Le Forum Shopping (c’est-à-dire lorsque des entreprises sélectionnent un pays d’implantation en fonction de sa législation sur la protection des données) a toujours constitué un effet secondaire du droit européen de la protection des données. L'an dernier, au cours de l’affaire Google Spain, la Cour Européenne de Justice a énoncé que si une organisation internationale effectue des ventes et dispose d’un bureau commercial au sein d’un Etat européen, elle doit respecter le droit de ce pays. Désormais, un règlement allemand applique le principe Google Spain à un autre géant des technologies : Facebook.
Vous avez peut-être récemment lu dans la presse que Facebook entretient une « politique de noms réels ». En fait, l’entreprise transforme les faux noms d’utilisateurs en noms véritables ou les bloque. L’Autorité de Protection des Données de Hambourg (APD) s’est penchée sur les enjeux d’une telle pratique. Elle énonce que Facebook viole le droit individuel à « l’autodétermination de l’information », se basant sur la loi allemande Telemedia. De son côté, Facebook soutient que puisque son siège social européen est situé en Irlande, il doit être soumis au droit irlandais et non allemand (ou de tout autre pays de l’UE) de protection des données. L’APD de Hambourg a décidé de combattre cette argumentaire. Elle se fonde sur l’arrêt Google Spain et avance que puisque Facebook est économiquement actif à Hambourg (c’est-à-dire que l’entreprise dispose d’un bureau sur place), elle doit se conformer au droit allemand. Suivant l’expression même de l’APD : « Facebook ne peut une fois encore prétendre que seul le droit irlandais de protection des données serait applicable. Quiconque s’implante sur notre territoire doit respecter nos règles du jeu ».
Cependant, la condition de territorialité nécessaire à l’application du droit de la protection des données suivant la Directive actuelle repose à la fois sur une implantation locale mais aussi l’utilisation de matériel. Plus spécifiquement, si une entreprise est établie dans une certaine juridiction, elle doit respecter le droit de la protection des données local. Si tel n’est pas le cas (mais qu’elle est implantée en Irlande), alors le droit de la protection des données irlandais s’applique. Ainsi en 2013, le Tribunal Administratif du Schleswig-Holstein en Allemagne a énoncé que Facebook était soumis au droit irlandais et non allemand, car le traitement des données avait été effectué en Irlande et non en Allemagne. (Le Tribunal ne s’est toutefois pas prononcé sur une violation du droit allemand par Facebook). La décision Google-Spain réinterprète ici le droit.
Il sera intéressant de voir quelle sera la conclusion de toute cette affaire, en particulier en ce qui concerne les Règles de Protection des Données de l’UE qui sont actuellement en délibération. Les débats portent sur l’avenir du système « à guichet unique » qui mettrait un terme au Forum Shopping. A suivre…
Les courriers électroniques non sollicités de personnes qui ne sont pas des clients de Dentons ne créent pas de relation avocat-client, peuvent ne pas être protégés par le secret professionnel et peuvent être divulgués à des tiers. Si vous n'êtes pas un client de Dentons, merci de ne pas nous envoyer d'informations confidentielles.
Ce contenu n'est pas disponible dans votre langue. Pour poursuivre en anglais, cliquez sur Continuer.
Vous allez maintenant être redirigé depuis le site Dentons vers le site $redirectingsite en anglais. Pour continuer, veuillez cliquer sur Accepter.
Vous allez maintenant être redirigé depuis le site Dentons vers le site Beijing Dacheng Law Offices, LLP. Pour continuer, veuillez cliquer sur Accepter.