Le règlement laisse aux États des marges de manœuvre une cinquantaine dit le projet de loi, mais les États en les utilisant ne risquent-ils de porter atteinte au RGPD par exemple en prenant des dispositions nationales qui auraient des effets contraires, ou encore en laissant des trous ? Cette problématique va d’ailleurs bien au-delà puisque des pans entiers de la législation française appréhendent déjà la situation de données personnelles.
Illustration d’un trou avec les traitements concernés.
1°) Le RGPD s’applique même à des traitements dont le responsable n’est pas dans l’Union européenne.
Article 3 Champ d’application territorial
1.Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
2.Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes;
ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
3.Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.
2°) Le périmètre de la loi de 1978
C’est un périmètre bien différent que fixe la loi de 1978 dans sa version actuelle puisque c’est le lieu d’établissement en France du responsable du traitement ou des moyens qu’il met en œuvre, qui donne compétence à la loi française :
Article 5
- – Sont soumis à la présente loi les traitements de données à caractère personnel :
1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;
2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre Etat membre de la Communauté européenne.
- – Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.
3°) La solution proposée par le projet de loi
Cette difficulté est résolue à l’article 8 du projet de loi qui va compléter l’article 5 de la loi 1978 en retenant la résidence en France de la personne concernée :
Article 8
Après l’article 5 de la même loi, il est inséré un article 5-1 ainsi rédigé :
« Art. 5-1. – Les règles nationales, prises sur le fondement des dispositions du règlement (UE) 2016/679 renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement, s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France.
« Toutefois, lorsqu’est en cause un des traitements mentionnés au 2 de l’article 85 du même règlement, les règles nationales mentionnées au premier alinéa sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. ».
Le gouvernement pose ainsi le principe que les marges de manœuvres laissées par le RGPD même si elles ne sont pas utilisées expressément par la loi d’application, seront soumises aux règles françaises dès que la personne concernée à sa résidence en France. Ce principe connaît toutefois une exception celle de l’article 85-2, c’est-à-dire que la protection des données personnelles ne pourrait limiter la liberté de la presse, de l’information et de l’activité culturelle que si la loi le prévoie.