Comment s’applique le RGPD outre-mer ?
26 avril 2019.
Les départements et régions d’outre-mer [1] (ou DROM) et les collectivités d’outre-mer [2] (COM) ainsi que la Nouvelle-Calédonie [3] ne se voient pas appliquer de façon homogène la législation européenne sur la protection des données personnelles. Le régime actuel, transitoire et hétérogène, cèdera sa place le 1er juin 2019 à un régime unifié, qui ne permettra pas pour autant de résoudre la question de l’encadrement des transferts de données personnelles dans les COM.
Alors que les DROM (ainsi que Saint-Martin [4]) sont directement tenus d’appliquer le Règlement général sur la protection des données personnelles [5] dit RGPD, les COM sont uniquement soumis, en vertu d’une mention expresse de la loi nationale, aux dispositions de la loi Informatique et Libertés française dite LIL.
En effet, en application de l’article 198 du Traité de fonctionnement de l’Union européenne (TFUE) et de l’interprétation qu’en a donné la Cour de justice de l’Union européenne (CJUE), le droit dérivé de l’Union européenne (UE) ne peut s’appliquer, faute de mention expresse du TFUE [6], de plein droit dans ces territoires.
Un régime transitoire organise l’application par les COM et la Nouvelle-Calédonie de la loi Informatique & Libertés, qui a connu de récentes modifications (I). Le régime homogénéisé, en place à compter de juin 2019 (II), devra répondre aux interrogations actuelles quant aux conditions du transfert de données vers ces collectivités (III).
I) Un régime transitoire pour les COM jusqu’au 1er juin 2019
A la suite de l’entrée en vigueur de la loi n° 2018-493 du 20 juin 2018, qui a modifié la loi Informatique & Libertés afin de mettre en conformité le droit national au nouveau cadre juridique européen (notamment le RGPD), la Commission nationale de l’informatique et de libertés (CNIL) a communiqué le 13 juillet 2018 sur le cadre juridique transitoire applicable aux COM.
Comme évoqué ci-avant, les DROM sont directement soumis aux dispositions du RGPD.
En amont de la publication de l’ordonnance prévue par l’article 32 de la loi du 20 juin 2018, la CNIL se prononçait sur le régime applicable temporairement aux COM et à la Nouvelle-Calédonie [7] :
- certains d’entre eux (Nouvelle-Calédonie, Polynésie française, les îles Wallis et Futuna, ainsi que les Terres australes et antarctiques françaises) doivent continuer d’appliquer la loi Informatique & Libertés dans sa version antérieure à l’entrée en application du RGPD ;
- d’autres doivent d’ores et déjà appliquer la loi Informatique & Libertés modifiée postérieurement au RGPD (Saint-Barthélemy et Saint-Pierre-et-Miquelon).
Cette disparité dans l’application du nouveau dispositif est provisoire et prendra fin, au plus tard, au 1er juin 2019.
II) Spécificité territoriale des COM : régime homogénéisé à compter du 1er juin 2019
Les COM se verront appliquer, malgré leur statut, la loi française sur la protection des données personnelles (A) et devront, par son biais, se conformer aux nouvelles règles du RGPD (B).
A) Compétence de l’Etat et application de la loi française dans les COM
Comme le souligne le Rapport au Président de la République relatif à l’ordonnance n°2018-1125 [8], la Loi Informatique & Libertés réécrite assure
“l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l’Etat.”
Dans sa délibération portant avis sur le projet d’ordonnance précité [9], la CNIL affirme par ailleurs que le projet de texte doit
“permettre l’application de règles homogènes sur le territoire métropolitain et dans l’ensemble des collectivités d’outre-mer en matière de protection des données personnelles”.
La loi Informatique & Libertés telle que modifiée postérieurement à l’entrée en application du RGPD (dite loi Informatique & Libertés 4, à la suite de ses réécritures successives des mois de juin et décembre 2018 [10]) a donc vocation à s’appliquer de façon homogène dans les COM et en Nouvelle-Calédonie, quel que soit le statut et/ou le degré d’autonomie de la collectivité d’outre-mer concernée.
Pour certaines COM, telles que Saint-Barthélemy et Saint-Pierre-et-Miquelon, les dispositions législatives et réglementaires de l’Etat sont applicables de plein droit, à l’exception des dispositions intervenant dans les matières de la compétence de la collectivité [11] (qui incluent notamment les impôts et taxes, la circulation routière ou encore le logement).
En revanche, s’agissant de la Polynésie [12] et de la Nouvelle-Calédonie [13], le doute était permis, en ce que les lois qui déterminent leurs statuts d’autonomie fixent avec exhaustivité les domaines relevant de la compétence de l’Etat français parmi lesquels la nationalité, le droit électoral, l’organisation judiciaire, la Défense, la Monnaie, la Police, la Sécurité ainsi que la garantie des libertés publiques. Ce dernier domaine de compétence de l’Etat, en ce qu’il inclut la protection de la vie privée, est de nature à justifier l’intervention de l’Etat français en matière de protection des données personnelles.
Il convient toutefois de relever que certaines des dispositions de la loi nationale ne s’appliqueront pas aux collectivités d’outre-mer. Par exemple, la Nouvelle-Calédonie et la Polynésie française ne bénéficieront pas du mécanisme de l’action de groupe en matière de protection des données personnelles, qui intéresse uniquement les tribunaux de l’ordre judiciaire français.
B) Application par extension de la loi française – et du RGPD ?
L’article 1 de l’ordonnance n° 2018-1125 du 12 décembre 2018 soumet par extension (via une mention expresse [14]) les COM ainsi que la Nouvelle-Calédonie à la loi Informatique & Libertés 4 :
“La présente loi est applicable en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises” (article 125 de la loi Informatique & Libertés 4 [15]) qui rejoignent ainsi le régime déjà applicable à Saint-Barthélemy et Saint-Pierre-et-Miquelon, consacrant ainsi une certaine homogénéité dans ces territoires.
Il est à noter toutefois que l’ordonnance prévoit que la référence au RGPD sera remplacée par la référence “aux règles en vigueur en métropole en vertu” du RGPD (article 126 de la loi Informatique & Libertés 4 [16]). Or, bon nombre de “règles en vigueur en métropole en vertu” du RGPD n’ont aucune substance sans le renvoi exprès qu’elles opèrent aux articles du RGPD.
Il en est ainsi, à titre d’exemple, de la contractualisation du responsable de traitement avec le sous-traitant :
“Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l’égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l’article 28 du règlement.” [17]
Aussi, convient-il d’interpréter ce changement de “référence” à la lumière du Rapport au Président de la République précité, relatif à l’ordonnance n°2018-1125 dont un des objectifs est d’articuler les dispositions de la loi française et celles du RGPD, notamment outre-mer :
“La présente ordonnance contient un chapitre Ier qui réécrit la loi du 6 janvier 1978 précitée afin de simplifier la mise en œuvre et apporter les corrections formelles nécessaires à la cohérence avec le droit de l’Union européenne relatif à la protection des données à caractère personnel. Elle assure en outre l’application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l’ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l’Etat.”
Ce remplacement doit donc être interprété comme un moyen pour le législateur français d’appliquer indirectement les règles nouvelles du RGPD, par le biais de la loi nationale, dans les COM et en Nouvelle-Calédonie.
III) Transferts de données vers les COM et la Nouvelle-Calédonie : transferts en dehors de l’UE ?
Les DROM, directement tenus d’appliquer le droit dérivé de l’Union européenne en tant que “région ultrapériphérique” de l’UE, peuvent recevoir les données personnelles d’un responsable de traitement soumis au RGPD sans que ce dernier n’ait à mettre en place les conditions imposées par l’article 46 du règlement en cas de flux transfrontières hors UE (BCR – Binding corporate rules, clauses contractuelles types, certifications, etc.).
A l’inverse, le statut de “pays et territoires d’outre-mer” (PTOM) des COM et de la Nouvelle-Calédonie les exclut de l’application des directives et des règlement européens et donc du champ d’application territorial du RGPD. Ils sont, de ce fait, considérés comme des territoires “tiers” à l’UE.
Par application des articles 45 à 47 du RGPD qui encadrent les transferts de données hors de l’UE, la question de la mise en place des conditions de l’article 46 (BCR, clauses contractuelles types, certifications) du RGPD peut donc être légitimement posée.
Il convient toutefois de signaler que, selon une infographie de la CNIL [18], la Polynésie française et les Terres australes et antarctique françaises sont – en dépit de leur statut de PTOM – identifiées comme “pays membre de l’UE ou de l’EEE” appliquant la loi Informatique & Libertés. Un raisonnement par analogie avec le reste des COM et la Nouvelle-Calédonie laisserait à penser que ces territoires pourraient perdre leur qualité de “tiers” une fois la loi Informatique & Libertés 4 entrée en vigueur, permettant ainsi des transferts de données sans nécessaire mise en place des conditions prévues par l’article 46 du RGPD.
Néanmoins une telle analogie ne saurait être permise en l’absence, pour l’heure, de décision d’adéquation par la Commission européenne au profit de ces collectivités, telle que prévue par l’article 45 du RGPD.
Si le caractère adéquat du niveau de protection des données personnelles dans tous ces territoires ne devrait pas faire de doute du fait de leur application de la loi Informatique & libertés française, l’absence à ce jour de décision d’adéquation de la Commission européenne crée une incertitude juridique.
[1] Juridiquement les “collectivités relevant de l’article 73 de la Constitution” et de l’article 72-3 pour les Terres australes et antarctiques françaises.
[2] Juridiquement les “collectivités relevant de l’article 74 de la Constitution”.
[3] “Collectivité relevant de l’article 77 de la Constitution”.
[4] COM depuis le 15 juillet 2007.
[5] Article 355 du Traité sur le fonctionnement de l’Union européenne .
[6] Article 198 du Traité sur le fonctionnement de l’Union européenne et de la jurisprudence de la CJUE : CJCE, 12 février 1992, Leplat, aff. 260/90, point 10).
[7] https://www.cnil.fr/fr/comment-la-loi-informatique-et-libertes-sapplique-t-elle-loutre-mer.
[8] Rapport au Président de la République relatif à l’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.
[9] Délibération n°2018-349 du 15 novembre 2018 portant avis sur un projet d’ordonnance prise en application de l’article 32 de la loi n°2018-439 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n°78-17 du 6 janvier 1928.
[10] La Loi Informatique & Libertés 2 correspondant à la Loi Informatique & Libertés modifiée par la loi du 6 août 2004 transposant la directive (UE) 95/46.
[11] Articles L0 6213-1 et L0 6214-3 du Code général des collectivités territoriales.
[12] Article 14 de la loi organique n°2004-192 du 27 février 2004 portant sur le statut d’autonomie de la Polynésie française.
[13] Article 21.I de la loi organique du 19 mars 1999.
[14] Conformément au principe de “spécialité législative”.
[15] Dans sa version en vigueur au 1er juin 2019.
[16] Idem.
[17] Article 60 de la loi Informatique & Libertés 4.
[18] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde.
Claudia Weber, avocat associé fondateur et Arthur Poirier, avocat
Nous contacter