Le Règlement européen à la protection des données est-il un produit d’exportation ?

Le règlement général sur la protection des données (RGPD) qui entre en application en mai 2018 est un texte dont les répercussions dépasseront largement les frontières de l’Union européenne.

Quand on aborde la question de l’impact international du RGPD, on pense d’abord naturellement à son champ d’application qui vient confirmer sans ambiguïtés les interprétations des autorités, issues de décision de la Cour de justice de l’UE. Il s’applique en effet à tout traitement de données qui vise des personnes se trouvant dans l’Union européenne quel que soit le lieu d’implantation géographique du responsable de traitement (en application de deux critères selon l’article 3 du Règlement : celui de l’existence d’un établissement dans l’Union ou en l’absence d’un établissement, selon un critère de ciblage). Comme le souligne Marc Rees, dans NextInpact « cette portée est importante puisque d’une certaine manière, elle va assurer la propagation de ces valeurs à l’échelle planétaire, du moins chez ceux qui envisagent de cibler le marché européen. »

Le RGPD aborde aussi longuement dans son texte la question des transferts internationaux de données personnelles, et les outils (certains nouveaux, d’autres qui existaient déjà) permettant de les faire dans la légalité. Par exemple, le texte permet les transferts de données personnelles au-delà des frontières de l’Union si la Commission européenne a constaté que le pays tiers « assure un niveau de protection adéquat ». Plusieurs pays ont mis à jour leur législation nationale dans l’optique de faciliter la discussion devant conduire la Commission européenne à prendre une telle décision d’adéquation. Ainsi le Japon a modifié sa loi nationale de protection des données en mai 2017 et, d’après une annonce commune de la Commission européenne et du gouvernement du Japon, ce pays pourrait être le premier pays à obtenir une décision d’adéquation « post-RGPD » (les autres pays déjà reconnus adéquats précédemment étant par exemple le Canada, l’Argentine, Israël, ...).

Ces deux mécanismes, l’application territoriale et matérielle élargie et les mécanismes d’adéquation et de reconnaissance mutuelle des niveaux de protection, peuvent transformer le RGPD en standard international de fait. Celui-ci est en effet « mieux disant » que la plupart des législations mondiales sur ce sujet (voir la cartographie réalisée par la CNIL), l’alignement pouvant alors se passer par le haut dans le meilleur des cas. Les acteurs internationaux cherchant à atteindre le marché européen auront ainsi intérêt à viser la conformité au RGPD pour pouvoir agir sur un marché européen dépassant les 500 millions de personnes, et n’auront pas nécessairement intérêt à différencier leurs services pour d’autres régions moins-disantes...

Mais le texte peut-il en lui-même inspirer des législations nouvelles, devenant en quelque sorte un « produit d’export » pour l’Union européenne ?

Historiquement, certains pays se sont inspirés des législations européennes pour bâtir leur propre socle de protection des données, l’Europe ayant un rôle pionnier dans ce domaine. Mais, signal faible ou vraie tendance, depuis quelques mois, les Etats-Unis et la Chine semblent s’intéresser au sujet.

Côté Chinois, après un premier texte de loi adopté en 2016 et très orienté « cybersécurité », le doctorant Emmanuel Pernot se demande si la Chine pourrait adopter « son RGPD avant 2023 » : « la direction que j’observe dans les évolutions du droit chinois sur la protection des données personnelles est celle d’une convergence graduelle avec le modèle européen (une grande loi dédiée à la protection des données, au champ large et aux obligations dépassant celles requises par l’OCDE), tel que représenté par le RGPD. En gardant à l’esprit que les spécificités du système chinois rendent peu probable le comblement d’importantes lacunes. »

Du coté des Etats-Unis d’Amérique, on peut détecter des prémisses de « modèle RGPD » dans certains états.

Les parlementaires de l’état de New-York ont ainsi voté le 12 janvier 2018 une résolution établissant une commission « chargée d’étudier le règlement général à la protection des données de l’Union européenne et l’état actuel de la cybersécurité dans l’état », dans l’optique de développer une « législation pour protéger les informations personnelles des personnes en ligne ».

Leurs homologues californiens semblent ne pas vouloir être en reste : le député Marc Lévine a présenté en février 2018 une proposition visant à créer la « California Data Protection Authority ». Marc Lévine cite le RGPD comme inspiration dans un journal local et affirme que la Californie a un « rôle à jouer et peut servir de modèle pour une loi fédérale ».

Certes, ces deux projets sont pour le moment à des stades très précoces … mais il reste notable que le modèle européen inspire des législateurs dans des régions aussi fortement tournées vers l’économie numérique et l’innovation que la Californie et New-York et ce d’autant qu’au niveau fédéral, le vote du « CLOUD act » vient plutôt lui renforcer la tendance à l’accroissement de la capacité des forces de l’ordre des Etats-Unis à échanger facilement des données avec leurs homologues étrangers dans le cadre d’accords bilatéraux (voir cet article de NextInpact pour en savoir plus).