Contribution de Bénédicte FAUVARQUE-COSSON
internationaux de données sont visés et le droit au déréférencement
s’applique sur le .com et pas seulement sur les .fr, .de, .uk, etc. De plus,
la CJUE, dans l’arrêt Google Spain précité, a retenu une définition très
large du terme « traitement » : la société Google, en tant que moteur de
recherche, a été jugée « responsable de traitement des données », ainsi
que ses filiales européennes. Le fait que les données ne soient pas « traitées » dans les centres de traitement européens de Google (Belgique,
Irlande, Finlande et, en 2017, les Pays-Bas) n’a pas été jugé déterminant.
La Cour considère que, lorsque l’exploitant d’un moteur de recherche
crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce
moteur et dont l’activité vise les habitants de cet État membre, un traitement de données à caractère personnel est effectué « sur le territoire
d’un État membre ».
La proposition européenne de règlement relatif à la protection
des données personnelles élargit le champ d’application des règles
européennes 1.
Article 3 – Champ d’application territorial :
1) Le présent règlement s’applique au traitement des données à
caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement de données ou d’un sous-traitant
sur le territoire de l’Union.
2) Le présent règlement s’applique au traitement des données à
caractère personnel appartenant à des personnes concernées ayant leur
résidence sur le territoire de l’Union, par un responsable du traitement
qui n’est pas établi dans l’Union, lorsque les activités de traitement sont
liées : a) à l’offre de biens ou de services à ces personnes concernées
dans l’Union ; ou b) à l’observation de leur comportement.
3) Le présent règlement s’applique au traitement de données à
caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où la législation nationale d’un État
membre s’applique en vertu du droit international public.
L’article 3.2 de la proposition de règlement introduit le lieu de résidence de la personne à laquelle appartiennent les données comme l’un
des critères d’application du droit de l’Union. Ainsi, le responsable de traitement extra-européen ne devra pas seulement se soumettre aux obligations prévues par les instruments ayant autorisé le transfert (Safe Harbour,
clauses contractuelles ou règles d’entreprises) mais aussi à l’ensemble
des obligations découlant du règlement. L’enjeu est d’assurer, pour « ceux
qui ont leur résidence sur le territoire de l’Union », l’application des législations assurant l’effectivité de la protection de leurs droits fondamentaux.
1) Proposition adoptée le 12 mars 2014 par le Parlement européen.
57
CNCIS 2015 IV.indd 57
26/06/2015 11:17:37