Intervention de Sophie Joissains

Au critère du lieu de résidence de la personne concernée par le traitement des données, il entend substituer plutôt le critère du lieu d’établissement du responsable de traitement. Ce changement est contraire à la position de la commission, qui a maintenu le critère de résidence.

Comme le note justement l’étude d’impact du projet de loi, le « critère de l’établissement » aurait certes pour avantage premier de permettre au responsable de traitement de n’appliquer qu’un seul droit – cela permettrait de réduire certaines charges administratives et diminuerait la complexité juridique pour le responsable, et uniquement pour lui –, mais, dans une telle hypothèse, le droit applicable aux personnes concernées pourrait varier en fonction du lieu d’établissement principal du responsable de traitement ou de son sous-traitant. Concrètement, cela reviendrait à faire application du droit d’autres États membres pour des traitements de données qui touchent des résidents français.

Je donne un exemple. Si l’Irlande choisit comme âge de consentement des mineurs, en ce qui concerne l’offre directe de services de la société de l’information, l’âge de treize ans, ou si elle exclut l’action de groupe pour la réparation des dommages, ces dispositions s’appliqueront aux résidents français pour l’utilisation de services tels que Google ou Facebook, dont le siège des filiales européennes se trouve en Irlande.