Tous les continents sont aujourd’hui dotés de lois et règlements afin de protéger les données personnelles de leurs concitoyens. Que ce soit la CCPA (California Consumer Privacy Act), la LGPD (Brazilian Data Protection Law), le RGPD (règlement général de la protection des données), la PIPL (Personal Information Protection Law) ou encore l’APP (Asutralian Prinvacy Policies), chacun de ces textes permet non seulement de garantir un niveau de protection nationale ou régionale, mais aussi, dans certains cas, une protection transfrontalière au titulaire de ces données, dans le cadre de leur collecte et exploitation. De manière assez étendue, les données qualifiées de « personnelles » sont celles qui permettent d’identifier un individu, que ce soit dans une sphère privée ou professionnelle. Chaque texte et régulateur a, par la suite, affiné la définition de cette notion première.
L’un des enjeux de ce droit des données émergent réside dans l’extranéité de sa mise en œuvre et, par conséquent, de l’ingérence éventuelle des autres lois dans la protection et l’utilisation des données de ces citoyens dans un pays qui n’est pas le leur. Comment conjuguer ces nouvelles réglementations, souvent protectionnistes, avec la mondialisation ? Vous trouverez ci-après quelques éléments de réponse concernant l’axe Europe-Chine et l’articulation de la PIPL avec le RGPD.
1. Extranéité des réglementations sur les données personnelles, première raison des superpositions réglementaires
1.1. Le RGPD : une application au-delà de l’Europe
Le RGPD1 et la loi informatique et libertés2 (la LIL) en France qui gouvernent la collecte et le traitement de données à caractère personnel contiennent également des éléments d’extranéité. Pour rappel, les données personnelles concernées par ces textes sont toute information se rapportant à une personne physique identifiée directement ou indirectement, notamment par une donnée de localisation ou un numéro client.
Par la combinaison des articles 3 du RGPD et 4 de la LIL, sont couverts par cette réglementation tous les traitements réalisés par des opérateurs qui sont situés en France, que ces traitements visent ou non des résidents européens ou français. Le RGPD et la LIL gouvernent donc l’exploitation de données de personnes partout dans le monde, en ce compris la Chine, si une telle collecte ou exploitation est monitorée depuis la France. Cela peut notamment être le cas de sites d’e-commerce édités en France ou bien encore d’un groupe dont la société mère située en France décide de piloter, pour certaines finalités de management RH, les données de ses salariés localisés partout dans le monde, y compris en Chine.
