Contenu

Le RGPD et les travailleurs frontaliers

Il semble y avoir beaucoup de confusion quant au champ d’application extraterritorial du Règlement européen sur la protection des données (RGPD), particulièrement en ce qui concerne les frontaliers. Reprenons depuis le début.

Application extraterritoriale

Selon son article 3, le RGPD s’applique non seulement aux responsables de traitement ou sous-traitants établis dans l’Union européenne (UE), mais il s’applique aussi à certaines conditions s’ils ne sont pas établis dans l’UE. L’art. 3 al. 2 RGPD prévoit ceci :

Le [RGPD] s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Qui sont ces “personnes qui se trouvent sur le territoire de l’Union” ? Des citoyens européens ? Des ressortissants suisses qui sont domiciliés dans un Etat membre ? Un russe en voyage d’affaire ou faisant du tourisme ?

Ce que ne dit pas le RGPD

Si vous cherchez les mots “citoyen” ou “ressortissant” dans le texte du RGPD, vous ne les trouverez pas. Ce dernier n’utilise que le terme “personne concernée”, lequel vise uniquement des personnes physiques. Il n’est cependant pas fait mention d’un critère relatif à la nationalité ou au lieu de domicile.

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. (Extrait du consid. 10 RGPD)

Cependant, par exemple, le terme “citoyen” apparait de nombreuses fois dans une communication de la Commission européenne au Parlement européen et au Conseil (COM/2018/043). La Commission décrit ainsi le RGPD comme “un ensemble unique de règles pour les citoyens et les entreprises” qui offre “la possibilité pour les citoyens d’exercer un contrôle accru sur les données à caractère personnel les concernant”.

Tout n’est donc pas clair…

Citoyen européen ?

L’art. 20 du Traité sur le fonctionnement de l’UE (TFUE) indique qu’

Est citoyen de l’Union toute personne ayant la nationalité d’un État membre. La citoyenneté de l’Union s’ajoute à la citoyenneté nationale et ne la remplace pas.

Au vu de la communication de la Commission ci-dessus, on pourrait donc affirmer (à tout le moins, supposer) que le RGPD ne s’applique qu’aux citoyens européens, autrement dit aux ressortissants des Etats membres. Mais le RGPD, à son considérant 14, indique que

La protection conférée par le [RGPD] devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel.

Mais on ne sait pas ici de quelle nationalité parle le RGPD. Fait-il référence à la nationalité d’un Etat membre et donc à la citoyenneté européenne ? Se réfère-t-il de manière générale à la nationalité d’une personne, qu’elle soit européenne ou non (et même apatride) ?

Ce que dit le RGPD

Revenons à ce que dit réellement le RGPD. Celui-ci parle de personnes qui se trouvent sur le territoire de l’Union (art. 3 al. 2). En anglais : “data subjects who are in the Union”. En allemand : “Personen, die sich in der Union befinden”. A moins d’une erreur terminologique qui se serait glissée dans les versions de trois langues officielles de l’UE, il parait clair que le RGPD ne cherche pas à exclure des personnes qui n’ont pas la nationalité d’un Etat membre ou qui n’y ont pas leur résidence.

A l’appui de ce raisonnement, l’art. 3 al. 1 apporte un bel élargissement de la notion de “personne concernée” puisqu’il prévoit que

[le RGPD] s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

Cette disposition indique qu’un responsable de traitement ou sous-traitant basé dans l’UE et traitant des données personnelles doit se soumettre au RGPD, quelle que soit la nationalité des personnes concernées par ces traitements, et quelle que soit leur lieu de résidence ou leur localisation géographique actuelle au moment du traitement.

Conclusion

On peut déduire ainsi que par “personne concernée”, on entend

  • toute personne dont les données personnelles sont traitées lorsqu’elle se trouve physiquement à l’intérieur des frontières de l’UE,
  • quelles que soient sa nationalité et son lieu de résidence,
  • que le responsable de traitement ou le sous-traitant soit basé ou non dans l’UE.

Ainsi, si une personne concernée part en vacances ou déménage hors de l’UE, elle n’est plus couverte par le RGPD à moins que ses données personnelles soient encore traitées par un responsable de traitement ou un sous-traitant basé dans l’UE.

Appliqué strictement, cela signifie que des travailleurs frontaliers salariés en Suisse ne sont pas soumis au RGPD lorsqu’ils travaillent en Suisse et que leurs données sont traitées par leur employeur établi en Suisse. Ils peuvent cependant invoquer les dispositions du RGPD contre leur employeur lorsqu’ils retournent sur le territoire européen pour autant que cet employeur suive leur comportement dans l’UE.