Couverture de RCDIP_204

Article de revue

Sur la compétence internationale de la CNIL

Pages 874 à 883

1La protection des données personnelles s'inscrit dans un contexte éminemment international à raison de leur absence de localisation physique et de la dissémination géographique des serveurs. Comment les instances chargées de cette mission l'assurent-elle ?

2Les textes définissant la compétence de la Commission Nationale de l'Informatique et des Libertés (la « CNIL ») paraissent désigner indifféremment les personnes ou situations qui en relèvent et la loi qu'elle doit appliquer. Cette coïncidence des compétences « juridictionnelle » et législative est logique concernant un organe étatique chargé d'une mission déterminée, mais peut surprendre dans un domaine étroitement lié aux personnes et paraissant à ce titre relever des méthodes traditionnelles du droit international privé, fondé sur une relative dissociation des deux questions.

3Cette perception reçoit-elle une réponse différente selon que le Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (le « RGPD ») régit (I) ou non (II) la situation ?

I - Compétence dans le cadre du RGPD

A - Les critères de la compétence de la CNIL

4En application de l'articles 55 (« Compétence ») du RGPD, la CNIL, en sa qualité d' « autorité de contrôle » pour la France (reconnue par l'art. art. 8.1 de la loi 78-17 du janv. 1978, modifiée en dernier lieu par l'ord. n° 2018-1125 du 12 déc. 2018), « est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ». À cet égard, ce « territoire » s'entend notamment des lieux où le droit français s'applique à raison du droit international (art. 3.3 du RGPD), ce qui comprend les navires et aéronefs sous pavillon français et les ambassades et consulats (v. les Lignes Directrices adoptées le 12 nov. 2019 par le Comité Européen de Protection des Données. Partie 3 p. 25 et 26 et les ex. proposés).

5Cet article indique donc qu'en France, seule la CNIL pourrait exercer les pouvoirs (art. 57 du RGPD) et missions (art. 58 du RGPD) dont le RGPD investit les « autorités de contrôle ». Il organise donc une compétence exclusive, en répartissant les compétences respectives de certains organes des États membres. Il vise ainsi à éviter des conflits d'autorité ou de souveraineté.

6Cependant, il n'indique pas les critères qui rattachent une personne ou une situation au domaine d'intervention de la CNIL. Ceux-ci paraissent ressortir de l'article 3 (« champ d'application territorial ») du RGPD qui y définit son champ en s'attachant aux opérateurs, débiteurs localisables des droits qu'il instaure.

7Concernant la CNIL, ce règlement s'applique à tout traitement de données « effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de [la France], que le traitement y ait lieu ou non » (art. 3.1 du RGPD). Il s'applique également au traitement de données « relatives à des personnes qui se trouvent [en France] par un responsable de traitement ou un sous-traitant qui n'est pas établi [en France], lorsque les activités de traitement sont liées a) à l'offre de biens ou de services à ces personnes concernées [en France] qu'un paiement soit exigé ou non desdites personnes ; ou b) au suivi du comportement de ces personnes dans la mesure où il s'agit d'un comportement qui a lieu [en France] » (art. 3.2 du RGPD).

8Ces deux critères, alternatifs, de rattachement avec le territoire français, respectivement qualifiés de critère « d'établissement » et de « ciblage » par les Lignes Directrices, clarifient opportunément une question que la directive 95/46/CE du 24 octobre 1995, précédant le RGPD, n'abordait pas clairement.

9De plus, les notions de responsable de traitement (« personne déterminant les finalités et les moyens du traitement » art. 4. 7) du RGPD) et de sous-traitant (« personne assurant le traitement pour le compte du responsable du traitement » art. 4 8) du RGPD) sont bien définies. De même, la signification, fort large, du traitement est bien précisée (art. 4. 2) du RGPD). Pour autant, la mise en œuvre de certains termes et dispositions du RGPD paraissent appeler une interprétation, permettant une extension du champ de compétence de la CNIL au-delà des frontières françaises.

1 - Le critère de l'établissement

10La notion d' « établissement » visée par l'article 3.1 du RGPD n'est en effet pas techniquement définie. Le considérant 23 de ce texte indique qu'il doit avoir une stabilité et une substance opérationnelle. Ainsi, un site internet accessible en France ne pourrait pas, en tant que tel, y constituer un « établissement » (en ce sens v. les Lignes Directrices p. 7 ; CJUE 28 juill. 2016, aff. C-191/15, Verein für Konsumenteinformation c/ Amazon SARL, § 76, Rev. crit. DIP 2017. 112, note S. Corneloup ; D. 2016. 2315, note F. Jault-Seseke ; ibid. 2141, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2017. 539, obs. H. Aubry, E. Poillot et N. Sauphanor-Brouillaud ; ibid. 1011, obs. H. Gaudemet-Tallon et F. Jault-Seseke ; ibid. 2054, obs. L. d'Avout et S. Bollée ; Dalloz IP/IT 2017. 50, obs. E. Treppoz). Par contre, ce pourrait être le cas d'un collaborateur, se consacrant à la fourniture de services en ligne et installé en France, d'une entreprise étrangère (en ce sens, Lignes Directrices p. 7).

11De plus, l'expression de « cadre des activités » n'implique pas que le traitement de données soit accompli par l'établissement (CJUE 13 mai 2014, aff. C-131/12, Google c/ Spain, § 52, AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1476, note V.-L. Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Légipresse 2014. 330 et les obs. ; JAC 2014, n° 15, p. 6, obs. E. Scaramozzino ; Constitutions 2014. 218, chron. D. de Bellescize ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray). Il doit simplement être en relation avec ce dernier.

2 - Le critère du « ciblage »

12Celui défini par l'article 3. 2 a) ne peut être satisfait que si une forme d'intention envers des résidents français est avérée chez le responsable du traitement ou le sous-traitant. Ainsi par exemple, la CNIL serait compétente à l'égard d'un voyagiste norvégien rassemblant, par le biais de « cookies » attachés à certains sites de présentation de pays étrangers ou d'architecture, des données concernant des résidents de France pour leur proposer des séjours tout compris de découverte des fjords et églises traditionnelles en bois. Inversement, le suivi par un transporteur polonais des déplacements de ses conducteurs en France aux fins de vérifications des horaires de travail et de calcul de leur salaire ne constitue pas une offre et le fichier correspondant ne relèverait pas de la CNIL. De même, selon un exemple (n° 16, p. 21) des Lignes Directrices, une université suisse invitant tous candidats parlant notamment allemand à soumettre leur curriculum vitae pour une année de master ne mettrait pas en place un traitement relevant de la CNIL. La réponse serait probablement différente si cette université promouvait activement ce cursus en invitant à s'y inscrire : il y aurait alors une intention d'offrir une prestation.

13Par ailleurs, aux termes de l'article 3.2 b) du RGPD, le « suivi du comportement » de personnes en France entre dans le champ de la CNIL. Ainsi, selon un exemple proposé par les Lignes Directrices (p. 23), une société américaine, spécialisée dans l'aménagement des centres commerciaux mais sans établissement en France, et qui y collecterait des informations sur le comportement physique des clients circulant dans de tels établissements devrait relever de la compétence de la CNIL (en ce sens, consid. 24 du RGPD). Mais il n'apparaît pas que le texte de RGPD exige que l'objet du traitement soit, en définitive, immédiatement commercial ou implique un degré particulier d' « intention de cibler » la personne concernée (en ce sens consid. 24 et Lignes Directrices, p. 22). Il suffit donc que le responsable de traitement poursuive « un objectif spécifique » en collectant les données. De fait, les Lignes Directrices mentionnent notamment à cet égard (p. 22) « la publicité comportementale », « le suivi en ligne grâce à l'utilisation de cookies », et « les études de marché et autres études comportementales basées sur des profils individuels ». Ainsi, en lançant une enquête concernant l'entreprise chinoise ByteDance titulaire de l'application d'échange TikTok et qui aurait collecté les données des utilisateurs de ce réseau (https://www.lemonde.fr/tiktok/article/2020/08/11/la-cnil-lance-une-enquete-sur-tiktok_6048695_6013190.html), la CNIL parait considérer que ce responsable de traitement relève bien de sa compétence alors même que cette collecte d'informations ne paraît pas avoir pour objet de les exploiter envers ces utilisateurs. De même, on peut penser que le suivi des comportements de résidents français aux fins de sollicitation politique (comme l'a fait la société anglaise Cambridge Analytica en vue des élections présidentielles américaines de 2016) devrait entrer dans le champ de la compétence de la CNIL.

B - L'extension de la compétence de la CNIL

14Le RGPD établit tout à la fois la teneur de la protection des données personnelles et la compétence des organes qui l'appliquent. Ainsi, la compétence de la CNIL se trouve déterminée par la loi qu'elle met en œuvre. Comme évoqué en tête de ces remarques, cette approche procède toutefois de la nature administrative et du pouvoir réglementaire de cette institution. Mais son autorité étatique la confronte à d'autres organes ou réglementations.

1 - Confrontation avec d'autres institutions

15Le RDPD harmonise la concurrence éventuelle des autorités de contrôle au sein de l'Union européenne. Ainsi, dans le cas d'un responsable de traitement disposant d'établissements en France et dans plusieurs pays-membres de l'Union européenne - par exemple, une société américaine de vente par correspondance ayant dans différents pays des succursales assurant la promotion et la commercialisation de ses produits -, celui-ci coordonnant leur activité serait considéré comme l' « établissement principal » du responsable du traitement des données. Un tel établissement est présumé situé au lieu de son administration centrale dans l'Union européenne, sauf à ce qu'un autre prenne les décisions concernant le traitement des données (art. 4. 16 du RGPD). L'autorité de contrôle compétente pour cet établissement principal serait alors « chef de file » (art. 4. 9 du RGPD) et seule compétente pour exercer les missions et pouvoirs instaurés par le RGPD (art. 56 du RGPD). La CNIL se trouverait donc chef de file si un tel établissement principal se trouvait en France. Dans le cas contraire, elle devrait déférer à la compétence de son homologue chef de file, sauf à devoir coordonner avec lui la gestion des réclamations ou violations. Saisie d'un signalement, la CNIL devra donc examiner l'éventuel réseau européen de l'opérateur en cause avant d'intervenir à l'égard de son établissement en France. C'est d'ailleurs en ce sens qu'elle a consulté ses homologues de l'Union européenne pour s'enquérir d'un éventuel « établissement principal » de Google LLC dans l'un des États membres, avant de lui infliger une amende (Délibération CNIL SAN-2019-001 du 21 janv. 2019). De même, elle a indiqué coordonner ses investigations à l'égard du responsable de traitement de l'application TikTok avec ses homologues de l'Union européenne (v. supra l'information du Monde).

16Cette détermination d'un « guichet unique » répond évidemment bien au souci d'une forme d'uniformité de la protection des données dans l'Union européenne. Toutefois, les textes l'organisant paraissent recéler une imprécision. En effet, l'établissement principal dans l'Union européenne d'un responsable de traitement est présumé y être situé au lieu de son « administration centrale ». Ce terme ne suggère pas, en tant que tel, qu'un traitement de données y soit effectué ou ait lieu dans le cadre de l'activité de l'établissement. Cette qualification d' « administration centrale » semblait pouvoir s'appliquer à la filiale irlandaise de Google LLC, Google Ireland Limited : tête de groupe des filiales européennes, cette dernière coordonnait ou centralisait leurs activités commerciales, promotionnelles et financières. Par contre, elle ne disposait pas de l'autorité lui permettant de déterminer « la finalité et les moyens » du traitement des informations recueillies, les décisions à cet égard étant prises aux États-Unis. La CNIL déclare en conséquence que Google Ireland Limited ne constituait pas un « établissement principal » au sens du RGPD. Elle considère en effet que la notion d' « administration centrale » suppose « l'exercice effectif et réel d'activités de gestion déterminant les décisions principales concernant les finalités et moyens du traitement » (délibération SAN-2019-001 du 21 janv. 2019), en d'autres termes, que l'établissement principal doit agir comme responsable de traitement. Cette interprétation du texte du RGPD s'appuie sur la teneur de son considérant 36 (aux termes duquel, l'établissement principal « devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d'un dispositif stable »). En outre, la combinaison du principe de localisation d'un « établissement principal » et de l'exception au lieu des décisions concernant le traitement des données suggère que l'analyse soit commandée par la situation du responsable de traitement. Enfin, cette approche est celle du Groupe de Travail « article 29 », prédécesseur du Comité Européen de Protection des Données (Lignes directrices concernant la désignation d'une autorité de contrôle chef de file d'un responsable du traitement ou d'un sous-traitant 16/FR WP 244 rev.01 du 5 avr. 2017 §2.1). Le Conseil d'État a validé cette interprétation du RGPD (CE 19 juin 2020, n° 430810, Google LLC c/ UFC-Que choisir, § 4 à 6, Lebon ; AJDA 2020. 1263 ; D. 2020. 2043, note F. Jault-Seseke), que semblait en l'espèce partager l'autorité de contrôle irlandaise (v. la délibération CNIL SAN-2019-001 du 21 janv. 2019). On peut toutefois remarquer que cette solution ajoute au texte de ce règlement une condition qui n'y figure pas. Le Conseil d'État a toutefois refusé de soumettre cette question à la CJUE (arrêt du 19 juin 2020, § 28). Google Ireland Limited ayant reçu pour l'Union européenne autorité en matière de traitement des données avec effet le 31 janvier 2019, soit peu après la décision de la CNIL (délibération SAN-2019-001 du 21 janv. 2019), ce refus pourrait s'être avéré opportun, sinon tactiquement judicieux pour s'assurer de la régularité de la sanction pécuniaire infligée.

17Constatant l'absence d' « établissement principal » de Google LLC dans l'Union européenne, la CNIL s'est déclarée compétente à son égard. L'affirmation est donnée sans autre justification (délibération SAN-2019-001 § 41). Le Conseil d'État indique qu'il s'agit de l'article 55 (arrêt du 19 juin 2020, § 4). L'ambiguïté déjà mentionnée de ce texte (supra I A) est ici patente : la CNIL applique-t-elle le RGPD comme seul texte applicable ou bien est-elle compétente car les circonstances justifient un critère particulier de compétence ? Dans ce dernier cas, l'absence d'établissement principal d'un opérateur présent dans l'Union européenne pourrait appeler une forme d'application de l'article 7.2 du Règlement 1215/2012 du 12 décembre 2012 au motif que les droits des personnes concernées ont été affectés en France. S'il fixe son propre champ d'application, le RGPD n'exclurait donc pas pour autant les règles traditionnelles du droit international privé.

18Par ailleurs, les critères de la compétence de la CNIL ne sont pas toujours parfaitement définis et peuvent lui permettre de l'adapter aux circonstances ou intentions politiques. Ainsi, le RGPD ne précise pas la nature ou l'intensité de la relation entre l'activité d'un établissement en France et le traitement en cause. Comme indiqué (supra 1 A), si celui-ci n'a pas à être effectué par l'établissement, il doit lui être lié. Cette relation paraît devoir être étroite. La CJUE indique qu'elle doit être indissociable (CJUE 13 mai 2014, aff. C-131/12, Google c/ Spain, § 56, préc.) et les Lignes Directrices utilisent l'adjectif « inextricable » (v. p. 9). Ainsi, une société de vente par correspondance située hors de France mais y disposant d'un bureau assurant la promotion de ses produits, y aurait un « établissement » justifiant la compétence de la CNIL (en ce sens, Lignes Directrices, p. 9). À cet égard, si le paiement auprès d'un établissement ne paraît pas être une condition de la relation entre l'activité de l'établissement et le traitement, il peut toutefois justifier un tel lien (en ce sens, Lignes Directrices, p. 9). Le paiement n'est qu'une simple considération pour la détermination d'une offre ciblée de biens ou services à des personnes en France (art. 3. 2 a) du RGPD et Lignes Directrices, p. 18).

19Enfin, la CNIL serait-elle compétente à l'égard du sous-traitant situé hors de l'Union européenne d'un responsable de traitement également hors de celle-ci, si ce dernier satisfait le critère de « ciblage » ? On peut noter que dans un tel cas, les Lignes Directrices paraissent suggérer (2 d) p. 23 et ex. 19 à 21) la compétence de l'autorité de contrôle tant à l'égard du sous-traitant - au motif qu'il participe à l'activité de ciblage - que du responsable du traitement. Cette approche est contraire à celle applicable si le responsable de traitement est dans l'Union européenne ; son sous-traitant dans un pays tiers a alors un sort différent et ne serait tenu que de certaines obligations seulement (v. Lignes Directrices 1 d), p. 11 et 12). Mais, en pratique, qu'apporterait à la protection des droits des personnes concernées, le doublon de compétence de la première hypothèse ? La CJUE aura peut-être à se prononcer sur une telle hypothèse.

2 - Confrontation avec d'autres réglementations

20La portée du RGPD ne manque pas d'être confrontée à des réglementations considérées comme d'ordre public par des pays tiers à l'Union européenne, telles celles relatives par exemple à la liberté d'informer ou à la sécurité nationale. Soucieuse d'assurer une protection effective des données personnelles, la CNIL paraît alors disposer de deux voies tactiques pour affronter un tel conflit d'autorités ou de normes unilatérales (sur ces conflits et leurs éventuelles solutions, P. Jacob, La compétence des États à l'égard des données numériques, Rev. crit. DIP 2019. 665).

21Tout d'abord, elle peut prendre en compte la norme étrangère pour moduler sa décision. C'est l'approche qu'implique une décision de la CJUE à propos du champ d'un déréférencement permis par l'article 17.1 du RGPD (CJUE 24 sept. 2019, aff. C-507/17, Google LLC c/ CNIL, Rev crit DIP 2020. 334, note H. Muir Watt ; AJDA 2019. 1839 ; ibid. 2291, chron. P. Bonneville, C. Gänser et S. Markarian ; D. 2020. 515, note T. Douville ; ibid. 2019. 2022, note J.-L. Sauron ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2020. 951, obs. S. Clavel et F. Jault-Seseke ; ibid. 1262, obs. W. Maxwell et C. Zolynski ; ibid. 1970, obs. L. d'Avout, S. Bollée et E. Farnoux ; Dalloz IP/IT 2019. 631, obs. N. Martial-Braz ; Légipresse 2019. 515 et les obs. ; RTD eur. 2020. 311, obs. F. Benoît-Rohmer ; ibid. 316, obs. F. Benoît-Rohmer ; Légipress 2019. 515). Si ce texte ne suggère pas de limite spatiale, son champ est restreint aux versions applicables aux États membres, ce dont prend acte le Conseil d'État (CE, 10e et 9e ch. réu., 27 mars 2020, n° 399922, Lebon avec les conclusions ; AJDA 2020. 760 ; D. 2020. 767 ; ibid. 1262, obs. W. Maxwell et C. Zolynski ; Légipresse 2020. 271 et les obs. ; qui énonce § 10 qu'« il ne résulte, en l'état du droit applicable, d'aucune disposition législative qu'un tel déréférencement pourrait excéder le champ couvert par le droit de l'Union européenne pour s'appliquer hors du territoire des États membres de l'Union européenne »). Forme de considération d'une norme étrangère, cet exercice de proportionnalité (v. la note de H. Muir-Watt, Rev. crit. DIP 2020. 334) suggère une manière d'ajustement unilatéral de la portée des décisions pour en assurer l'efficacité (au-delà des interrogations quant à la nature de la norme que serait le RGPD).

22Par ailleurs, la CNIL peut envisager une forme de pression politique indirecte. C'est ce que suggère l'importante décision de la CJUE (CJUE 16 juill. 2020, aff. C-311/18, Data Protection Commissioner c/ Facebook Ireland et M. Schrems, D. 2020. 1453 ; AJ contrat 2020. 436, obs. T. Douville; comp. sur le premier round dans cette même affaire, l'arrêt C-498/16, Rev crit DIP 2018.595, note H. Muir Watt). Facebook Ireland transmettait à sa maison-mère aux États-Unis les informations qu'elle collectait concernant les utilisateurs du réseau en Europe. Ce transfert s'effectuait dans le cadre d'un accord conforme au modèle de Clauses Contractuelles préconisées par la réglementation européenne pour assurer la protection des droits des personnes concernées (décis. 2010/87/UE du 5 févr. 2010). Mais, sa mise en œuvre n'est valable que si le pays de destination assure un niveau « adéquat » de protection des données personnelles. À cet égard, la Commission Européenne avait approuvé le 12 juillet 2016 (décis. d'exécution (UE) 2016/1250, JOUE L 207 du 1er août 2016 p. 1) un mécanisme d'auto-certification par les opérateurs américains qu'ils respectent divers engagements censés protéger les données dont ils sont destinataires (mécanisme dit « Privacy Shield »). M. Schrems, défenseur connu, ardent et judicieusement informé, de la protection des données personnelles, a fait valoir que la réglementation américaine autorisait, pour des raisons de sécurité nationale, certaines agences (not. le FBI ou la NSA) à consulter les informations détenues par les entreprises américaines. De plus, les recours des personnes concernées apparaissent actuellement plus formels qu'effectifs. La CJUE a conclu que ce prétendu bouclier n'était donc guère étanche et a annulé la décision reconnaissant (not. § 136 à 141) qu'il assurait un niveau « adéquat » de protection des données personnelles. Si la méthode même des accords organisant leur transfert (Clauses Contractuelles types ou Règles d'Entreprises Contraignantes - Binding Corporate Rules) n'est pas remise en cause, le transfert de toute donnée personnelle vers les États-Unis paraît, en l'état de sa réglementation, singulièrement compromis. Le conflit des normes est patent et l'enjeu économique significatif. On comprend donc qu'outre les États-Unis, une dizaine d'États membres soient intervenus à l'instance. De plus, nombre d'entreprises se sont rapidement vues reprocher leur transfert de données aux États-Unis (https://www.lemonde.fr/pixels/article/2020/08/18/transferts-de-donnees-aux-États-Unis-101-entreprises-europeennes-visees-par-des-recours_6049263_4408996.html). L'intensité des relations transatlantiques et l'exploitation active des informations personnelles par certains opérateurs américains ne vont-elles pas pousser à une modification de certaines règles en vigueur aux États-Unis ?

23Mais au-delà des considérations économiques qu'il suscite, cet arrêt paraît indirectement toucher la compétence de la CNIL. D'une part, la mise en œuvre d'une condition posée par le RGPD peut donc amener cet organe à examiner des dispositions étrangères. L'application de sa loi dépend alors de la teneur de normes d'un pays tiers. Dans un contexte de chocs entre unilatéralismes, n'y a-t-il pas là un retour à une forme de respect de la loi étrangère au cœur de la pratique du droit international privé ? D'autre part, la décision de la CJUE ne suggère-t-elle pas à la CNIL une manière d'exercer la plénitude de sa compétence : en refusant le transfert de données personnelles dans un État peu protecteur de ces dernières et le forçant à ajuster sa réglementation, ne définit-elle pas un levier pour assurer l'efficacité de ses décisions ?

II - Compétence hors du cadre du RGPD

A - Les critères de compétence

24La loi 78-17 dite Informatique et Libertés envisage que certaines questions relevant de son domaine n'entrent pas dans celui du RGPD (1). Par ailleurs, ce dernier confère aux pays membres de l'Union européenne une « marge » pour adapter ou compléter un certain nombre de questions (à cet égard, v. M.-E. Ancel, D'une diversité à l'autre, Rev. crit. DIP 2019. 647). Ce sont, par exemple, les cas de l'âge-limite du consentement des mineurs à l'usage de leurs données personnelles (art. 8), des conditions du traitement de certaines catégories d'informations personnelles, notamment en matière de santé (art. 9. 4), de la coordination des règles du RGPD avec la liberté d'expression, les fins « archivistiques » et celles d'intérêt public (chapitre IX), ou des sanctions autres que les amendes administratives (art. 87). Le Conseil d'État déclare en avoir identifié 56 (avis n° 393836 du 11 déc. 2017 §7 p. 3).

25La compétence de la CNIL est-t-elle, à leur égard, différente de celle impartie par et pour le RGPD ?

261. Dans l'hypothèse de questions ne relevant pas du champ du RGPD, La loi 78-17 s'applique aux traitements « effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français » (art. 3.I). Ce texte se borne-t-il à désigner la loi applicable ?

27Si c'est le cas, la CNIL est-elle alors compétente aux termes du Règlement 1215/2012 du 12 décembre 2012 (art. 7. 2) si un dommage quelconque survenait en France ? Une telle approche logique est peut-être discutable. D'une part, la CNIL est-elle bien une « juridiction » au sens de ce règlement (art. 1.1) lorsqu'elle intervient dans sa fonction réglementaire ? D'autre part, ne serait-il pas contradictoire que cette institution administrative soit compétente si le dommage découle du traitement, ayant causé un dommage en France, de données par un opérateur n'y disposant pas d'un établissement, mais ne puisse alors appliquer les dispositions de la loi Informatique et Libertés ? La règle de l'article 3.I doit-elle être alors bilatéralisée ? Ou bien, faut-il considérer que ce texte désignant la loi applicable vaut également pour la compétence de la CNIL ? Dans ce cas, celle-ci ne pourrait appliquer ces dispositions de la loi 78-17 que si le traitement contestable des données a lieu « dans la cadre de l'activité d'un établissement » en France. La compétence de la CNIL, excluant les hypothèses de « ciblage », s'avèrerait alors plus limitée qu'à l'égard des droits instaurés par le RGPD.

282. En ce qui concerne les dispositions de la loi 78-17 relevant de la marge laissée par le RGPD au droit français, leur caractère accessoire suggèrerait que la CNIL est alors compétente selon les règles rappelées supra envers les personnes concernées (en ce sens, M.-E. Ancel, op. cit. II A, p. 658). Cependant, ces dispositions « s'appliquent dès lors que la personne concernée réside en France » (art. 3 II de la loi 78-17).

29Or ce terme « réside » diffère de l'indication du RGPD selon lequel le critère de ciblage vise les personnes qui « se trouvent » en France (art. 3.2). Une telle différence de définition du champ de compétence ne risque-t-elle pas de susciter des difficultés ? Ce rattachement, distinct de ceux de l'établissement et du ciblage posés par le RGPD, paraît en effet conférer à la CNIL, dans les matières expressément laissées à la loi française par le RGPD, une compétence moins large que celle posée par le RGPD. Par exemple, une personne transitant (« se trouvant ») en France lors de ses vacances pourrait invoquer les limitations posées par le RGPD concernant le traitement de ses données de santé mais ne pourrait réclamer le bénéfice qu'offrent les protections particulières posées par les articles 65 à 71 de la loi 78-17 ! Ainsi un mineur de 15 ans ou plus ne pourrait s'opposer à la consultation de son dossier médical par ses parents (art. 70, al. 3), ce qu'il pourrait faire s'il « résidait » en France. Mais peut-être cette différence de définition de la compétence n'a-t-elle d'incidence que dans des cas marginaux.

B - Coordination avec la compétence d'autres institutions françaises

30La compétence de la CNIL, même au titre des marges réglementaires que lui confère le RGPD, doit se combiner avec celles des juridictions civiles et pénales.

31La qualification du traitement indu de données pourrait permettre de déroger aux règles de compétence de la CNIL. Si la victime choisit d'intenter une action contre le responsable de traitement au motif d'une concurrence déloyale ou d'une atteinte à sa vie privée plutôt que d'invoquer une violation du RGPD, le tribunal judiciaire pourra être compétent aux termes de l'article 7.2 du Règlement 1215/2012 du 12 décembre 2012, c'est-à-dire en raison du lieu du dommage subi. Il déterminera la loi applicable selon ses règles de conflit. La protection des droits personnels échappera alors à la CNIL. Toutefois la compétence juridictionnelle du tribunal et la loi qu'elle applique ne risquent-elles pas en pratique d'être, quoique par un chemin différent, parallèles à celles de cette institution ?

32Par ailleurs, La CNIL peut prononcer des amendes administratives (art. 83 du RGPD et art. 20 III 7° de la loi 78-17). C'est cette faculté dont elle a usé envers Google LLC le 21 janvier 2019 pour un montant de 50 millions d'euros. Mais elle est par ailleurs tenue en sa qualité d'autorité officielle et aux termes de l'article 40, alinéa 2, du code de procédure pénale (Crim. 3 févr. 1998, n° 96-82.665, D. 1998. 443, note R. Gassin) de porter à la connaissance du procureur les violations dont elle a connaissance et susceptibles de faire l'objet de sanctions pénales (art. 226-14 à 226-24 et R. 625-10 à 625-13 C. pén.).

33L'éventualité d'une amende administrative en même temps que de poursuites pénales ne viole-t-elle pas le principe ne bis in idem de non-cumul des poursuites, que commande le principe de nécessité des délits et des peines ? L'arrêt du 19 juin 2020 du Conseil d'État affirme que ce n'est pas le cas. Ce point de vue est conforme à une jurisprudence concernant d'autres autorités administratives indépendantes (Cons. const. 18 mars 2015, n° 2014-453/454 QPC et 2015/462 QPC, AJDA 2015. 1191, étude P. Idoux, S. Nicinski et E. Glaser ; D. 2015. 894, et les obs., note A.-V. Le Fur et D. Schmidt ; ibid. 874, point de vue O. Décima ; ibid. 1506, obs. C. Mascala ; ibid. 1738, obs. J. Pradel ; ibid. 2465, obs. G. Roujou de Boubée, T. Garé, C. Ginestet, M.-H. Gozzi et S. Mirabail ; AJ pénal 2015. 172, étude C. Mauro ; ibid. 179, étude J. Bossan ; ibid. 182, étude J. Lasserre Capdeville ; Rev. sociétés 2015. 380, note H. Matsopoulou ; RSC 2015. 374, obs. F. Stasiak ; ibid. 705, obs. B. de Lamy ; RTD com. 2015. 317, obs. N. Rontchevsky, et 7 mai 2020, n° 2020-838/839 QPC, D. 2020. 987) considérant que les quatre critères pertinents (selon lesquels les finalités des sanctions et leurs natures, les qualifications des faits et les ordres juridictionnels doivent être différents) sont satisfaits dans le cas de telles institutions. Cette remarque, répondant à une question qui n'est pas posée, paraît avoir un caractère préventif, en suggérant qu'aucune question prioritaire de constitutionnalité sur ce point ne sera transmise.

34Au terme de ces remarques, la compétence de la CNIL suscite trois interrogations.

35Tout d'abord, quelle serait l'incidence d'une incompétence de l'institution ? Ses décisions devraient-elles alors être annulées comme constituant une erreur de droit (en ce sens CE, 10e et 9e ch. réu., 27 mars 2020, n° 399922, Lebon avec les conclusions ; AJDA 2020. 760 ; D. 2020. 767 ; ibid. 1262, obs. W. Maxwell et C. Zolynski ; Légipresse 2020. 271 et les obs.) ou un excès de pouvoir ? Mais, sa nature juridictionnelle reconnue (CE, juge des référés, 19 févr. 2008, n° 311974) ne devrait-elle impliquer un renvoi à l'autorité de contrôle compétente, selon une procédure similaire à celle des articles R. 351-1 et s. du code de justice administrative ?

36Par ailleurs, la question de la compétence de la CNIL ne devient-elle pas secondaire par rapport à celle de l'intégrité du consentement des utilisateurs ? L'adhésion des utilisateurs de certaines applications à des conditions d'utilisation permettant un transfert et une exploitation fort large des données les concernant, ne réalise-t-elle pas une forme de contournement de la protection assurée à ces dernières ? Cette question donne toute son importance à l'arrêt annulant la décision reconnaissant le caractère adéquat de la protection des données dans le cadre du Privacy Shield (CJUE 16 juill. 2020, aff. C-311/18, Data Protection Commissioner c/ Facebook Ireland et M. Schrems, D. 2020. 1453 ; AJ contrat 2020. 436, obs. T. Douville), qui s'attache à la réalité de l'adhésion informée de l'utilisateur.

37Enfin, les conflits d'autorités nés de l'approche unilatéraliste de la compétence des différentes autorités ne pouvant se résoudre que par leur accord (qui ne peut être immédiat) ou par une limitation (délibérée ou non) du champ de compétence de la CNIL et ses homologues, ne risquent-ils pas d'aboutir en pratique à une segmentation des compétences des différentes lois concernant les données, mettant en cause la vocation universelle d'internet ?


Date de mise en ligne : 16/03/2021.

https://doi.org/10.3917/rcdip.204.0874

bb.footer.alt.logo.cairn

Cairn.info, plateforme de référence pour les publications scientifiques francophones, vise à favoriser la découverte d’une recherche de qualité tout en cultivant l’indépendance et la diversité des acteurs de l’écosystème du savoir.

Avec le soutien de

Retrouvez Cairn.info sur

18.97.9.170

Accès institutions

Rechercher

Toutes les institutions