Intervention de François Bonhomme

Cet amendement vise à adapter le critère du champ d’application territorial de la loi n° 78-17 du 6 janvier 1978 lorsque celle-ci sera appliquée de façon complémentaire au nouveau règlement européen, dans le but de le rapprocher tout à la fois du critère d’application du règlement européen lui-même et du critère d’application de la même loi de 1978 lorsqu’elle est appliquée seule, indépendamment du règlement. Il résulte en effet de l’article 8 du projet de loi en sa rédaction actuelle un degré de complexité qui paraît incompatible avec les exigences de lisibilité et de bonne application de la loi, exigences d’autant plus impérieuses lorsque celle-ci vise à protéger les droits et libertés des personnes physiques.

L’article 8 prévoit, dans la version du projet de loi adoptée par l’Assemblée nationale, un champ d’application de la loi de 1978 centré sur la résidence de la personne dont les données sont traitées, dans les cas où cette loi vient préciser les dispositions du règlement en application des marges de manœuvre laissées aux États membres de l’Union européenne par ce dernier. Or le règlement européen se réfère systématiquement en principe au critère d’établissement non pas de la personne concernée, mais du responsable du traitement. Par exception, dans certains cas limités, le règlement européen sera par ailleurs applicable lorsque ce responsable de traitement sera établi hors de l’Union européenne, sous réserve que la personne concernée soit localisée en France, la notion de localisation se distinguant de celle de résidence.

Cet éclatement des critères risque d’entraîner une confusion importante dans l’application territoriale de la loi de 1978, notamment de la part des entreprises et organismes publics responsables de traitements, qui ne seront pas en mesure d’identifier facilement les règles de droit qui leur sont applicables.

Par ailleurs, le choix d’un critère de résidence de la personne concernée a pour effet d’imposer systématiquement la collecte de l’adresse de cette personne, même dans les cas où cette donnée n’est pas nécessaire pour la finalité poursuivie par le traitement, en contrariété avec le principe de minimisation de la collecte imposé par le règlement européen. Cela risque de faire peser une charge trop importante sur les responsables de traitement et sous-traitants de données à caractère personnel, mais également de porter une atteinte injustifiée à la vie privée des personnes concernées.

Enfin, un autre risque est de voir émerger des situations de conflits de lois inextricables entre le droit français et celui d’un autre État membre qui aurait choisi de retenir un autre critère pour l’application de sa loi nationale en complément du règlement européen. Ce risque de conflits de lois a été expressément souligné par la CNIL dans son avis du 30 novembre 2017 sur le projet de loi.

Il est par conséquent proposé d’aligner le champ d’application territorial de la loi de 1978, lorsqu’elle sera appliquée en complément du règlement européen, sur des critères analogues à ceux prévus par ce dernier. Cette réécriture aura également pour effet d’uniformiser le champ d’application territorial de la loi de 1978 selon qu’elle est appliquée seule ou en complément du règlement, renforçant ainsi la lisibilité du texte.