Par Denise Lebeau-Marianna, associée, et Caroline Chancé, avocat, DLA Piper France

1. Un champ d’application de la loi française encore imprécis

Il existe une distorsion entre le champ d’application territoriale du RGPD et celui de la loi française :

– l’article 3 du RGPD prévoit que celui-ci s’applique (i) aux responsables et sous-traitants établis au sein de l’UE et (ii) aux traitements de données relatives à des personnes se trouvant sur le territoire de l’UE par un responsable ou un sous-traitant établi en dehors de l’UE dont les activités de traitement sont liées à l’offre de services ou biens à ces personnes ou au suivi de leur comportement au sein de l’UE ;

– la loi française fait référence aux moyens de traitement situés en France, comme dans la directive du 24 octobre 1995.

Cette extension du champ d’application de la loi semble pourtant contraire au RGPD, qui n’accorde aucune marge de manœuvre aux Etats membres sur ce point. Le RGPD, norme de valeur supérieure, devrait donc prévaloir. Il serait nécessaire que cet écart soit rectifié par le gouvernement, autorisé à procéder par voie d’ordonnance à la réécriture de la loi afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et assurer la mise en cohérence de l’ensemble de la législation applicable à la protection des données.

A noter que le nouvel article 5-1 de la loi prévoit également que «les règles nationales prises sur le fondement des dispositions du règlement (…) renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France». Ainsi, si une entreprise allemande, asiatique ou américaine cible des clients français, elle devra se conformer à la fois aux...