Application territoriale de la législation européenne en matière de protection des données : vaincre la peur de l’autre1
e
Raynaud ontami -C
Moniqu
I Jean-François HENROTTE & Fanny COTON
Pr i
Territorial application of the European legislation on data protection and data transfer to third countries: Conquering the fear of the other In this globalized world, it is sometimes difficult to match the European data protection regime with data flow inherent to current economic reality. The European Parliament must achieve a delicate balancing act to reconcile the various competing interests: protection for citizens, clarity and flexibility for businesses, openness to foreign markets and the safeguard of national sovereignty. Based on the existing legal regime
I Introduction Les règles encadrant les traitements de données à caractère personnel en vigueur au sein de l’Union européenne sont considérées internationalement comme étant particulièrement protectrices des citoyens. Ou contraignantes pour les entreprises, spécialement noneuropéennes, selon le point de vue. Bien qu’appliquées avec plus ou moins de vigueur selon les États membres et les différentes autorités nationales de protection des données, ces règles européennes – issues principalement de la directive 95/46 du 24 octobre 1995 relative
established by the Data Privacy Directive, and with the future Regulation on Data Protection in mind, this contribution addresses a issue, which is critical when a processing involves a foreign aspect. The paper is devoted to the territorial application of the European legislation, through the national law designated by the Directive at first, by the future Regulation in a second time. The law applicable to the controller and the law applicable to the processor’s security measures are detailed. The comparative review of the current system and future Regulations leads to a finding of technical improvements
à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données2 – forment un cadre cohérent à l’intérieur des frontières de l’Union. Toutefois, les flux internationaux de données sont inhérents au monde globalisé dans lequel les citoyens de l’Union se meuvent, singulièrement depuis l’avènement du Cloud, dont les grands acteurs ne se situent pas sur le territoire européen. L’utilisateur d’Internet ne sait pas toujours si le site web qu’il va visiter et auquel il va fournir des données est établi ou non sur le territoire
ne
x
2014
brought by the future text. Difficulties are overcome, differences of interpretation are set and procedures simplified. On a more political level, however, the contribution highlights a divergence existing between the Parliament and the Council on the future political direction of the text. One institution seems more protective of European values, and the other seems more oriented towards companies – including foreign ones – and anxious to safeguard national sovereignty. The contribution concludes itself on the inclusive message that the two views can be reconciled for the greater benefit of European citizens.
de l’Espace économique européen (EEE). Des données à caractère personnel peuvent donc être traitées dans d’autres pays du globe n’offrant pas un niveau de protection de la vie privée équivalent, voire aucune protection. L’enjeu que revêt la détermination de l’étendue du champ d’application territorial de la directive 95/46 est donc de taille. La portée des droits conférés par la directive 95/46 serait dérisoire si les internautes européens bénéficiaient d’une protection précaire face aux entreprises étrangères qui exercent des activités dans l’EEE.
66
V8_EXE_DEF_Juriste 16.indd 66
06/02/15 16:44