Les entreprises situées en dehors de l’Union européenne doivent-t-elles avoir peur du RGPD ? Par Philippe Tritto

Sur l’échiquier international, le RGPD est une pièce maîtresse pilotée par l’UE et faisant office de standard de protection salué par un nombre important d’États. Mais il ne s’agit pas que d’un entre-soi européen : le RGPD a vocation à sanctionner le non-respect des obligations pratiques qu’il impose, et ce, hors des frontières de l’UE.

Si un des intérêts, lorsqu’on applique le RGPD, est de tirer son épingle du jeu comme nous avons pu le développer dans un précédent article[1], il n’en reste pas moins que l’atout concurrentiel que les entreprises peuvent tirer de leur mise en conformité n’est pas le seul avantage. Le règlement doit être appliqué et, pour ce faire, des moyens sont investis dans un dispositif spécifique de sanction. On pense tout de suite aux sanctions applicables en Europe au vu de la coopération renforcée entre les États-membres. Devrait-on pour autant se croire au-dessus des règles du RGPD dès lors qu’on traite des données personnelles en étant établi en dehors de l’UE ? Rien n’est moins sûr : le « vieux continent » met du cœur au ventre des individus en imposant le respect de leur vie privée en dehors de ses frontières. Retour sur les règles du jeu…

Éclatement du champ territorial du RGPD

Les cas d’application

Le RGPD s’applique aux entreprises en dehors de l’Union qui effectuent des traitements de données personnelles dans les situations suivantes[2]:

  • Le responsable du traitement ou le sous-traitant est établi sur le territoire de l’UE.
  • Le traitement vise des résidents de l’UE, soit en leur fournissant des biens ou des services soit en suivant leur comportement.

Si votre entreprise est dans l’un de ces cas, alors il est possible qu’il faille établir un représentant[3]sur le territoire de l’UE. Des exceptions existent au principe, comme le fait d’être une autorité ou un organisme publique ou encore de faire un traitement de données personnelles occasionnel.

Le représentant sur le territoire de l’Union européenne

Le représentant est une entité spécifiquement mandatée par le responsable de traitement. Il est l’interlocuteur privilégié des autorités de contrôle[4]et des individus faisant l’objet des traitements sur toutes les questions relatives à ceux-ci. Les lignes directrices du Comité Européen à la Protection des Données (CEPD) sur le champ d’application territorial du Règlement sont attendues dans les prochaines semaines et aborderont justement ce point de la représentation.

En ce qui concerne les entreprises situées en dehors de l’UE, deux choses sont d’ores et déjà connues :

  • Premièrement, qu’il ne faut pas confondre représentant et guichet unique. En effet, même si un représentant est désigné, le système de guichet unique de l’article 56 du RGPD ne peut être mis en œuvre que si la société possède plusieurs établissements dans l’UE. En d’autres termes, si elle n’en possède qu’un seul, ou même si elle n’en possède pas du tout, alors il faudra qu’elle s’adresse par l’intermédiaire du représentant aux autorités de contrôle locales dans chaque État membre dans lesquels elle exerce des activités de traitement de données personnelles.
  • Deuxièmement, la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées pourra toujours être engagée. Dit autrement, la désignation d’un représentant est une obligation du RGPD, pas un moyen de faire écran et se prémunir d’actions en justice qui pourraient être intentées contre les responsables du traitement et leurs sous-traitants. Le fait de ne pas remplir cette obligation de désignation pourrait donc en soi entrainer des sanctions.

Le représentant est ainsi une sorte de courroie de facilitation pour aboutir au respect du RGPD par les entreprises qui ne sont pas dans l’UE. Ce faisant, il pourrait faire l’objet de procédures coercitives en cas de non-respect du règlement par le responsable du traitement ou le sous-traitant. Dans le cadre de l’adaptation des dispositions du RGPD par les  États-membres, on note d’ailleurs que des pays comme la Belgique ou l’Espagne ont prévu une responsabilité accrue de ce représentant qui veille à la conformité du sous-traitant ou du responsable de traitement dans l’UE.

Reste que tout cela peut être bien énigmatique pour une entreprise qui serait en dehors de l’UE : pourquoi aurait-elle peur d’une autorité de contrôle dont le ressort est enfermé au sein des frontières de l’UE ? Les sanctions ne seraient-elles pas privées de toute force exécutoire en dehors de celles-ci ?

Applicabilité et nature des sanctions des autorités de contrôle en dehors de l’Union européenne

Mise en œuvre des contrôles

Si une entreprise basée en dehors de l’UE et soumise au RGPD ne se met pas en conformité, la CNIL ou une autre autorité européenne de protection des données personnelles, peut s’en prendre à elle au moyen du représentant désigné dans l’UE. Nul besoin donc d’un contrôle au siège de l’entreprise en dehors de l’UE.

Si aucun représentant n’est présent, dans la mesure où les dispositions du RGPD ne seraient d’office pas respectées, il est raisonnable de penser qu’une demande de suspension de transfert de données personnelles aboutisse sans le moindre contrôle supplémentaire. Dans le cadre, par exemple, de la vente de biens physiques, il serait alors possible que ces biens soient saisis à la frontière ou que des restrictions commerciales empêchent l’entreprise de vendre ses biens dans l’UE. Cela est bien entendu à préciser sur la base de la législation de chaque État membre, conformément à l’article 84.1 du RGPD.

Nature des sanctions

D’abord, les sanctions ne sont pas que financières, puisque les autorités de contrôle font largement usage de leur pouvoir de soft lawen publiant leurs décisions, cassant ainsi le velours marketing de l’entreprise visée. Ensuite, rappelons que toute autorité de contrôle européenne peut infliger des amendes administratives à concurrence de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial si ce chiffre est plus élevé. Enfin, il faut rappeler qu’il est toujours possible pour une entreprise hors UE de voir sa responsabilité engagée[5]même lorsqu’elle a désigné un représentant.

Pour clarifier le système de sanction de l’article 83, relevons que le prononcé des amendes administratives est un jugement à part entière. En France, c’est une formation spéciale de la CNIL ayant une qualité de tribunal[6]qui prononce la sanction.

Efficacité des sanctions

Il existe au moins deux raisons nous permettant d’affirmer que même une entreprise basée en dehors de l’UE devrait se préoccuper des éventuelles sanctions d’une autorité de contrôle d’un pays européen en matière de protection des données personnelles.

La première raison s’appuie sur le travail effectué par le G29, en coopération d’ailleurs avec la CNIL, sur l’article 50 du RGPD qui prévoit une coopération internationale en la matière. Il est laissé aux États une marge importante et il existe nombre d’arrangements administratifs[7]entre les pays qui abordent les aspects pratiques des contrôles en matière de données personnelles à l’étranger et la coopération entre autorités de contrôle. Ils sont appelés en anglais memorandum of understanding et se traduisent souvent, à terme, en traité internationaux. Ce n’est pas la volonté politique qui fait défaut en la matière puisque des États comme le Maroc, le Canada, le Japon ou le Mexique[8]se recentrent sur l’UE en termes de marché. L’illustration parfaite est la réaction du Commissaire à la protection de la vie privée du Canada[9]autour de l’enquête Cambridge Analityca Facebook : « Le moment est (…) venu de conférer au Commissariat le pouvoir d’émettre des ordonnances et d’imposer des amendes contre ceux qui refusent de se conformer à la loi ».

La seconde raison tient au recouvrement des amendes prononcées par les autorités de contrôle des pays de l’UE. Pour citer l’exemple français, lorsque la CNIL sanctionne, c’est le Trésor Public qui perçoit le montant. C’est donc aussi le Trésor Public qui recouvre, avec toutes les facilités que cela implique et notamment la possibilité de se fonder sur des conventions fiscales bilatérales et multilatérales signées spécialement pour assurer une assistance administrative en matière fiscale. Citons pour exemple la convention conclue entre l’Organisation de coopération et de développement économiques (OCDE) et l’UE qui permet aux administrations fiscales françaises de coopérer avec leurs homologues internationaux. Rien n’empêche donc que le recouvrement soit effectué à l’étranger par l’administration nationale, soit pour le compte de celle-ci, soit au moyen d’une décision d’exequatur.

La tendance est claire : la conclusion d’accords d’internationaux comme le CETA, ou l’importance toujours grandissante de l’OMC et de l’arbitrage dans les relations entre les multinationales et les États pousse à considérer que les procédures d’exécution des sanctions sont amenées à évoluer vers des mécanismes d’harmonisation. Et à défaut, il faut rappeler que les règles d’entreprises contraignantes et clauses contractuelles types conclues entre des acteurs privés viennent prendre le relais pour l’exécution forcée du RGPD.

__

Cette analyse, montre clairement une volonté globale assumée de rendre effectif le champ d’application étendu du RGPD. Pour autant, en tant qu’entreprise située en dehors de l’Union européenne, raisonner par la peur n’est pas la solution la plus adaptée et efficace. A la question « Les entreprises doivent-elles avoir peur ? », nous répondons donc un grand « Non ». Le RGPD est en passe de devenir un standard mondial car il correspond exactement à ce que les personnes attendent en matière de protection de leurs données personnelles. Outre la sanction, l’application du RGPD reste avant tout une opportunité que les entreprises doivent saisir. S’y préparer en adaptant ses infrastructures, c’est prendre de l’avance sur les prochaines législations locales et respecter les droits des personnes concernées.

A qui s’adresser si vous êtes une entreprise située en dehors de l’UE et que le RGPD vous concerne ?

Dans la mesure où le Règlement est un acte juridique européen, nous vous conseillons d’adresser vos questions concernant son application à une autorité de protection des données européenne comme la CNIL, la CPVP belge ou encore la CNDP luxembourgeoise. Nous vous préconisons également de consulter leurs sites internet qui contiennent des guides pratiques, des feuillets thématiques ainsi que des outils pratiques de conformité au Règlement.

Enfin, nous avons concocté pour vous trois recommandations phares si vous êtes une entreprise située en dehors de l’Union européenne.

Recommandation numéro 1 : Bien s’organiser

Les entreprises qui participent à l’exécution de traitement de données personnelles doivent être conscientes de leurs responsabilités et de la façon dont elles s’inscrivent dans l’ordre plus général des choses. Or, certaines ne savent même pas si elles collectent des données sur des personnes situées dans l’UE. Il semble donc que chaque entreprise établie en dehors de l’UE doive évaluer les détails spécifiques de ses activités de traitement de données à la lumière de ces exigences et décider des mesures nécessaires à prendre.

Recommandation numéro 2 : Anticiper

Être prêt avant que les arrangements administratifs entre pays ne viennent faciliter les sanctions : le RGPD a laissé deux ans aux États-membres de l’UE entre son adoption et son entrée en application, pourtant aujourd’hui nombre d’entreprises ne sont pas préparées et risquent de lourdes sanctions. La même erreur ne devrait pas être commise par des entreprises en dehors de l’UE.

Recommandation numéro 3 : Se faire aider

Il est conseillé de porter une attention particulière au choix de la personne mandatée comme représentant dans l’UE, avec une réflexion sérieuse sur le fait d’externaliser cette fonction comme nous avons déjà pu l’analyser.

[1]Voir à ce sujet « La conformité GDPR, une opportunité concurrentielle », 4 août 2017

[2]Article 3 du Règlement Général sur la Protection des données

[3]Article 27 RGPD

[4]Article 58 et considérant 80 du RGPD

[5]Article 27.5 du RGPD

[6]Cf. article 6 de la Convention européenne des droits de l’Homme

[7]Article 46.2, a), et l’article 46.3, b) du RGPD

[8]Le Mexique a annoncé en avril 2018 la conclusion d’un nouveau traité avec l’UE facilitant notamment les transferts de données personnelles et venant remplacer celui de 1997 qui entérinait déjà la directive européenne de 1995 en matière de protection des données personnelles et contenait des dispositions à ce sujet

[9]« Article d’opinion : Les allégations contre Facebook soulignent les lacunes des lois sur la protection de la vie privée au Canada », Commissariat à la protection de la vie privée au Canada, 26 mars 2018, https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2018/oped_180326/

Retour