Droit et usages du numérique LP MACT – 2023/2024

Droit et usages du numérique

Ce cours aura pour but de donner un aperçu des enjeux juridiques auxquels, notamment, les
agents de la Fonction publique peuvent être confrontés dans le cadre de l’utilisation
quotidienne des technologies de l’Information et de la Communication (les « TIC »).
On lit encore de temps à autre l’abréviation « NTIC » (pour Nouvelles Technologies de
l’Information…) : mais après plus de 25 années de banalisation de l’accès à Internet et la
démocratisation de l’accès mobile - à haut débit - aux réseaux informatiques, la « nouveauté »
de ces technologies paraît aujourd’hui toute relative. Les usages, eux, sont sans cesse en
évolution, comme le sont les questions posées par les services en ligne qui se multiplient à une
vitesse étonnante en bouleversant, souvent, les équilibres économiques et sociaux.

Structure du cours.
La première étape consistera à dresser un panorama des règles encadrant l’action de
l’administration, notamment dans la collecte des données (chap. I) et l’exploitation de ces
données, c’est à dire la communication des informations (chap. II). Puis il s’agira de s’attacher
à l’étude des droits de propriété intellectuelle (chap. III) qui peuvent affecter les contenus
diffusés via les réseaux informatiques, avant de s’intéresser aux aspects plus individuels des
usages numériques : les règles applicables dans un contexte de travail (chap. IV).
Séquençage.
Chap. I : Protection des données personnelles - séq. 1 & 2
-> séq. 1 = Protection des données personnelles -> aperçu et champ d'application
-> séq. 2 = Protection des données personnelles -> étude du régime de protection
Chap. II : E-administration - séq. 3
Chap. III : Initiation à la propriété intellectuelle - séq. 4
Chap. IV : Environnement professionnel & TIC - séq. 5

Olivier MORISSON
[Link]@[Link]
Droit et usages du numérique LP MACT – 2023/2024

CHAPITRE I. La protection des données à caractère personnel

Séquence 1 : Panorama et champ d’application de la protection

Introduction
Cadre historique
Section I. Champ d’application de la protection
§ 1. Définition de la donnée à caractère personnel
Quelques illustrations
Le cas de l’adresse IP
Notion de données « sensibles »
§ 2. Les opérations encadrées : le « traitement » des données
Qui est le responsable du traitement
§ 3. Le champ d’application territorial

___
Droit et usages du numérique LP MACT – 2023/2024

CHAPITRE I. La protection des données à caractère personnel

Introduction
Pourquoi entamer cette présentation par la protection des données à caractère personnel ?
Essentiellement parce que la question, bien que complexe, est d’une actualité toujours brûlante
et qu’elle se retrouvera dans plusieurs thématiques abordées plus loin dans le cours.
Les échanges de données sont l’essence de la communication informatique. Une donnée, c’est
une information or, aujourd’hui, les informations circulent presque sans limite, elles sont
omniprésentes. Longtemps, l’information était précieuse parce que rare ; aujourd’hui, elle est
disponible, à profusion, presque sans le moindre coût financier. Est-elle pour autant moins
précieuse ?
Sans doute pas :
Pour les usagers, la valeur tient souvent plus à la fiabilité de l’information qu’à sa simple
disponibilité. On peut prendre pour exemple la recherche documentaire : trouver une
information, c’est bien, mais insuffisant ; ce qui devient essentiel, c’est d’être sûr qu’elle soit
pertinente/à jour. Or s’assurer de la pertinence, de la qualité d’une information, peut mobiliser
plus de temps et d’énergie que mener la recherche elle-même. Face à la multiplication des
informations erronées sur les réseaux sociaux lors de l’avant-dernière campagne électorale
pour la présidence des Etats-Unis, une réflexion sur les méthodes et enjeux du « fact-
checking » - c’est à dire la vérification factuelle des informations et de la crédibilité des
sources - est engagée. Cette réflexion concerne les propriétaires de ces plate-formes, qui
s’imposent désormais comme de nouveaux média, sans journalistes, mais aussi - et d’abord ! -
les citoyens. Un travail a été engagé pour fixer un cadre répressif aux « infox1 », néologisme
retenu pour traduire le terme « fake news ».
Pour les institutions privées, les données sont valorisées par des entités privées qui exploitent
les informations les plus intimes de leurs « clients » pour en tirer un avantage économique. Il
peut s’agir d’un avantage indirect, comme proposer un service (une « expérience utilisateur »)
amélioré, qui crédibilise le produit vendu : on peut penser au développement des
fonctionnalités prédictives des assistants personnels des smartphones, qui se sont généralisées
et se retrouvent intégrés dans les objets de la maison2. Le téléphone, la tablette, l’enceinte, la
voiture et le frigo peuvent être constamment à l’écoute.
L’avantage est direct lorsqu’il s’agit de céder les données à des tiers (à des fins publicitaires,
essentiellement). Les réseaux sociaux se nourrissent littéralement des données fournies par
leurs membres. Longtemps, l’expression consacrée pour décrire ce mécanisme était « Si le
service est gratuit, c’est que vous [l’utilisateur du service] êtes le produit ». Ainsi, le modèle

1Selon la recommandation de la commission d’enrichissement de la langue française (JORF du du 4 octobre 2018),

« infox » ou « information fallacieuse » désigne une information mensongère ou délibérément biaisée », servant par
exemple « à défavoriser un parti politique, à entacher la réputation d’une personnalité ou d’une entreprise, ou à contrer
une vérité scientifique établie »
2 P. ex. les services Google Assistant, Siri dans l’environnement Apple, Cortana pour Microsoft et Amazon Alexa, un
assistant vocal virtuel, créé dès l’origine pour être intégré dans l’électroménager courant (des enceintes audio au matériel
de cuisine… jusqu’à la sonnette de la porte d’entrée), aux seules fins de doper la consommation de services commerciaux
en facilitant les achats et la livraison de produits ou de services (les commandes sont passées à voix haute, en langage
naturel, sans avoir besoin d’ouvrir l’ordinateur).
Droit et usages du numérique LP MACT – 2023/2024

économique de certains sites internet se résume à attirer des visiteurs en masse, au moyen de
titres d’articles attractifs. C’est l’idée de « générer du clic », en incitant les visiteurs à venir
consulter des contenus d’un intérêt faible, mais noyés sous la publicité… Une publicité d’autant
plus efficace qu’elle sera ciblée, grâce au croisement de toutes ces informations.
Du point de vue de la puissance publique, c’est plus le risque d’une intrusion des institutions,
de l’administration, dans la vie privée des citoyens qui est redouté.
Très tôt, alors que l’informatique n’était pas encore ouverte au grand public - les ordinateurs
les plus miniaturisés faisant la taille d’une armoire - la Société a pris conscience à la fois de la
puissance du traitement automatisé des données et de ses risques sur la confidentialité de la vie
privée.
En droit interne, la protection de la vie privée est garantie par l’article 9 du Code civil, qui
dispose :
« Chacun a droit au respect de sa vie privée ».
Il en découle que les citoyens doivent, par exemple dans l’utilisation des services numériques,
non seulement être protégés contre les intrusions dans leur vie privée (cas des courriers
électroniques non sollicités, les « spams ») mais aussi - et surtout - être protégés contre la
captation d’éléments appartenant à leur sphère privée.
Certaines atteintes mêlent les deux aspects, par exemple dans les tentatives de « phishing » ou
« hameçonnage » : un courrier électronique indésirable imitant plus ou moins habilement3 un
message émanant d’une institution connue, va diriger l’internaute vers un faux-site internet sur
lequel la victime est incitée à y renseigner des données personnelles telles que ses informations
bancaires, les références de son compte client ou les codes d’accès de sa messagerie
électronique.
Les dernières réformes prennent en compte un aspect plus récent : la diffusion volontaire
(mais plus ou moins consciente) des données à caractère personnel par les utilisateurs eux-
mêmes : notamment à travers les réseaux sociaux ou les applications qui exploitent ces
données4.

3 Ces messages tentent de ressembler de près aux courriels émanant de vraies institutions (banques, administrations,
opérateurs télécom), le style maladroit et les fautes de rédaction les trahissent souvent, mais il est parfois difficile de les
identifier. Certains auteurs malveillants et très cyniques ne prennent aucun soin pour l’orthographe des messages :
statistiquement, les destinataires qui identifient les fautes les plus grossières sont aussi les moins réceptifs aux
« arnaques ». En laissant les fautes visibles, ces messages atteignent exclusivement leur cible réelle : les personnes moins
informées, moins attentives et donc… plus vulnérables.
4 P. ex. : [Link]
invasive_5066319_4408996.html
Ou : [Link]
Droit et usages du numérique LP MACT – 2023/2024

Cadre historique
Pionnier en la matière, le Conseil de l’Europe a adopté deux résolutions en 1973 et 1974 tendant
à définir les principes de protection des données personnelles dans le cadre de traitements
automatisés des banques de données dans le secteur privé et public.
La France a été inspirée par ces travaux du Conseil de l’Europe, mais aussi influencée par une
polémique interne née du projet de constitution su système « SAFARI » (Système automatisé
pour les fichiers administratifs et le répertoire des individus).

Extrait de « 50 questions, La loi Informatiques et Libertés »5.

« Ce système avait pour objet d’interconnecter tous les grands fichiers administratifs
sur la base d’un numéro d’identification unique attribué à chaque Français (le numéro
de Sécurité sociale), ce qui aurait permis de retrouver facilement toutes les
informations disponibles concernant une personne. Le président de la République de
l’époque a donc mis en place une Commission chargée de proposer des « mesures
tendant à garantir que le développement de l’informatique se réaliserait dans le respect
de la vie privée et des libertés individuelles et publiques ». Les travaux de cette
Commission ont conduit à l’adoption de la loi du 6 janvier 1978 ».

L’actualité est riche et elle est entrée curieusement en résonance au cours de l’année 2017, qui
a vu naître une polémique autour du « mégafichier TES » (pour Titres Électroniques
Sécurisés)6.
Le texte fondateur au plan national est donc cette loi n° 78-17 du 6 janvier 1978 « relative à
l’informatique, aux fichiers et aux libertés » (dite « Loi Informatique et libertés »), qui a pour
principal objectif de protéger les personnes contre une divulgation ou une mauvaise
utilisation des informations qui les concernent et qui seraient contenues dans des fichiers.
Longtemps à l’avant-garde, la France a apporté des modifications tardives à la loi Informatique
et libertés, sous l’influence du droit communautaire. Cette loi a connu sa première principale
évolution par la loi n° 2004-801 du 6 août 2004, qui est venue transposer de la directive
95/46/CE du Parlement et du Conseil, du 24 octobre 1995, directive-cadre qui constitue le
socle de la protection des données au niveau communautaire, visant à conférer aux citoyens
des Etats-membres un niveau minimal de protection.
Mais les dernières réformes sont d’une toute autre importance :
- d’abord, le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif
à la protection des données à caractère personnel et à la libre circulation de ces données. Son
objectif affiché est d’imposer une harmonisation des règles applicables au sein de l’Union7.

5 in Le courrier des maires et des élus locaux, Cahier 47, n°249, de septembre 2011
6 pour une illustration : [Link]
7 Pour rappel, à la différence d’une directive (qui, pour simplifier, fixe les objectifs à atteindre, en laissant aux Etats
membre le choix des moyens) un règlement communautaire est directement applicable : il est juridiquement contraignant
sans que les Etats membres aient besoin de le « transposer » en droit interne.
Droit et usages du numérique LP MACT – 2023/2024

Aussi appelé « Règlement général sur la protection des données » (ou RGPD par souci de
simplicité), il s’applique depuis le 25 mai 2018, date à laquelle il a abrogé la directive 95/46/CE
précitée.

- Ensuite, la loi 2016-1321 du 7 octobre 2016 dite « pour une République numérique », qui
est venue anticiper le Règlement, en ouvrant de nouveaux droits, en renforçant les pouvoirs de
la Cnil. Comme un écho aux circonstances qui ont ouvert la réflexion autour de la protection
des données à caractère personnel, cette loi vient modifier l’art. 1 de la Loi Informatique et
libertés en ces termes « L'informatique doit être au service de chaque citoyen. Son
développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter
atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés
individuelles ou publiques. »
NB. : Il faut de suite préciser que la loi Informatique et libertés demeure en vigueur, mais
est modifiée progressivement pour respecter la règlementation européenne : elle a surtout pour
vocation de recueillir désormais les dispositions nationales spécifiques, puisqu’il reste des
points que le RGPD ne couvre pas et laisse à l’appréciation de chaque État membre de l’Union
(les « marges de manœuvre »).
Un choix politique a été fait de maintenir la loi du 6 janvier 78, en raison de sa portée
symbolique, le législateur français considérant que cette loi est associée pour le public à de
grands principes innovants et protecteurs ; toutefois, cela ne contribue sans doute pas à la
simplification législative et, donc, à la bonne compréhension des règles applicables. C’est
d’autant plus paradoxal que le fond de la nouvelle réglementation tend à responsabiliser les
citoyens en leur garantissant une meilleure information…
Deux précisions importantes s’imposent :
- Pour des raisons de simplification, seuls seront mentionnés ici en référence les articles
du RGPD et non ceux de la loi Informatique et libertés modifiée.
- Il s’agit ici avant tout de présenter les principaux éléments du cadre de protection des
données à caractère personnel ; ce cours n’a pas pour prétention, en quelques pages,
d’examiner en détail la matière.
Avant d’étudier le régime de protection actuel (v. infra, Section. II), il faut en préciser l’objet,
en définissant les informations qui sont protégées puis les opérations qui sont encadrées.
Droit et usages du numérique LP MACT – 2023/2024

SECTION I. Champ d’application

Qu’est-ce qu’un traitement de données, quelles sont les données protégées ?

§ 1. Définition de la donnée à caractère personnel

L’article 4 du RGPD propose une liste de définitions. La première concerne naturellement la

donnée à caractère personnel elle-même, qui désigne :
« toute information se rapportant à une personne physique identifiée ou identifiable (ci-
après dénommée «personne concernée»; »
Le texte ajoute : « est réputée être une « personne physique identifiable » une personne
physique qui peut être identifiée, directement ou indirectement, notamment par référence à
un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un
identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale. ».
En découlent deux éléments importants à retenir :
- la protection est offerte aux seules personnes physiques.
- la protection ne se limite pas aux données nominatives (mention des éléments d’identité
telles que le patronyme et le prénom), comme on pourrait parfois le croire.
En effet, les données à caractère personnel sont les informations qui permettent
d’identifier un individu directement (exemple des données nominatives) ou indirectement,
par exemple via un numéro d’identification, comme le numéro de sécurité sociale. Ce sont
aussi toutes les informations dont le recoupement permet l’identification d’une personne.

Quelques illustrations :
- le numéro de téléphone (identification du titulaire de la ligne téléphonique),
- le numéro d’étudiant (ou le numéro INE),
- l’élément du corps humain (empreinte digitale, rétinienne ou l’ADN),
- le numéro de plaque minéralogique (qui renvoie au titulaire de la carte grise),
- le numéro de carte bancaire,
- numéro de parcelle immobilière (qui renvoie au propriétaire foncier),
- le nom d’utilisateur sur un réseau social, dans certains cas le pseudonyme sur un forum,
- l’image d’une personne,
Droit et usages du numérique LP MACT – 2023/2024

- les données de géolocalisation : ce sont des données permettant de rendre identifiable une
personne physique. Il y a eu des doutes, mais le RGPD consacre cette analyse constante de la
Cnil.

Le cas de l’adresse IP
Adresse « IP » pour « Internet Protocol » est le numéro d’identification d’un ordinateur (ou
d’un téléphone mobile) disposant d’une connexion à internet. Il s’agit d’une adresse numérique
(composée de chiffres) attribuée par l’opérateur qui fournit la connexion au réseau. Cette suite
de chiffres permet la communication avec les autres appareils du réseau et permet
l’identification du dispositif (l’ordinateur, téléphone) qui s’y connecte.
Comme pour les données de géolocalisation, la question de la qualification de l’adresse IP en
donnée à caractère personnel a été débattue. En jurisprudence, deux décisions de la Cour
d’appel de Paris en 2007 ont notamment refusé d’admettre que cet élément permette
l’identification, même indirecte, de l’auteur d’une infraction (en l’occurrence, l’auteur d’une
contrefaçon lors d’un téléchargement illégal d’œuvres protégées par le droit d’auteur), au motif
que ce numéro ne permettrait que d’identifier une machine. En revanche, la CNIL a toujours
considéré sans ambiguïté qu’il s’agissait d’une donnée permettant l’identification, au moins
indirecte, par le biais de recoupements, d’un utilisateur et qu’elle devait être qualifiée de
donnée à caractère personnel.
C’était également l’avis du juge communautaire. Un arrêt8 de la Cour de cassation a consacré
cette solution en 2016 : les magistrats de la 1ère chambre civile censurent une cour d’appel qui
retient que l’adresse IP « se rapporte à un ordinateur et non à l’utilisateur, et ne constitue pas,
dès lors, une donnée même indirectement nominative ». (Rennes, 28/04/2015). L’argument est
classique mais l’arrêt est cassé, au motif que « (…) en statuant ainsi, alors que les adresses
IP, qui permettent d’identifier indirectement une personne physique, sont des données à
caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère
personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL, la cour d’appel
a violé les textes susvisés »

Le RGPD clôt définitivement ce débat en visant les « identifiants en ligne » parmi les
données permettant de rendre identifiables des personnes physiques. Le considérant 30
détaille ce que recouvre le terme « identifiant en ligne ».
« Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et
protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de
connexion (« cookies ») ou d'autres identifiants, par exemple des étiquettes d'identification par
radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont
combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent
servir à créer des profils de personnes physiques et à identifier ces personnes. »

8 Civ. 1ère, 3 novembre 2016 : Pourvoi n° 15-22.595 à consulter sur [Link]

Droit et usages du numérique LP MACT – 2023/2024

Notion de données « sensibles »

Toutes les données « ne se valent pas » : parmi les informations permettant d’identifier une
personne, certaines paraissent banales, mais d’autres font l’objet d’une attention particulière.
Ce sont des données dites « sensibles », qui sont désormais visées par l’art. 9-1. du RGPD.
Comme sous l’empire de la loi de 1978, il est par principe interdit de collecter et de conserver
des informations personnelles qui, directement ou indirectement, font apparaître « l'origine
raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou
l'appartenance syndicale ».
Mais le RGPD s’avère plus large que la loi Informatique et libertés, car est également interdit
par principe « le traitement des données génétiques, des données biométriques aux fins
d'identifier une personne physique de manière unique, des données concernant la santé ou
des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».
La collecte et l’exploitation de ces données, dans les cas où elles sont, par exception, autorisées,
sont soumises à un régime plus strict, car ces informations relèvent de l’intimité des personnes
et parce que leur manipulation est susceptible de conduire à des discriminations.

§2. Les opérations encadrées : le « traitement » des données

Les opérations visées sont nombreuses, car la notion de « traitement » est entendue dans un
sens particulièrement large. Là encore, le RGPD a élargi le cadre fixé dans la loi Informatique
et libertés.
La définition est posée par l’art. 4 - 2). Par « traitement » on entend toute opération ou tout
ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des
données ou des ensembles de données à caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication par transmission,
la diffusion ou toute autre forme de mise à disposition, le rapprochement ou
l'interconnexion, la limitation , l'effacement ou la destruction; ».
Cela recouvre aussi bien : la constitution d’une base de données (un simple annuaire !), que la
mise en ligne d’un site internet, ou la vidéosurveillance d’un local…
NB : - Ne sont pas concernés les traitements réalisés à des fins strictement personnelles,
c’est à dire sans relation avec une activité commerciale, ni professionnelle (au sens large).
Cette exception est visée dans l’art. 2 -c) du RGPD, qui exclut de son champ d’application
les traitements opérés dans le cadre d’activités « strictement personnelles ou domestiques
d’une personne physique ». Collecter des données d’identification en vue d’alimenter un
fichier de contacts à titre personnel n’implique pas de se soumettre aux obligations imposées
par le RGPD. À la lecture du considérant 18, on constate que la diffusion de ces mêmes données
sur un site web (ou un réseau social) sont aussi hors champ d’application, en tout cas si cette
diffusion est opérée à des fins non-commerciales/extra-professionnelles.
- La loi concerne aussi les traitements « non automatisés », elle s’applique donc aux
fichiers manuels, aux « ensembles de fiches structurés par un système de classement »
(annuaires).
Droit et usages du numérique LP MACT – 2023/2024

- Les logiciels en tant que tels ne sont pas concernés. Un simple tableau, contenant des
informations nominatives, conçu avec un logiciel aussi banal que le tableur d’une suite
bureautique, constitue une base de données. C’est bien l’utilisateur qui doit respecter les
prescriptions de la loi en réalisant le traitement, pas le vendeur ou l’éditeur du logiciel.
- Il s’agit d’encadrer non seulement la constitution de fichiers mais aussi prévenir les
risques liés à l’interconnexion entre les fichiers, permettant de faciliter le recoupement des
données9 et présenter ce fait un risque excessif pour les personnes concernées.

Qui est le « responsable du traitement » ?

À l’instar du régime de la loi Informatique et libertés, l’article 4 - 7) du RGPD le définit comme
« la personne physique ou morale, l'autorité publique, le service ou un autre organisme
qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du
traitement. »
NB. : Le responsable du traitement n’est donc pas la personne qui opère matériellement la
collecte ou organise le stockage des données ; c’est l’entité qui décide de l’objectif poursuivi
par la collecte, de son périmètre, de ses modalités.
Le RGPD embrasse sans ambiguïté les situations où plusieurs acteurs définissent de concert
les finalités et moyens du traitement. Ces situations avaient par le passé été envisagées par la
jurisprudence ; le RGPD consacre la notion de « responsables conjoints » du traitement (on
parle parfois également de co-responsables du traitement).
Les responsables conjoints du traitement doivent définir « de manière transparente leurs
obligations respectives » vis à vis de l'information et de l'exercice des droits de la personne
concernée par le traitement. Il ne faudrait pas en effet que le flou pouvant entourer des relations
entre les entités à l’origine du traitement viennent limiter, de fait, l'exercice des droits des
personnes, ou être un prétexte pour ne pas remplir l'obligation d’information.

9 Cf. supra p.5 : revoir l’origine de la loi Informatique et Libertés, pour comprendre l’importance de cette prévention.
Droit et usages du numérique LP MACT – 2023/2024

§ 3. Le champ d’application territorial

Pour des raisons de simplicité, les conditions d’application territoriale ne seront pas
développées en détail ici. Il faut surtout retenir que le RGDP adopte une approche plus large
que la loi Informatique et libertés, pour offrir la meilleure protection aux citoyens européens.
Ainsi, l’article 3 du RGPD dispose que :
« 1. Le présent règlement s'applique au traitement des données à caractère personnel effectué
dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-
traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l’Union. »
Il s’applique donc, bien sûr, aux responsables de traitements établis sur le territoire de l’Union
Européenne, même si le traitement lui-même est opéré ailleurs. Pour ceux qui n’y seraient pas
établis, il ne s’agira plus de considérer seulement la localisation des moyens de traitement (par
exemple, le lieu où sont localisés les serveurs informatiques qui stockent les données
collectées), mais d’étudier le lien entre les activités du responsable du traitement et la
localisation du « public-cible ».

Ainsi, si le responsable du traitement ou un sous-traitant hors UE propose des

biens/services, ou s’il assure « le suivi de comportement » de personnes situées dans
l’Union Européenne, le Règlement aura vocation à s’appliquer10.
Cette question revêt une importance particulière pour tous les traitements opérés par les
prestataires situés au Royaume-Uni : plateformes en ligne, serveurs de données… En
conséquence directe du Brexit, toutes les données collectées par ces prestataires sont soumises
aux règles applicables aux transferts de données hors Union Européenne, ce qui implique
notamment de réviser les clauses contractuelles pour garantir que le traitement est effectué de
manière conforme au RGPD.

___—___

10 V. RGPD Art. 3.2 « Le présent règlement s'applique au traitement des données à caractère personnel relatives à des
personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui
n'est pas établi dans l'Union, lorsque les activités de traitement sont liées :
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites
personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de
l'Union. »