B. UN CADRE NÉANMOINS PARTIELLEMENT INADAPTÉ AUX ENJEUX DE LA GLOBALISATION ET AUX SPÉCIFICITÉS D'INTERNET
1. La protection des données à l'épreuve de l'extraterritorialité
Vos rapporteurs ont pu constater que le cadre juridique actuel n'apporte pas toujours des réponses satisfaisantes aux nouveaux défis au regard du droit à la vie privée, notamment parce qu'il existe des divergences d'interprétation concernant l'applicabilité du droit communautaire aux traitements de données effectuées par des entreprises situées en dehors de l'Union européenne, en particulier aux Etats-Unis. Ces divergences prennent un relief particulier car Européens et Américains n'ont pas les mêmes approches en matière de protection des données personnelles.
a) La question du droit applicable
La question du droit applicable en matière de protection des données est particulièrement complexe.
Certes, la directive précitée de 1995 sur la protection des données comporte, en son article 4, une clause sur la loi applicable aux traitements de données à caractère personnel effectués par des entreprises. Toutefois, s'agissant des sites Internet, « cette disposition n'est pas aisée à comprendre ou à manipuler » comme l'a reconnu le G29 dans un document de travail adopté le 30 mai 2002.
En effet, l'article 4 de la directive prévoit les cas de figure suivants :
- si l'entreprise est établie sur le territoire de l'un des Etats-membres, la législation de cet Etat s'applique même si l'entreprise fournit des services à d'autres Etats-membres, et ce en application du principe du pays d'origine . Ce dernier est favorable aux entreprises, qui n'ont pas à être soumises à plusieurs législations nationales, sans pour autant mettre à mal la protection des données personnelles dans l'Union européenne dans la mesure où, par l'effet de la directive de 1995, les lois nationales en matière de protection des données offrent des protections équivalentes ;
- si l'entreprise n'est pas établie sur le territoire de l'un des Etats-membres mais qu'elle recourt, à des fins de traitement de données à caractère personnel, à des « moyens » situés sur le territoire d'un Etat-membre 48 ( * ) , le droit de ce dernier s'applique 49 ( * ) . La directive a donc repris un critère classique en droit international, à savoir le lien physique entre l'action et un système légal.
Ce second cas de figure soulève des difficultés d'interprétation , comme l'a illustré le différend entre le G29 et certains moteurs de recherche sur Internet établis aux Etats-Unis, concernant la durée de conservation des données collectées à l'occasion des requêtes.
Le 4 avril 2008, le G29 a en effet publié un avis sur les moteurs de recherche , affirmant l'applicabilité de la loi communautaire sur la protection des données, recommandant une durée de conservation des données de six mois maximum et indiquant que les internautes devaient consentir à l'exploitation de leurs données à des fins, notamment, de profilage.
Le G29 s'est appuyé sur le fait que les moteurs de recherche, pour établir des profils d'utilisateurs détaillés, utilisent des « cookies » (cf. infra ) qui doivent être considérés comme des moyens de traitement des données à caractère personnel, au sens de la directive, ce qu'ont contesté certains moteurs de recherche.
Une solution pour résoudre ces difficultés d'interprétation pourrait être de réviser la directive de 1995 pour y inscrire expressément la notion de « cookies ». Toutefois, une telle initiative présenterait l'inconvénient majeur de mettre à mal la neutralité technologique de la directive, - neutralité que vos rapporteurs ont déjà eu l'occasion de saluer comme un gage de souplesse et de pérennité.
La question de savoir quel est le droit applicable se pose aujourd'hui avec d'autant plus d'acuité que la globalisation économique se traduit par une intensification des flux transfrontaliers de données personnelles et que les systèmes juridiques européen et américain se caractérisent par des différences d'approche en matière de protection des données personnelles.
* 48 « Sauf si ces moyens ne sont utilisés qu'à des fins de transit », précise la directive.
* 49 Dans le cas contraire, le droit du pays où est établie l'entreprise est applicable.