Intervention de Nicole Belloubet

La question du champ d’application du RGPD constitue une innovation majeure par rapport à la directive de 1995. L’article 3 du règlement, comme cela vient d’être dit, prévoit en effet un double champ d’application.

D’une part, ce règlement est applicable aux traitements effectués dans le cadre des activités d’un établissement par un responsable de traitement ou un sous-traitant dès lors que celui-ci se trouve sur le territoire de l’Union, peu importe que le traitement d’ailleurs ait lieu ou non dans l’Union. Il s’agit donc en quelque sorte d’un critère organique.

D’autre part, le règlement est également applicable selon un critère matériel, peu importe que l’établissement soit alors sur le territoire de l’Union, dès lors que le traitement est effectué à l’égard des résidents européens. Il suffit alors que l’offre de biens ou de services à des personnes concernées se déroule dans l’Union ou que leur comportement dans l’Union soit suivi.

Le règlement a donc une cohérence globale vis-à-vis des responsables de traitement présents dans ou en dehors de l’Union. Il précise à cet égard, à son considérant 14, qu’il devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence en ce qui concerne le traitement de leurs données.

Si son champ d’application est déjà défini par le RGPD, il n’en est pas de même des marges de manœuvre des États membres octroyées par le règlement, qui devraient aussi l’être afin d’éviter des conflits de normes. C’est évidemment extrêmement important en cas de dispositions divergentes selon les législations nationales, comme l’a expliqué Mme la rapporteur.

En effet, se pose la question du critère à retenir pour la législation applicable entre États membres de l’Union en cas de divergences, compte tenu des choix différents dans l’exercice de ces marges de manœuvre qui sont permises par le règlement. Les enjeux sont importants en termes de protection des droits fondamentaux des personnes concernées, mais également d’attractivité des territoires, dès lors que la législation applicable peut constituer un critère très important pour une entreprise qui souhaite s’implanter à l’étranger.

L’article 8 du projet de loi prévoit ainsi de retenir pour l’application des marges de manœuvre, cela a déjà été dit, le critère de résidence de la personne concernée, à l’exception des traitements mentionnés à l’article 85.2 du règlement en matière de liberté d’expression et d’information, qui relèveraient du critère d’établissement du responsable de traitement. Son objet est donc clairement défini.

L’amendement proposé, au contraire, laisse subsister, si vous me permettez cette expression, une forme d’oubli. En effet, le 1° du II tend à proposer un critère qui est centré sur la localisation, en France, du responsable du traitement. Le 2° traite du cas particulier du droit français qui s’applique en vertu du droit international public. Le 3° concerne enfin exclusivement le cas où le responsable de traitement n’est pas établi dans l’Union européenne. Or ce cas est déjà réglé à l’article 3.2 du RGPD.

Ainsi, il manque, me semble-t-il, le plus important. Quel droit s’applique lorsque le responsable de traitement est dans l’Union européenne, mais hors de France, et que ses services s’appliquent à un résident en France ? Autrement dit, à quoi servent tous nos débats sur l’âge de consentement des mineurs ou sur les garanties relatives au NIR, aux données biométriques ou aux données de santé, si le droit qui est issu des marges de manœuvre des autres États membres venait alors à s’appliquer en France directement ?

En raison de cet oubli ou de ces incohérences, je demande le rejet du présent amendement.