Académique Documents
Professionnel Documents
Culture Documents
Eva Thelisson
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
Eva THELISSON 1
3. L
’extraterritorialité justifiée par un niveau élevé de protection des données
et par une volonté de sécurité juridique
3.1 Vers une juridiction sans lien avec le territoire ?
3.2 Un nouvel espace de circulation des données personnelles
3.3 Un nouveau rapport aux territoires institutionnels classiques
3.4 Une mise en œuvre effective à confirmer
Conclusion
INTRODUCTION
L’objet de cet article est d’analyser la portée du champ d’application extraterritoriale
du Règlement général sur la protection des données (ci-après RGPD). Le RGPD
a bénéficié d’un retentissement international certain depuis son entrée en vigueur
et tend à se positionner dans le monde comme l’une des normes de référence en
matière de protection des données personnelles 2. Il annule et remplace la Directive
européenne 95/46/CE 3. Il a le double objectif de favoriser, d’une part, la libre circu-
lation des données personnelles au sein de l’UE (art. 1), tout en protégeant, d’autre
part, les personnes physiques en garantissant un niveau de protection élevé contre
les traitements de données 4 et en responsabilisant les acteurs traitant des données
personnelles (art. 1).
L’un des aspects novateurs du Règlement est son caractère extraterritorial, tel que
prévu à l’article 3 RGPD.
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
8. G. Canto Moniz, « Finally: a Coherent Framework for the Extraterritorial Scope of EU Data
Protection Law – The End of the Linguistic Conundrum of Article 3 (2) of the GDPR », UNIO-EU
Law Journal, 2018, vol. 4, n° 2, pp. 105 ss.
9. Y. Poullet, « Transborder Data Flows and Extraterritoriality: The European Position », Journal
of International Comercial Law and Technology, 2007, vol. 2, p. 141 ; J.S. Bauchner, « State
Sovereignty and the Globalizing Effects of the Internet: A Case Study of the Privacy Debate »,
BJIL, 2000, vol. 26, p. 696 ; L.A. Bygrave, « European Data Protection: Determining Applicable
Law Pursuant to European Data Protection Legislation », Computer Law & Security Review,
2000, vol. 16, n° 4, p. 252 ; L. Moerel, « Back to Basics: When does EU Data Protection Law
Apply? », International Data Privacy Law, 2011, vol. 1, n° 2, p. 97 ; L. Moerel, « The Long Arm
of EU Data Protection Law: Does the Data Protection Directive Apply to Processing of Personal
Data of EU Citizens by Websites Worldwide? », International Data Privacy Law, 2010, vol. 1,
n° 1, p. 30. Article 29 du groupe de travail sur la protection des données : « Application internatio-
nale du droit de l’UE en matière de protection des données au traitement des données à caractère
personnel sur Internet par des sites web établis en dehors de l’UE, 30 mai 2002 ».
10. CJUE, 13 mai 2014, Google Spain SL et Google Inc. c. Agencia Española de Protección de Datos
(AEPD) et Mario Costeja González, aff. C-131/12.
11. À l’exception du droit de déréférencement : CJUE, 24 septembre 2019, Google LLC c. Commission
nationale de l’informatique et des libertés (CNIL), aff. C-136/17 et C-507/17 ; la Cour exige que
le déréférencement soit effectif à l’échelle européenne, mais considère qu’il n’est pas obligatoire
au niveau mondial.
12. A. Deroudille et F. Fatah, « L’extraterritorialité du RGPD dans le contexte du “Cloud Act” »,
op. cit., p. 442.
La portée du caractère extraterritorial du Règlement général sur la protection des données 504
13. L. Pailler, « L’applicabilité spatiale du Règlement géneral sur la protection des données (RGPD) :
Commentaire de l’article 3 », JDI, 2018, p. 829.
14. C. Thierache, « RGPS vs Cloud Act : le nouveau cadre légal américain est-il anti RGPD ? »,
Dalloz IP/IT, juin 2019, n° 6, p. 367.
15. M. Gallardo Meseguer, « Aperçu de la dimension internationale du Règlement général sur la
protection des données à caractère personnel », op. cit., p. 120.
16. J. Salmon (dir.), Dictionnaire de droit international public, Bruxelles, Bruylant, 2001, p. 211.
La portée du caractère extraterritorial du Règlement général sur la protection des données 505
17. CJUE, 5 juin 2018, Witschaftsakademie Schleswig-Holstein, aff. C-210/16, point 52.
18. F. Rigaux et F. Delpérée, Le concept du peuple, 1re éd., Bruxelles, Story-Scienta, 1988, p. 216.
19. L. Pailler, « L’applicabilité spatiale du Règlement géneral sur la protection des données (RGPD) :
Commentaire de l’article 3 », op. cit., p. 823.
20. CJUE, 1er octobre 2015, Weltimmo s.r.o. c./ Nemzeti Adatvédelmi és Információszabadság
Hatóság, aff. C-230/14, points 29 et 31.
21. CEPD, Lignes directrices sur le champ d’application territorial du RGPD, novembre 2019, p. 7.
La portée du caractère extraterritorial du Règlement général sur la protection des données 506
22. CJUE, 1er octobre 2015, Weltimmo, aff. C-230/14, Rev. crit. DIP 2016, p. 377, note B. Haftel et
RUE, 2016, p. 597, note R. Perray ; CJUE, 13 mai 2014, Google Spain SL et Google Inc. c. Agencia
Española de Protección de Datos (AEPD) et Mario Costeja González, aff. C 131/12.
23. CJUE, 28 juillet 2016, Verein für Konsumenteninformationen c. Amazon, aff. C-191-15, point 81.
24. S. Métille, « L’utilisation de l’informatique en nuage par l’administration publique », AJP/PJA,
juin 2019.
25. CEPD, Lignes directrices sur le champ d’application territorial du RGPD, op. cit., p. 5.
La portée du caractère extraterritorial du Règlement général sur la protection des données 507
seul employé ou agent d’une entité non communautaire dans l’Union peut être
suffisante pour constituer un arrangement stable » 26. Encore faut-il que le traite-
ment concerne les activités du responsable dans l’Union européenne. Inversement,
la simple présence d’un salarié dans l’Union européenne ne suffit pas en soi à
déclencher l’application du règlement si le traitement des données est externalisé.
De même, la seule accessibilité du site web de l’entreprise depuis le territoire d’un
des États membres de l’Union n’est pas suffisante pour appliquer les dispositions
dudit règlement. Enfin, l’existence de l’activité commerciale dans l’Union euro-
péenne ne suffit pas à faire entrer le traitement des données par l’établissement
étranger dans le champ d’application de la législation européenne 27.
Si les activités de traitement des données du responsable du traitement ou du
sous-traitant établi en dehors de l’Union, par exemple en Suisse, sont inextricable-
ment liées aux activités d’un établissement local établi dans un État membre de
l’Union, elles peuvent déclencher l’applicabilité du droit communautaire, même
si cet établissement local ne joue en fait aucun rôle dans le traitement des données
lui-même. Le CEPD rappelle ainsi la jurisprudence européenne Google Spain.
L’existence d’un lien inextricable entre les activités de traitement du responsable
du traitement et du sous-traitant et la nature de ce lien constituent les critères perti-
nents pris en compte par le contrôleur européen pour déterminer l’applicabilité du
Règlement, indépendamment du rôle effectif de l’établissement situé dans l’Union.
Le RGPD innove en étendant son champ d’application aux traitements
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
26. Ibidem, p. 6.
27. European Commission, EDPB, WP 179 Update of Opinion 8/2010 on applicable law in light of
the CJEU judgment in Google Spain, 16 Decembeer 2015.
28. Y. Poullet, La vie privée à l’heure de la société du numérique, 1re éd, Bruxelles, Larcier, 2019,
p. 5.
29. Commission européenne, Groupe de travail « Article 29 sur la protection des données », « Avis
8/10 sur le droit applicable », WP 129, p. 23.
La portée du caractère extraterritorial du Règlement général sur la protection des données 508
de la Charte des droits fondamentaux 30. Doit être établie la volonté d’atteindre un
public cible sur le territoire de l’Union 31.
Ainsi, il ne suffit pas qu’un traitement de données concerne des ressortissants
de l’Union européenne à l’étranger pour que le RGPD s’applique. Une analyse
au cas par cas permettra de déterminer si un responsable du traitement a voca-
tion à offrir des biens et services à des personnes physiques sur le territoire de
l’Union européenne. Il s’agira de relever un faisceau d’indices comme la monnaie
européenne, l’emploi d’une des langues nationales d’un pays membre, la livraison
sur le territoire de l’Union 32.
Le critère du suivi de comportement constitue le troisième critère de rattache-
ment au RGPD. Indépendamment des critères précédemment cités, le Règlement
est applicable, en cas de suivi de comportements de personnes situées sur le ter-
ritoire de l’Union européenne (ex. : contact tracing lors de la pandémie de coro-
navirus). Il « s’applique au traitement des données à caractère personnel relatives
à des personnes concernées qui se trouvent sur le territoire de l’Union par un
responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union ».
Ces dispositions visent le profilage des individus par le biais d’algorithmes et
du traitement de leurs données personnelles. Le groupe de travail de l’article 29
inclut, dans la notion de profilage, l’usage des cookies, les données de suivi de
santé, les études de marché menées sur des populations de l’Union européenne,
les données des caméras de surveillance, etc.
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
30. Commission européenne, Groupe de travail de l’article 29, Lignes directrices sur le champ d’appli
cation de l’article 3 du RGPD, adoptées le 16 novembre 2018.
31. Ibidem, p. 13.
32. CJUE, 7 décembre 2010, Peter Pammer c. Reederei Karl Schülter GmbH & Co. KG et Hotel
Alpenhof GmbH c. Oliver Heller, aff. C-585/08 et C-144/09, pt. 70 et s.
33. F. Jault-Seseke, « La portée extraterritoriale ou a-territoriale du RGPD », Revue des affaires euro
péennes 2018, n° 1, pp. 43-51.
La portée du caractère extraterritorial du Règlement général sur la protection des données 509
34. A. Bensoussan, Règlement européen sur la protection des données. Textes, commentaires et
orientations pratiques, 2e éd., Bruxelles, Bruylant, 2018, p. 9.
La portée du caractère extraterritorial du Règlement général sur la protection des données 510
35. CJUE, Conclusions de l’avocat général du 19 décembre 2019, Data Protection Commissioner
c. Facebook Ireland Limited, Maximillian Schrems, aff. C-311/18, Communiqué de presse
n° 165/19.
La portée du caractère extraterritorial du Règlement général sur la protection des données 511
contrôle, lorsqu’elles estiment, au terme d’un examen diligent, que des données
transférées vers un pays tiers ne bénéficient pas d’une protection appropriée en
raison du non-respect des clauses contractuelles convenues, à prendre les mesures
adéquates pour remédier à cette illégalité, si nécessaire en ordonnant la suspension
du transfert ».
Il existe ainsi, selon l’avocat général, une « obligation imposée aux respon-
sables du traitement et, en cas d’inaction de ces derniers, aux autorités de contrôle
de suspendre ou d’interdire un transfert lorsque, en raison d’un conflit entre les
obligations découlant des clauses types et celles imposées par le droit du pays tiers
de destination, ces clauses ne peuvent être respectées ».
Les autorités de contrôle auraient une obligation positive « d’agir de façon
à assurer la bonne application du Règlement » 36 et de s’acquitter pleinement de
la mission de surveillance attribuée par celui-ci. Cette obligation va renforcer la
responsabilisation effective des entreprises soumises au Règlement et le rôle des
autorités de contrôle de l’Union en tant que gardien du droit fondamental à la pro-
tection des données.
39. L. Lebon, La territorialité et l’Union européenne : approches de droit public, thèse Bordeaux,
Paris, LGDJ, 2014, pp. 478 ss.
40. CJUE, 5 juin 2018, Witschaftsakademie Schleswig-Holstein, aff. C-210/16, point 52.
41. E. Bembaron, « E. Macron fait de la 5G un enjeu de souveraineté européenne », Le Figaro,
7 novembre 2019, disponible en ligne (www.lefigaro.fr), consulté le 6 janvier 2020.
42. Nous assimilons l’UE à un État dans cette étude, ce qui pourrait bien entendu faire l’objet d’une
analyse critique puisque le Traité établissant une constitution pour l’Europe (TECE) a été refusé
par les Français et les Néerlandais au référendum de 2005.
43. CEDH, 12 décembre 2001, Bancovic et autres c. la Belgique, la République tchèque, le Danemark,
la France, l’Allemagne, la Grèce, la Hongrie, l’Islande, l’Italie, le Luxembourg, les Pays-Bas,
la Norvège, la Pologne, le Portugal, l’Espagne, la Turquie et le Royaume-Uni, n° 55207/99,
consid. 80.
44. E. Decaux, « Le territoire des droits de l’homme », in Liber amicorum Marc-André Eissen, s.l.,
1995, p. 69 ; G.A. van Hecke, « Le droit anti-trust : aspects comparatifs et internationaux »,
in Recueil des cours de l’Académie de droit international de La Haye, vol. 106, Leiden, 1962,
p. 309.
La portée du caractère extraterritorial du Règlement général sur la protection des données 513
Si une loi nationale, comme le Cloud Act américain, considère comme licite ce
que l’autre, par exemple le RGPD, condamne, alors il existe une situation de conflit
de lois 45 et une concurrence de facto entre plusieurs juridictions. La seule règle de
droit international qui existe est qu’un État ne doit pas faire de sa compétence un
usage tel qu’il risque de porter atteinte à la souveraineté d’un autre État 46. En droit
de la protection des données se pose la question de savoir si des solutions ne pour-
raient pas être négociées dans le cadre d’accords bilatéraux ou multilatéraux qui
régleraient le conflit, afin d’éviter le recours à la voie diplomatique.
Le droit international pose plusieurs principes clefs que chaque État s’engage
à respecter.
La charte des Nations Unies reconnaît le principe d’égalité souveraine de tous
les États membres (art. 2, § 1). Ce principe d’égalité juridique entre États est au
coeur des relations diplomatiques. Il rend légitime la contestation d’un État par la
voie diplomatique en cas de comportement non conforme aux normes internatio-
nales (par exemple en cas d’« abus de droit » d’un autre État, lors des interceptions
de la NSA révélées par Edward Snowden).
Le principe de territorialité en droit international donne compétence à l’État
à l’égard des biens et des personnes situés sur son territoire et des situations
rencontrées. Chaque État bénéficie d’une garantie d’inviolabilité et d’intégrité de
son territoire en application des principes du droit international public. La plupart
des questions, qui touchent aux rapports internationaux et aux conflits éventuels,
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
45. E. Decaux, « Le territoire des droits de l’homme », in Liber amicorum Marc-André Eissen, s.l.,
1995, p. 69 ; G.A. van Hecke, « Le droit anti-trust : aspects comparatifs et internationaux », in
Recueil des cours de l’Académie de droit international de La Haye, vol. 106, Leiden, 1962, p. 309.
46. Ibidem, p. 309.
47. CEDH, 12 décembre 2001, Bancovic et autres, op. cit., consid. 59 ; G. Cohen-Jonathan, « La
territorialisation de la juridiction de la Cour européenne des droits de l’homme », RTDH, 2002,
p. 1055 ; Ph. Weckel, « Chronique de jurisprudence internationale », RGDIP, 2002, p. 438 ;
F. Sudre, JCP G, 16 janvier 2002, I, 105 et J.-F. Flauss, AJDA, 2002, p. 501. De manière plus
générale, voir obs. F. Sudre, Grands arrêts CEDH, n° 68, p. 731.
48. B. Stern, « L’extra-territorialité revisitée », AFDI, 1992, p. 242.
La portée du caractère extraterritorial du Règlement général sur la protection des données 514
invoqué pour obliger les États à garantir un recours effectif pour la protection des
données personnelles, dans le cadre de contentieux transfrontières. En pratique,
l’architecture stockant les données étant mise à disposition par des entreprises
privées, il serait pertinent d’étendre cette responsabilité de protéger aux entreprises
privées, dans l’esprit du duty of care du droit de common law.
Cette souveraineté de responsabilité peut s’analyser comme la reconnaissance
de la légitimité d’intervention extraterritoriale d’un État tiers, par exemple en cas
de violation des droits de l’homme.
L’extension internationale des activités humaines crée un risque nouveau
du point de vue de la protection des droits de l’homme 53 et justifie la volonté de
certains États d’étendre leur pouvoir de façon à contrôler ces activités et à offrir
une protection des personnes concernées par le biais d’un recours juridictionnel
effectif.
53. G. Grisel, Application extraterritoriale du droit international des droits de l’homme, thèse
Lausanne, 2010, p. 4.
54. K. Wojtyczek, Les fonctions de la Constitution écrite dans le contexte de la mondialisation,
p. 4, https://www.umk.ro/images/documente/publicatii/masarotunda2007/10_les_fonctions.pdf,
consultation le 1er avril 2020.
55. L. Lebon, La territorialité et l’Union européenne : approches de droit public, op. cit., pp. 478 ss.
56. Ch. De Clercq et F. Dechamps, « Internet à l’épreuve du droit ou le droit à l’épreuve d’Inter-
net : une analyse au regard de la problématique de l’étendue géographique du droit européen au
déréférencement », J.T., 2017, pp. 669 ss. ; Ch. Féral-Schuhl, Cyberdroit : le droit à l’épreuve de
l’Internet, 7e éd., Paris, Dalloz, 2018, p. 680.
57. D.R Johnson, D. Post, « Law and Borders – The Rise of Law in Cyberspace », Stan. L. Rev., 1995,
vol. 48, p. 1367 ; J. Kulesza et R. Balleste, « Signs and Portents in Cyberspace: The Rise of Jus
Internet as a New Order in International Law », Fordham Intell. Prop. Media & Ent. LJ, 2012,
vol. 23, pp. 1333-1346 ; E. Thelisson, Un État mondial via Internet ?, 1re éd., Paris, Presses de la
recherche et de l’université, 2012, p. 2.
58. T. Lutzi, « The Platform Economy and Private International Law », op. cit., p. 131.
La portée du caractère extraterritorial du Règlement général sur la protection des données 516
59. R.H. Weber, « Overcoming the Hard Law/Soft Law Dichotomy in Times of Financial Crises »,
Journal of Governance and Regulation and Volume, 2012, vol. 1, n° 1, pp. 8-14.
60. L. Goldsmith, « Against cyberanarchy », The University of Chicago Law Review, 1998, vol. 65,
n° 4, pp. 1199-1250.
61. Le législateur a limité cette liberté au maximum afin d’éviter la pratique de forum shopping au
sein de l’UE, en adoptant un Règlement et non une directive.
62. Conseil de l’Europe, Rapport explicatif du Protocole d’amendement à la Convention pour la pro-
tection des personnes à l’égard du traitement automatisé des données à caractère personnel, Série
des traités du Conseil de l’Europe, n° 223, Bruxelles, 2018, p. 1.
63. Ibidem, p. 3.
64. CJUE, 17 novembre 2011 Hypotecni Banka, aff. C-327/10, Europe 2012, comm. 53 ; CJUE,
11 septembre 2014, A c. B, aff. C-112/13, pt. 50, D.P.I, Nr. 3/ 2019, p. 698 ; voir aussi art. 47
Charte des droits fondamentaux de l’UE.
La portée du caractère extraterritorial du Règlement général sur la protection des données 517
65. CJUE, 9 mars 2010, Commission européenne c. République fédérale d’Allemagne., aff. C-518/07,
consid. 23.
66. K. Wojtyczek, Les fonctions de la Constitution écrite dans le contexte de la mondialisation,
op. cit.
67. P. Mayer, « Le phénomène de la coordination des ordres juridiques étatiques en droit privé : cours
général de droit international privé », RCADI, 2007, t. 327, pp. 9 ss.
La portée du caractère extraterritorial du Règlement général sur la protection des données 518
68. La question se pose de savoir si l’extraterritorialité imposée par le RGPD pourrait s’analyser
comme une atteinte à l’indépendance de la Confédération. Inversement, le principe d’indépendance
est-il applicable à l’action extraterritoriale menée par la Suisse à l’étranger ?
69. D. Nardi, « Courtoisie internationale et portée extraterritoriale du droit européen à la protection
des données à l’épreuve de la Cour », Cahiers de droit européen, 2018, vol. 54, n° 2, pp. 327-362.
70. P. Mayer, « Le phénomène de la coordination des ordres juridiques étatiques en droit privé : cours
général de droit international privé », RCADI, 2007, t. 327, pp. 9 ss.
71. Fl. Guillaume, Droit international privé. Partie générale et procédure civile internationale,
4e éd., Bâle, Helbing Lichtenhahn Verlag, 2018, p. 1.
La portée du caractère extraterritorial du Règlement général sur la protection des données 519
des personnes privées au sein de l’UE 72, par le recours à un Règlement et par un
mécanisme spécifique de règlement des différents, par le mécanisme spécifique du
guichet unique (art. 56 RGPD).
Ce mécanisme du guichet unique peut cependant avoir un impact extraterri-
torial. L’autorité de contrôle autrichienne a ainsi donné partiellement suite à une
plainte à l’encontre d’une entreprise établie en Suisse 73.
Il s’agit de la première procédure d’une autorité de contrôle étrangère qui a
un impact sur une entreprise suisse sur le fondement du RGPD. Cette procédure
confirme l’effectivité du contrôle a posteriori, même en présence d’un élément
d’extranéité. Elle démontre que les entreprises suisses peuvent être concernées
par l’application du RGPD, si elles remplissent les conditions de l’article 3, al. 2,
du fait de leur modèle d’affaires. L’autorité autrichienne retient que le facteur
décisif réside dans l’intention exprimée par l’entreprise d’offrir à des personnes
situées dans l’UE des biens ou des services. La décision retient comme critère
déterminant de matérialisation de cette intention, dans le cas d’espèce, l’utilisation
d’un domaine de premier niveau (.at), la langue d’un site web (l’allemand) ou la
possibilité de recevoir des offres par le biais d’une lettre d’information émise par la
sociéte établie en Suisse. Tout élément permettant de démontrer que l’offre a ciblé
le marché de l’UE pourra être retenu par l’autorité de contrôle pour l’application
du RGPD dans l’Union.
Cette décision est importante pour le domaine touristique et une analyse
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
jurisprudence 74. Elle repose sur les droits fondamentaux de nature constitutionnelle
dont le droit à la protection des données est un des éléments.
La règle du conflit de lois demeure cependant entière avec les pays tiers de
l’Union, comme la Suisse. Cela signifie que le juge suisse pourrait également être
saisi dans le cadre d’un recours juridictionnel a posteriori, par la voie judiciaire
ou administrative. Cette concurrence de juridictions crée une insécurité juridique
en lien avec l’autorité de la chose jugée (res iudicata) et la règle non bis in idem.
Ce risque a été soulevé par l’Autriche lors du vote du RGPD par le Conseil de
l’UE le 14 avril 2016. De manière pragmatique, la personne concernée choisira
vraisemblablement le rattachement au territoire de l’Union afin de bénéficier de la
protection juridique la plus étendue possible. En outre, l’obligation de désigner un
représentant dans l’Union pour les responsables du traitement ou les sous-traitants,
qui remplissent les conditions de l’article 3, al. 2, du RGPD, rend illusoire l’exclu-
sion de l’applicabilité du RGPD 75.
74. Arrêt CJUE du 3 septembre 2008, Kadi, C-402/05 P et C-415/05 P, pt. 131.
75. N. Frei, « Die Datenschutz-Grundverordnung und die Schweiz », in A. Epiney et D. Sangsue
(dir.), Datenschutz und Gesundheitsrecht / Protection des données et droit de la santé, 1re éd.,
Zürich, Schulthess Verlag, 2019, p. 91.
76. CJUE, 24 septembre 2019, Google LLC c. Commission nationale de l’informatique et des libertés
(CNIL), aff. C-507/17, consid. 513.
77. Ibidem, consid. 40.
78. Ibidem, consid. 43.
La portée du caractère extraterritorial du Règlement général sur la protection des données 521
caractère extraterritorial du RGPD 83, le Cloud Act a été approuvé par le Congrès
américain et promulgué par le Président Trump le 23 mars 2018. Il est intégré dans
une loi fiscale de plus de 900 pages 84 (division V). Il vise à permettre aux forces de
l’ordre de requérir des fournisseurs de services de communications électroniques
américains qu’ils transmettent aux instances étatiques des données stockées sur
des serveurs situés aux États-Unis ou dans des pays étrangers (consid. 2713) 85.
La plupart des données personnelles étant stockées sur des clouds détenus par des
entreprises américaines, le Cloud Act a une portée territoriale très vaste, car elle
permet aux services de police américains d’accéder à une proportion importante
des données échangées du point de vue mondial 86.
Ni la personne concernée par l’accès, ni le pays dans lequel l’accès est opéré,
ni le pays dont la personne concernée est citoyenne ne sont tenus informés de cet
accès 87.
Le Cloud Act vient enrichir le Stored Communication Act, qui fait partie du
Electronic Communications Privacy Act, adopté en 1986. Le Stored Communication
Act visait historiquement à protéger les citoyens contre les dérives policières et les
accès trop aisés à leurs données 88.
Une entité gouvernementale doit disposer d’un mandat pour exiger d’un four-
nisseur de services de communications électroniques qu’il transmette le contenu
d’une communication électronique stockée pendant 180 jours ou moins. En
revanche, au-delà d’une durée de conservation de 180 jours de stockage, il suffit
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
83. A. Cassart, « Premières réflexions sur le Cloud Act : contexte, mécanismes et articulations avec
le RGPD », Revue du droit des technologies de l’information, 2018, p. 41.
84. US Consolidated Appropriations Act, 2018, H.R. 1625, p. 866.
85. A. Cassart, « Premières réflexions sur le Cloud Act : contexte, mécanismes et articulations avec
le RGPD », op. cit., pp. 41-53.
86. Ibidem.
87. Ibidem.
88. Ibidem.
La portée du caractère extraterritorial du Règlement général sur la protection des données 523
compte utilisateur. Si ces dernières étaient stockées sur des serveurs américains
de Microsoft, les courriels se trouvaient sur un serveur situé à Dublin, en Irlande.
Les renseignements ont été fournis concernant le compte, mais aucun message
électronique n’a été envoyé sur le fondement de l’absence de compétence pour
lancer un mandat visant des données situées à l’étranger.
En application de la règle de conflit de lois en droit international privé,
Microsoft demandait l’application du Mutual Legal Assistance Treaty conclu entre
les États-Unis et l’Irlande. Considérant que Microsoft avait le contrôle effectif sur
les données, indépendamment de leur localisation effective, le juge a considéré
qu’il n’y avait aucune violation de la souveraineté étrangère et aucune application
extraterritoriale du Stored Communication Act. Le mandat était donc valable. Mais
la Cour d’appel a invalidé le mandat le 24 janvier 2017 : elle a recherché l’intention
du législateur lors de l’élaboration du Stored Communication Act et a retenu qu’il
n’existait pas d’indices démontrant sa volonté de conférer une portée extraterrito-
riale à cette loi. C’est dans ce contexte que le Cloud Act a été adopté par le Congrès.
L’objet du Cloud Act est de conférer une portée extraterritoriale au Stored
Communication Act (consid. 2713). Il étend ainsi la possibilité prévue à l’article
2703 d’obtenir d’un fournisseur de services de communications électroniques
qu’il conserve ou transmette à l’autorité certaines données, et ce même si elles
se trouvent sur un territoire étranger 89. Le Cloud Act définit la notion de société
américaine comme une société constituée aux États-Unis ainsi que les sociétés
contrôlées par elle, ce qui contribue au caractère extraterritorial de la législation.
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
89. A. Cassart, « Premières réflexions sur le Cloud Act : contexte, mécanismes et articulations avec
le RGPD », op. cit., pp. 41-53.
La portée du caractère extraterritorial du Règlement général sur la protection des données 524
90. A. Gidari, « What Will Microsoft and Ireland do With the new Cloud Act Warrant? », The Center
for Internet and Society at Stanford Law School Blog, 9 April 2018, disponible en ligne (http://
cyberlaw.stanford.edu/blog).
91. S. Besson, Droit international public, Berne, Stämpfli Verlag, coll. « Précis de droit Stämpfli »,
2019, p. 23.
92. 91
Ibidem, p. 38.
La portée du caractère extraterritorial du Règlement général sur la protection des données 525
97. I. Pretelli, Conflict of Laws in the Maze of Digital Platforms/Le droit international privé dans le
labyrinthe des plateformes digitales, Zürich, Schulthess Verlag, 2019, p. 22.
98. C. McLachlan, « From Savigny to Cyberspace: Does the Internet Sound the Death-Knell for the
Conflict of Laws? », Media and Arts Law Review, 2006, vol. 11, p. 418.
99. OCDE, Échange de renseignements, www.oecd.org/fr/fiscalite/echange-de-renseignements-fis-
caux, consulté le 4 janvier 2020. Voir aussi UN ECOSOC Committee, E/C.18/2017/6, Committee
of Experts on International Coopération in Tax Matters, The Digitalised Economy: Selected Issues
of Potential Redevance to Developing Countries.
100. S. Besson, Droit international public, op. cit., p. 38.
La portée du caractère extraterritorial du Règlement général sur la protection des données 527
101. M. Delmas-Marty, Vers une communauté de valeurs ? Les forces imaginantes du droit (IV),
Paris, Seuil, 2011, p. 45.
102. L. Lessig, « The Law of the Horse: What Cyber Law Might Teach », Harvard Law Review, 1999,
vol. 113, p. 506.
103. J.-S. Bergé et S. Grumbach, « La sphère des données et le droit : nouvel espace, nouveaux rap-
ports aux territoires », JDI, 2016, pp. 1153-1173.
104. CJUE, 1er octobre 2015, Weltimmo, aff. C-230/14, D., 2016, p. 1045, obs. H. Gaudemet-Tallon ;
CJUE, 28 juillet 2016, JurisData 2016-016129.
105. D.P. I, Nr. 3/2019, p. 715.
La portée du caractère extraterritorial du Règlement général sur la protection des données 528
son territoire. Chaque État reste en effet souverain pour reconnaître l’effet d’un
acte pris par un État étranger 124.
La mise en œuvre effective des décisions administratives ou judiciaires et des
sanctions du RGPD dans les pays tiers dépend cependant des normes de droit inter-
national public et de droit international privé. En théorie, tout État tiers à l’UE
peut manifester son opposition politique et juridique à l’application extraterrito-
riale d’un droit étranger. La question est de savoir dans quelle mesure les autorités
de l’État tiers peuvent juger, au regard du droit international public, la validité des
actes de l’Union cherchant à appliquer extraterritorialement son droit comme le
ferait un État. Dans les contentieux internationaux, l’application du droit inter-
national privé joue également un rôle central dans la mise en œuvre effective des
dispositions extraterritoriales d’un droit étranger. Les deux perspectives vont être
examinées ci-après.
Si l’UE détient une compétence normative, la question se pose de savoir si elle
détient une compétence pour prendre des mesures d’exécution dans un État tiers,
c’est-à-dire pour accomplir des actes matériels d’instruction, pour sanctionner et
imposer des amendes. Selon un principe de droit international coutumier, dont
l’objet est de protéger la souveraineté et l’indépendance des États et d’éviter tout
conflit de souveraineté entre eux, il est interdit à un État d’exercer sa compétence
d’exécution sur le territoire d’un autre État 125.
En droit international public, le principe de territorialité régit les contentieux
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
À ce jour, en cas de conflit de lois, l’État requérant peut se référer aux règles
d’application territoriale du droit et contester ses effets extraterritoriaux sur la
base d’autres règles de droit comme la Constitution, et les règles de courtoisie
internationale 128. La question se pose de savoir si la reconnaissance d’un principe
de courtoisie internationale « raisonnable », en tant que droit positif de l’Union
européenne, reconnu par le législateur, afin de rééquilibrer les rapports de force
entre États et limiter « un abus de droit » dans l’exercice de sa compétence extra-
territoriale d’exécution, pourrait constituer une solution durable et pacifique aux
conflits de lois dans le domaine de la protection des données. La reconnaissance du
principe de courtoisie internationale raisonnable renvoie à la théorie de la balance
des intérêts étatiques 129.
CONCLUSION
En présence d’un phénomène de déterritorialisation du droit et d’une inter
dépendance économique des États, un droit mondial sur la protection des données,
sur la base de la Convention 108 du Conseil de l’Europe, ne serait-il pas la solution
la plus pertinente pour garantir un niveau élevé de protection aux personnes privées
au plan mondial ? La Convention 108+ est devenue une Convention de portée uni-
verselle et suscite un intérêt croissant dans le monde.
Plusieurs États hors Europe ont adhéré à l’actuelle Convention 108 et vont
© De Boeck Supérieur | Téléchargé le 12/09/2021 sur www.cairn.info (IP: 197.204.107.156)
128. W.S. Dodge, « International Comity in American Law », Columbia Law Review, 2015, vol. 115,
n° 8.
129. E. Friedel-Souchu, Extraterritorialité du droit de la concurrence aux États-Unis et dans la
Communauté européenne, op. cit., p. 46.
130. T. L. Anderson, « Extraterritorial Application of National Antitrust Laws: The Need for More
Uniform Regulation », in Wayne Law Review, 1991/38 p. 1579 ss.
131. CJUE, 17 novembre 2011, Hypotecni Banka, aff. C-327/10, Europe, 2012, comm. 53 ; CJUE,
11 septembre 2014, A c. B, aff. C-112/13, pt. 50 ; voir aussi, D.P.I, Nr. 3/2019, p. 698 et art. 47
Charte des droits fondamentaux de l’UE.
132. CJUE, 11 septembre 2014, A c. B, aff. C-112/13, pt. 50.
La portée du caractère extraterritorial du Règlement général sur la protection des données 533