CNCIS – 23e rapport d’activité 2014-2015
La déclaration du groupe de l’article 29 1 reprend à son compte la
méthode des lois de police, appliquée à l’ensemble des règles de protection des données de l’Union (article 14) : « Les règles de protection
des données de l’Union sont nécessaires à la sauvegarde de la situation
politique, sociale et économique de l’Union et de ceux qui sont soumis à
la législation de l’Union. Elles doivent être considérées comme des principes internationaux impératifs en droit international public et privé. Des
lois étrangères ou des accords internationaux ne peuvent leur passer
outre et les organisations ne peuvent y déroger par contrat ».
L’étude sur le numérique et les droits fondamentaux du Conseil
d’État va dans le même sens : elle recommande de « promouvoir le principe du pays de destination pour un socle de règles choisies en raison de
leur importance particulière dans la protection des droits fondamentaux
ou de l’ordre public » et précise que « les règles du socle seraient applicables à tous les sites dirigeant leur activité vers la France ou l’Union
européenne ». Elle propose différentes techniques pour « rendre applicables un socle de règles impératives » :
– appliquer les règles du droit commun du droit international privé (solution qui ne fonctionne que lorsque ces règles conduisent à appliquer le
principe du pays de destination ; ainsi, par exemple, des lois pénales qui
définissent les limites de la liberté d’expression) ;
– s’écarter de la loi désignée par les règles de conflit de lois lorsque
celle-ci est inadaptée (notamment lorsque la règle de conflit désigne la
loi d’autonomie), ce qui est possible grâce aux lois de police.
L’étude estime que la technique des lois de police est plus appropriée que celle de l’exception d’ordre public : « Les règles relatives à la
protection des données personnelles ont vocation à entrer dans cette
catégorie, dès lors qu’elles mettent en œuvre un droit garanti par la
charte des droits fondamentaux de l’UE et que la protection des données
personnelles est regardée comme un enjeu de souveraineté. » 2
Le recours aux lois de police pour promouvoir nos valeurs européennes et notre réglementation en matière de données est un pis-aller
nécessaire mais dont l’efficacité n’est que relative : comment les imposer aux autres et jusqu’où l’extraterritorialité d’un règlement européen
relatif aux données personnelles peut-elle aller 3 ?
1) Déclaration précitée dans la première partie de cette étude.
2) Étude préc., p. 240 et s., sp. p. 244, et la proposition n° 43. L’étude relève encore (p. 245)
qu’« un deuxième corps de règles devant s’imposer à tous les acteurs concernés a trait aux
obligations de coopération avec les autorités judiciaires, ainsi qu’avec les autorités administratives procédant à des demandes de données de connexion dans le cadre du code de
la sécurité intérieure ».
3) Pour une réflexion d’ensemble sur l’évolution du droit international privé appelé à
se transformer « en raison du déclin du territoire », tandis que « le besoin d’articuler des
revendications normatives disparates – sectorielles plutôt que territoriales – demeure »,
v. D. Bureau et H. Muir Watt, Droit international privé, tome 1, 3e éd., 2014, p. 37.
58
CNCIS 2015 IV.indd 58
26/06/2015 11:17:37