Le groupe de travail européen "Article 29", rassemblant les représentants de chaque autorité de protection des données des pays membre de l'Union européenne, a adopté un document de travail sur le droit national applicable conformément à la directive 95/46/CE du 24 octobre 1995 sur la protection des personnes à l'égard du traitement des données et sur la libre circulation de ces données.
La situation actuelle
L'article 4 de la directive européenne sur la protection des données (directive 95/46/CE) détermine quelle(s) loi(s) nationale(s) peuvent s'appliquer aux traitements de données à caractère personnel. Selon le groupe de travail, cette provision de la directive n'est pas facile à comprendre et à implémenter. Le point de départ pour déterminer le droit applicable est le lieu où le responsable de traitement a son établissement.
Globalisation et nouvelles technologies: un défi
La complexité des questions liées au droit applicable s'accentue aussi en raison de la globalisation et du développement de nouvelles technologies. Les entreprises offrant des services 24 heures sur 24, sont souvent actives dans plusieurs pays. À l’ère d’Internet et du numérique, il est devenu beaucoup plus facile de proposer des services à distance à ses clients et de collecter et partager des données dans un environnement virtuel. Avec le "Cloud Computing", il est difficile de déterminer la localisation des données et de l'équipement utilisé (et par conséquent le droit applicable).
L’avis du groupe de travail
Délimiter l'application du droit de l'UE aux traitements de données à caractère personnel permet de clarifier le champ d'application de la législation européenne sur la protection des données, tant dans l'Union (et dans l'EEE) que dans un contexte international plus large. Une bonne compréhension du droit applicable contribuera à garantir simultanément la sécurité juridique pour les responsables du traitement et un cadre clair pour les personnes concernées et les autres parties prenantes.
Le G29 propose une analyse des éléments clés dont on doit tenir compte pour déterminer le droit applicable et illustre les différentes hypothèses qui peuvent se présenter dans son avis avec de nombreux exemples.
Le groupe donne aussi des recommandations pour améliorer la législation sur la protection des données dans le contexte de la révision de la directive 95/46/CE: l'avis suggère notamment qu'il serait utile de clarifier le libellé de la directive et d'améliorer la cohérence entre les différentes parties de l'article 4.
Un exemple pratique
Voici un exemple pour illustrer la problématique du droit applicable:
- Lorsque des données à caractère personnel sont traitées par une entreprise dont l’unique établissement est situé au Luxembourg, c’est le droit national du Luxembourg qui s’applique à ses traitements, indépendamment du lieu où ils sont effectués.
- Cependant, la détermination du droit applicable devient plus difficile si une même entreprise est établie sur le territoire de plusieurs Etats membres. Si un citoyen luxembourgeois reçoit une carte de fidélité dans un magasin à Luxembourg-ville faisant partie d'une chaîne italienne, ses données sont collectées par le magasin au Luxembourg et la loi luxembourgeoise s'applique. Toutefois, si la maison-mère de la chaîne en Italie utilise ces données pour offrir au même client luxembourgeois des promotions par le biais du marketing direct, la législation italienne s'applique pour cette partie du traitement. Le marketing direct se fait "dans le cadre des activités" de la maison-mère italienne.
Cet exemple est utilisé par le groupe de travail pour montrer que le contexte dans lequel le traitement des données est effectué est le facteur-clé pour entraîner l'application du droit national. Le lieu et la nature des activités courantes jouent un rôle important pour définir le contexte.