » instituée par ce nouvel accord, violerait ce principe.
De ce fait, ce nouveau cadre pourrait faire l’objet d’une nouvelle contestation en justice, notamment par l’activiste autrichien M. Schrems, qui a déjà renvoyé à plusieurs reprises ses affaires relatives aux obstacles que rencontre le RGPD à s’appliquer, devant la CJUE, par le mécanisme d’une question préjudicielle.
Selon lui : « Le RGPD a une influence parce qu’il est et continuera d’être le standard mondial ».
Samyntha CORNUEJOLS – M2 Droit international – Parcours Douane et Transports
Pour aller plus loin :
- https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1
- https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision#:~:text=Les%20transferts%20de%20données%20personnelles,adéquation%20concernant%20les%20États%2DUnis.
- https://ec.europa.eu/commission/presscorner/detail/fr/IP_16_433
- https://www.lemonde.fr/pixels/article/2023/05/25/max-schrems-le-rgpd-a-une-influence-parce-qu-il-est-et-continuera-a-etre-le-standard-mondial_6174747_4408996.html