La détermination de la loi applicable aux traitements de données personnelles dans le contexte européen

La détermination de la loi applicable en matière de données personnelles doit désormais compter avec une nouvelle approche conceptuelle. En effet, les traitements de données à caractère directement ou indirectement nominatif se pensent désormais en terme de marché et les entreprises font référence aux principes du "droit marchand" :

  Liberté d’entreprendre ;
- Liberté de circulation ;
- Libre concurrence.

Une conciliation de ces principes doit être opérée avec ceux relatifs à la protection des droits des personnes. Cet arbitrage doit se faire, notamment, au niveau de la loi applicable à un traitement de données personnelles. En effet, la protection des données est un domaine pétri par les valeurs propres à chaque ordre juridique. Des divergences profondes existent au regard du sujet, des modalités et de la finalité de la protection. Les Etats offrant un niveau de protection élevé sont donc soucieux d’en préserver l’effectivité.

Dans ce contexte, force est de constater la tendance à une interprétation spécifique du principe de territorialité. Des matières mettant en jeux la protection des citoyens ou de l’économie justifient, pour un Etat, l’application, hors du territoire national, de dispositions impératives. Peu importe les difficultés d’exécution qui pourront être rencontrées.

Un traitement de données personnelles s’inscrit dans un contexte normatif dont la violation peut-être sanctionnée pénalement. Il importe donc pour le responsable du traitement de pouvoir connaître de façon certaine, quelles sont les dispositions qui régissent sont activité. Or, la matière pénale est au premier chef des entorses à une conception traditionnelle du principe d’application de la loi du pays d’origine : Chaque juridiction nationale se reconnaît compétente dès lors qu’un élément de l’infraction est rattachable à son ordre juridique. En pratique, cela peut aboutir à des situations porteuses d’insécurité juridique. Une affaire est à ce titre illustrative, un site australien, qui avait publié d’infâmes propos négationnistes, a pu être condamné par la cours suprême allemande alors même qu’il n’était pas prouvé que le site avait été consulté depuis l’Allemagne. S’il est louable de condamner de tels agissements, il est permit de s’interroger sur les conséquences d-une telle attractivité de la loi pénale. Si cet arrêt ne concerne pas la protection des données à caractère personnel, les sanctions pénales qui y sont afférentes amènent à penser que la solution de la cours allemande aurait été la même dans l’hypothèse d’une infraction à la protection des données, pénalement sanctionnée.

Le responsable d’un traitement doit alors respecter les lois de pays qui ne lui semblaient pas être concernés de prime abord. Les divergences de conception profondes entre les ordres juridiques rendent donc le responsable du traitement potentiellement coupable d’une infraction pénale quelque part dans le monde. Par exemple, un fichier américain contenant des informations sur un citoyen japonais résidant à Paris devra respecter non seulement la loi américaine, mais aussi les dispositions impératives de la loi du 6 janvier 1978, de la directive 95/46 CE du 24 octobre 1995 et du droit japonais !

Dans un tel contexte, il convient d’identifier et de définir les acteurs ainsi que les critères de localisation d’un traitement de données personnelles, (I) avant d’analyser plus particulièrement les dispositions communautaires (II), pour pouvoir les confronter à la pratique. (III)