Ce thème présente tout d’abord un intérêt théorique. Il soulève la 10
question de la place que peut ou doit occuper le contrôle a poste-riori par le biais de l’action civile en droit de la protection des nées. En Europe, le Règlement général sur la protection des don-nées marque une nette volonté d’encourager l’action civile, à titre individuel ou collectif, a�n de responsabiliser les responsables du traitement et les sous-traitants, de sanctionner les comportements fautifs ou négligents et de garantir la réparation des dommages su-bis par les personnes concernées, en cas de violation des disposi-tions du Règlement.
Le droit de la protection des données est de manière inhérente un 11
droit á portée économique, guidé par des considérations écono-miques 2. Le Règlement en est une illustration : il renonce au mé-canisme d’autorisation préalable à tout traitement de données per-sonnelles, pour favoriser la libre circulation des données person-nelles au sein de l’Union européenne a�n de soutenir la création d’un marché unique des données et faciliter l’innovation technolo-gique. Il instaure un contrôle de légalité a posteriori qui repose sur des principes généraux et un standard of « due care » pour les res-ponsables du traitement. Il o�re des garanties aux utilisateurs (ci-après « personnes concernées ») dont les données sont traitées en reconnaissant le droit de former des actions collectives en respon-sabilité (« class action »), ce qui constitue une innovation majeure
2. H���� Béatrice, L’action civile en droit de la concurrence : étude du droit suisse à la lumière du droit comparé et du droit de l’Union européenne, thèse, Fribourg 2017, p. 57.
§2. L’intérêt du thème
dont la Suisse pourrait s’inspirer.
Cette thèse va s’intéresser à la généralisation du contrôle a poste- 12 riori par le Règlement, avec transformation des autorités de pro-tection des données personnelles en autorité de contrôle a poste-riori. Ce changement externe et visible correspond à une transfor-mation profonde de la nature du droit de la protection des données personnelles, tel qu’il est mis en place comme droit positif euro-péen par le Règlement : ce droit positif euroeuro-péen de la protection des données personnelles devient un droit de nature essentielle-ment économique, comme le droit antitrust, qu’il complète désor-mais. Ce droit approche en e�et la circulation des données person-nelles dans le même esprit que le droit de la concurrence approche la libre circulation des personnes, des capitaux, des marchandises, etc., mais alors que le droit antitrust se concentre sur le coût trop élevé (en terme de prix des services ou des marchandises) en rai-son de certaines pratiques critiquables (pratiques cartellaires, par exemple), le droit de la protection des données se concentre sur le coût trop élevé (en terme d’atteinte à la sphère privée) de certaines pratiques des responsables de traitement (toutes celles qui ne sont pas conformes au Règlement).
La présente étude propose de reprendre le débat sur la protection 13 des données dans le contexte technologique de l’ère digitale pour évaluer l’impact du Règlement général sur la protection des don-nées en Europe et en Suisse.
Après quatre années de négociations, les États membres de l’Union 14 européenne sont convenus d’un texte venant moderniser la direc-tive 1995/46/CE du 24 octobre 1995. Intitulé « Règlement n°2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces don-nées », le Règlement général sur la protection des dondon-nées est un texte très long – plus de 200 pages – comportant 99 articles intro-duits par 173 considérants.
Contrairement à une directive, le Règlement adopté le 8 avril 2016 15 par le Conseil de l’Europe puis, le 16 avril 2016, par le Parlement européen, et publié au J.O. de l’Union Européenne le 4 mai 2016 est d’application directe. Entré en vigueur le 25 mai 2016, il est entré en application le 25 mai 2018. Il est obligatoire dans tous ses éléments
et directement applicable dans tout État membre. Il n’a pas besoin d’être transposé dans les législations nationales. L’adoption du Rè-glement européen sur la protection des données personnelles per-met, dans toute l’Union, l’application et l’interprétation d’un seul texte. Il s’agit d’un instrument d’intégration puissant pour l’Union et de sécurité juridique, donc de stabilité propice au développement économique pour les entreprises. La directive 1995/46/CE présen-tait en e�et l’inconvénient de créer des lois nationales di�érentes au sein de l’Union européenne.
Le Règlement a pour objectif déclaré de renforcer le contrôle des 16
citoyens européens sur l’utilisation de leurs données personnelles (considérant n°7 du Règlement) 3, tout en simpli�ant, en l’uni�ant, la réglementation pour les entreprises. Augmenter le niveau de res-ponsabilité des « responsables du traitement (administrations, en-treprises, organisations, etc.) » et leurs pouvoirs de contrôle, a�n de créer un climat de con�ance essentiel au développement de l’éco-nomie digitale, accroître la cohérence des réglementations natio-nales tout en continuant à inscrire la protection des données dans le cadre plus large du respect des droits fondamentaux, telles furent les priorités du législateur 4. Les citoyens de l’UE pourront désor-mais recourir à l’action civile en droit de la protection des données pour ouvrir une action en responsabilité civile a�n d’obtenir ré-paration du dommage causé par une pratique non-conforme à la protection des données personnelles.
La mise en œuvre du droit de la protection des données est en prin-17
cipe considérée comme une tâche des autorités publiques.
Le Règlement transforme cependant les autorités européennes dé-18
diées à la protection des données en autorités de contrôle, au moyen de la généralisation du contrôle a posteriori.
Le Règlement introduit la possibilité d’une action publique ouverte 19
par les autorités nationales compétentes en matière de protection des données et autorise de surcroît l’action privée, ce qui présente un intérêt théorique certain.
Le Règlement introduit donc la notion américaine de Private En-20
3. G������� F����� Gloria, The Emergence of Personal Data Protection as a Fundamental Right of the EU, 1eéd., Cham 2014, p. 242.
4. D����� Benjamin (édit.), Vers un droit européen de la protection des don-nées ?, 1eéd., Bruxelles 2017, p. 8.
§2. L’intérêt du thème
forcement en droit européen de la protection des données.
Plus précisément, avec le Règlement, la personne concernée a dé- 21 sormais le double droit d’introduire une réclamation auprès d’une autorité de contrôle (art. 77 RGPD) et de former un recours juridic-tionnel e�ectif à l’encontre de l’entreprise détentrice des données personnelles ou de son sous-traitant. L’action en responsabilité im-pose à l’auteur du dommage de démontrer qu’il s’est comporté de manière responsable, de cesser le comportement illicite qui a lésé autrui et expose le responsable du traitement à des sanctions �nan-cières, administratives ou pénales dissuasives.
L’action en responsabilité a pour objet d’établir si une personne 22 particulière, l’auteur du dommage, en est responsable. L’auteur du dommage est confronté à une obligation de réparer le dommage. En ce sens, l’action en responsabilité est rattachée à la notion de justice corrective.
Outil de réparation des dommages, l’action civile rend possible la 23 mise en œuvre e�ective du droit de la protection des données. Par conséquent, il serait opportun de faciliter l’ouverture d’actions ci-viles en Suisse a�n de renforcer l’e�ectivité des règles de la protec-tion des données.
En Europe, les particuliers pourront également se joindre à des re- 24 cours collectifs via des organisations représentatives. En Suisse, le Conseil fédéral a amorcé la révision du code de procédure civile pour autoriser les actions de groupes.
Pour faire valoir ses droits, en application du Règlement, le deman- 25 deur doit établir l’existence d’une infraction aux règles de la pro-tection des données, de la même manière que le fait l’autorité admi-nistrative. Il invoquera donc le droit de la protection des données, à l’appui de ses prétentions privées.
Le droit de la protection des données revêt une importante dimen- 26 sion politique. Instrument de politique publique, il a la capacité d’impacter les traitements de données personnelles des acteurs éco-nomiques, ainsi de freiner ou bien de stimuler l’innovation et l’ac-tivité économique d’un pays.
Compte tenu des enjeux, le législateur doit e�ectuer une pesée des 27 intérêts en présence : recherche la compétitivité des entreprises
tionales tout en maintenant l’Etat de droit.
Le droit de la protection des données doit en e�et tenir compte 28
d’impératifs juridiques en lien avec la protection des libertés fon-damentales et des droits de la personnalité des personnes concer-nées, comme celui de l’autodétermination informationnelle et de la protection de la sphère privée.
Cette étude revêt ensuite un intérêt pratique. 29
Le Règlement introduit un changement de paradigme visant à ins-30
taurer une véritable culture de la protection des données en Europe. Ce changement de paradigme s’exprime par de nouvelles règles de 31
droit dans le domaine de la protection des données à caractère per-sonnel. Ces modi�cations ont des conséquences pratiques non né-gligeables pour la plupart des entreprises et des organisations eu-ropéennes. Celles-ci doivent mettre en place une véritable gouver-nance des données personnelles et dé�nir des processus spéci�ques pour se conformer aux obligations du Règlement.
La mise en œuvre d’une gouvernance des données s’inscrit dans 32
une préoccupation de même nature que la protection de l’environ-nement et constitue un des éléments de la responsabilité sociale des entreprises 5.
Le Règlement est inspiré par la volonté de faire prendre conscience 33
aux entreprises et organisations qui traitent des données à carac-tère personnel, de leurs devoirs envers les personnes concernées dont les données sont collectées. A défaut de prise de conscience, il prévoit des sanctions strictes.
La Suisse est concernée indirectement par la mise en œuvre du Rè-34
glement. Elle ne fait pas partie de l’Union européenne et le Règle-ment n’est en principe pas directeRègle-ment applicable aux traiteRègle-ments de données personnelles de manière générale en Suisse. Le Règle-ment ne fait en e�et pas partie du droit positif en Suisse.
Seuls les traitements de données à caractère personnel qui rem-35
plissent les conditions de l’article 3 al. 2 RGPD sont en e�et soumis
5. G������� Alain (édit.), Enjeux européens et mondiaux de la protection des données personnelles, 1eéd., Bruxelles 2015, pp. 373-378; M����� Lokke, Bin-ding Corporate Rules : Corporate Self-Regulation of Global Data Transfers, Ox-ford 2012, pp. 175-227.
§2. L’intérêt du thème
au Règlement.
Il s’agit des traitements de données à caractère personnel relatifs 36 « à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
1. à l’o�re de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non;
2. au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ». Le Règlement vise à instaurer une égalité de traitement entre les en- 37 treprises de l’UE et les entreprises étrangères traitant des données personnelles de citoyens européennes dans l’Union européenne.
Sur le plan international, le caractère extra-territorial du Règlement 38 incite les États non-membres de l’Union Européenne, comme la Suisse, le Royaume-Uni (post- Brexit), les pays d’Asie, d’Amérique latine ou d’Afrique, à modi�er leur législation sur la protection des données personnelles ou à adopter de nouvelles législations. L’en-jeu est triple pour les États et les entreprises :
— maintenir la licéité des transferts de données personnelles avec l’UE, condition d’une libre circulation e�ective des don-nées entre États,
— conserver la décision d’adéquation rendue par la Commis-sion européenne pour certains États qui en béné�cient, — o�rir des garanties élevées concernant la sécurité et la
pro-tection des données des ressortissants de l’Union européenne. Les conceptions des États sur la protection des données varient en 39 fonction de leur culture. Il existe cependant des indices de conver-gence des législations sur ce thème 6.
A titre d’exemple, le Japon a négocié une décision d’adéquation 40 avec la Commission européenne a�n de garantir la libre
circula-6. U����� N������ C��������� �� T���� ��� D����������, Data Protec-tion RegulaProtec-tions and InternaProtec-tional Data Flows : ImplicaProtec-tions for Trade and Development, in : UNCTAD (https ://unctad.org/), New York 2016, p. « http: //unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf » (27/10/2018), p. 63.
tion des données personnelles entre ces deux zones géographiques et la licéité des transferts transfrontaliers, après l’entrée en vigueur du Règlement. Cette décision d’adéquation a été octroyée o�ciel-lement en date du 5 septembre 2018. De même, les Etats-Unis exa-minent l’opportunité de préparer un projet de Loi fédérale sur la protection des données.
Pour les entreprises, la priorité consiste à déterminer dans quelle 41
mesure le Règlement s’applique aux traitements de données per-sonnelles et comment mettre en œuvre une gouvernance e�ective des données personnelles au sein de leur organisation.
La dé�nition d’une stratégie concernant la gouvernance des don-42
nées, la création d’un plan d’action pour s’assurer de la conformité des entreprises au Règlement sont incontournables. La sécurité des données devrait �gurer en première place de l’agenda de nombreux comités exécutifs et conseils d’administration de même que la dé-signation d’un délégué à la protection des données.
A l’intersection entre le droit public de la protection des données 43
et le droit de la responsabilité civile, le Règlement général sur la protection des données tente de concilier des notions appartenant à deux domaines distincts. La première question discutée sera de savoir si le nouveau droit applicable réussit à servir à la fois les im-pératifs économiques et technologiques de l’ère digitale tout en of-frant des garanties adéquates pour le respect du droit fondamental à la protection des données. Le débat nécessite de comprendre les fondements du Règlement général sur la protection des données et son impact en Suisse. Nous examinerons dans ce cadre le caractère extra-territorial du Règlement et son impact en Suisse en étudiant notamment le rôle attribué aux actions en responsabilité en droit de la protection des données, et, de façon générale, l’importance du contrôle a posteriori de la par des autorités de contrôle.