Close
  • Français
  • English

03/06/2013Le futur règlement européen sur la protection des données à caractère personnel – Quels obstacles à sa mise en œuvre effective ? [Par Hugo Lemarchand, CEIS]

L’ambition de la souveraineté territoriale de l’UE face aux pratiques Outre-Atlantique

Le champ d’application territorial du futur règlement présente une particularité : si son application sur le territoire des Etats membres de l’Union semble logique[3], le législateur européen innove en prévoyant son application en dehors du territoire de l’UE, dès lors que les activités de traitements de données de citoyens européens ou de personnes résidants sur le territoire de l’Union européenne son liées à une activité commerciale[4]. Mieux encore, la seule observation du comportement de l’opérateur qui traite les données permettrait de le rendre applicable. L’effectivité de cette dernière disposition est cependant contestable car les critères du comportement en question n’ont pas été précisés.

Mais ces dispositions sont-elles concrètement applicables ? La question est d’autant plus pertinente si l’on oppose les législations américaine et européenne. Le cas du cloud computing en est l’illustration parfaite puisque que cette technologie est en constante progression et beaucoup de fournisseurs de ce service sont des sociétés américaines.

Selon la législation américaine, que les serveurs d’une entreprise (qui contiennent des données à caractère personnel) soient situés ou non sur le territoire américain, si l’entreprise en cause est enregistrée aux Etats-Unis, celle-ci relève nécessairement de la juridiction américaine, les autorités pouvant ainsi obtenir des données de citoyens non américains[5]. Et cette souveraineté extraterritoriale des Etats-Unis ne fera que croitre puisque la loi CISPA[6], qui étend encore davantage l’accès des autorités américaines aux données situées hors du territoire américain, a été adoptée par la Chambre des Représentants le 24 avril dernier et est actuellement débattue devant le Sénat. En somme, dès que le fournisseur d’un service de cloud computing en Europe est enregistré aux Etats-Unis, il sera dans l’obligation de transférer les données personnelles qu’il traite aux autorités américaines à la demande de celles-ci.

Même si le règlement européen se veut ambitieux en prévoyant d’encadrer le transfert de données de l’UE, cette opposition des législations européenne et américaine souligne la difficulté qu’il y aura à faire respecter les dispositions du règlement par des opérateurs internet américains[7], alors mêmes que lobbies soutiennent la démarche européenne Outre-Atlantique[8].
___________

Sources :
[3] Article 3§1 du projet de Règlement : «  Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement de données ou d’un sous-traitant sur le territoire de l’Union ».
[4] Article 3§2 du projet de Règlement : « le présent règlement s’applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l’Union, par un responsable du traitement qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union ou à l’observation de leur comportement ».
[5] Protect America Act de 2007, Foreign Intelligence Surveillance Act de 2008.
[6] Cyber Intelligence Sharing and Protection Act.
[7] Cela entre en contradiction avec la coopération bilatérale entre les Etats-Unis et l’UE  prônée par la stratgéie européenne de cybersécurité du 7 février dernier.
[8] Letter from Prominent US consumer and civil liberties organizations to US Government leaders regardinf efforts to update and strengtehn privacy law in Europe and the United States, 4 février 2013

Pages: 1 2 3 4 5