M. Thierry Lazaro attire l'attention de Mme la secrétaire d'État, auprès du ministre de l'économie, de l'industrie et du numérique, chargée du numérique, sur l'étude que vient de publier le Conseil d'État consacrée au numérique et aux droits fondamentaux. Il souhaite savoir si le Gouvernement compte mettre en oeuvre la proposition n° 43 visant à définir un socle de règles applicables à tous les services dirigés vers l'Union européenne ou la France.

Dans son étude publiée consacrée au numérique et aux droits fondamentaux, le Conseil d'État propose de définir un socle de règles applicables à tous les services dirigés vers l'Union européenne ou la France, quel que soit leur lieu d'établissement (proposition no 43). Cette proposition précise que ce socle comprendrait notamment la législation européenne relative à la protection des données à caractère personnel, qui serait qualifiée à cette fin de « loi de police » au sens du droit international privé. L'article 3 du règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, qui sera applicable au 25 mai 2018, fixe le champ d'application territorial des règles européennes relatives à la protection des données à caractère personnel. Cet article prévoit que les règles relatives à la protection des données à caractère personnel s'appliquent « au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union », ainsi qu'« au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées » soit « […]  à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes » soit « […] au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union » et, enfin, au « traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public. ». Ainsi, le règlement précité s'applique à la fois aux traitements des responsables de traitement qui ont leur établissement au sein de l'Union et aux traitements dirigés vers des résidents européens. Ce faisant le règlement étend le champ d'application du droit européen des données à caractère personnel par rapport à la directive 95/46/CE du 24 octobre 1995 à laquelle il se substituera. Le champ d'application territorial du règlement permettra donc une application uniforme de tous les traitements de données à caractère personnel des personnes concernées de l'Union européenne, sans qu'il soit nécessaire de qualifier ces dispositions de « loi de police » au sens du droit international privé. Il reviendra, en dernier lieu, à la Cour de justice de l'Union européenne de procéder à cette qualification si elle l'estime nécessaire.