L’application des règles de protection des données personnelles aux DROM/COM

Le règlement général sur la protection des données ou RGPD#1 et la récente réforme de la loi « Informatique et Libertés » ne s'appliquent pas de manière uniforme dans l'ensemble de ces territoires d'Outre-mer. L'application de ces textes aux territoires d'Outre-mer – Départements et Régions d'Outre-mer (DROM) et Collectivités d'Outre-mer (COM) – impose de se pencher au préalable sur le régime de chaque territoire considéré#2.

Pour mémoire, le RGPD est entré en vigueur le 25 mai 2018 dans tous les Etats Membres de l'Union Européenne.

En France, la loi, dite « Informatique et Libertés », n°78-17 du 6 janvier 1978 régit la protection des données personnelles. Si le RGPD est d'application directe et ne nécessite pas de mesure de transposition, il laisse sur certains sujets une marge de manœuvre aux Etats membres pour leur permettre de préciser davantage certaines dispositions. C'est dans ce cadre que la loi du 6 janvier 1978 dite « Informatique et Libertés » a été récemment modifiée par la loi n°2018-493 du 20 juin 2018.

Pour autant, ces textes ne s'appliquent pas de manière uniforme dans l'ensemble des territoires d'Outre-mer.

Pour comprendre cela, il est important de rappeler tout d'abord que les DROM et les COM ne sont pas soumis au même régime à la fois au regard du droit européen et au regard du droit français ce qui a un impact sur l'application du nouveau cadre de la protection des données.

Le RGPD (Droit de l'Union Européenne) s'applique-t-il dans tous les DROM et les COM ?

Le RGPD est d'application directe dans les Etats Membres de l'Union Européenne, néanmoins la question de son application aux territoires d'Outre-mer dépend là encore du territoire en question.

En effet, conformément aux articles 52 du Traité sur l'Union Européenne (TUE) et 355 alinéa 1° du Traité sur le Fonctionnement de l'Union Européenne (TFUE), le droit de l'Union Européenne s'applique directement aux Etats Membres de l'Union Européenne et aux Régions dites « Ultrapériphériques » (RUP). Sont qualifiées de RUP, l'ensemble des DROM et une COM, Saint-Martin#3 pour lesquels le RGPD est donc applicable.

Conformément à l'article 355 alinéa 2° TFUE, les autres COM sont considérés comme des « Pays et Territoires d'Outre-Mer » (PTOM), faisant l'objet d'un régime spécial d'association et selon lequel le droit de l'Union Européenne, y incluant le RGPD, ne leur est pas directement applicable.

Ainsi, au-delà des mesures législatives d'adaptation du RGPD en droit interne (qui sont prévues par la nouvelle version de la loi « Informatique et Liberté »), une intervention du législateur français s'avère également nécessaire pour étendre l'application du RGPD aux territoires français qui ne sont pas des RUP. Il en est ainsi pour la Nouvelle Calédonie, la Polynésie française, Wallis-et-Futuna, Saint-Barthélemy et Saint-Pierre et Miquelon et les Terres australes et antarctiques françaises (TAAF).

En droit français, la nouvelle version de la loi dite « Informatique et Libertés » s'applique-t-elle dans les DROM et les COM ?

Les DROM sont régis par un principe d'« identité législative »#4, selon lequel les lois et règlements français sont applicables de plein droit dans ces territoires#5. Par conséquent, la nouvelle version de la loi « Informatique et libertés » s'y applique.

Quant aux COM, leur statut est régi par des lois organiques qui fixent les conditions dans lesquelles les lois et règlements y sont applicables#6. Or, selon ces lois, il existe deux catégories de COM à savoir :

- une première catégorie composée de Saint-Martin, Saint-Barthélemy et Saint-Pierre-et-Miquelon et pour laquelle le principe d'identité législative s'applique#7. Par conséquent, la nouvelle version de la loi « Informatique et Libertés » y est applicable (y compris – comme précisé par le Conseil Constitutionnel#8- s'agissant des dispositions du RGPD auxquelles elle renvoie).

- une seconde catégorie composée de la Nouvelle Calédonie#9, la Polynésie française#10, Wallis-et-Futuna#11 et les TAAF#12 et pour laquelle le principe de « spécialité législative » s'applique. Ce principe impose au législateur de prévoir expressément l'application d'une disposition sur le territoire concerné#13. Or, à ce jour, faute de disposition législative prévoyant expressément l'application de la nouvelle version de la loi à ces territoires c'est l'ancienne version de la loi « Informatique et Libertés » qui demeure applicable. Pour cette seconde catégorie de COM, le Gouvernement est habilité à prendre par voie d'ordonnance (au plus tard en décembre prochain), les mesures nécessaires à l'application à ces territoires des dispositions de la loi « Informatique et Libertés » dans sa version la plus récente et du RGPD.

En définitive, il est donc important pour les organisations localisées dans les DROM et à Saint-Martin de - d'ores et déjà - s'assurer avoir mis en place les nouvelles mesures nécessaires à leur conformité (registre des activités de traitements, désignation d'un délégué à la protection des données dans certains cas, procédures permettant la documentation et le pilotage de la conformité, etc.) et pour les autres COM de suivre avec attention la prochaine ordonnance qui va être prise par la Gouvernement sur ce sujet.

[1] Règlement (UE) 2016/679 du 27 avril 2016

[2] Pour rappel :

• Les DROM sont : la Guadeloupe, la Guyane, la Martinique, Mayotte et La Réunion.
• Les COM sont : Saint-Martin, Saint-Pierre-et-Miquelon, la Polynésie française, Wallis-et-Futuna, Saint-Barthélemy, la Nouvelle Calédonie et les Terres australes et antarctiques françaises (TAAF).

[3] Saint-Barthélemy n'est plus une RUP depuis une décision du Conseil Européen de 2012 (décision 528/2012/UE).

[4] Article 73 de la Constitution.

[5] Ce principe prévoit des exceptions qui toutefois ne peuvent pas porter sur certains domaines, dont les garanties des libertés publiques, ce qui exclut donc la protection des données personnelles

[6] Articles 74 et 74-1 de la Constitution.

[7] Articles LO6213-1 pour Saint-Barthélemy, LO6313-1 pour Saint-Martin et LO6413-1 pour Saint-Pierre-et-Miquelon du Code Général des Collectivités Territoriales issus de la loi organique n°2007-223 du 21 février 2007.

[8] Décision du Conseil Constitutionnel n°2018-765 du 21 février 2017

[9] Article 6-2 de la loi organique n° 99-209 du 19 mars 1999.

[10] Article 7 de la loi organique n° 2004-192 du 27 février 2004.

[11] Article 4 de la loi n° 61-814 du 29 juillet 1961.

[12] Article 1-1 de la loi n° 55-1052 du 6 août 1955.

[13] Article 32-I-3° de la loi n°2018-493 du 20 juin 2018. Le Gouvernement dispose d'un délai d'habilitation de six mois qui a commencé à courir à compter de la promulgation de la loi du 20 juin 2018.