La décision de la Cour d'appel du Royaume-Uni de juger recevable une plainte contre des défendeurs américains au nom du Règlement général sur la protection des données (RGPD) de l'Union européenne met en évidence les ambiguïtés de ce règlement en matière de limites territoriales. L'affaire souligne la large applicabilité géographique des RGPD de l'UE et du Royaume-Uni, et les interprétations existantes. La Cour d'appel britannique a suggéré que l'autorité indépendante du Royaume-Uni en matière de droits à l'information, l'Information Commissioner's Office (ICO), apporte son aide dans cette affaire.

Une plainte RGPD contre un média américain jugée recevable

L'affaire Soriano vs Forensic News LLC est considérée comme la première plainte de l'UE et du Royaume-Uni concernant la portée territoriale du RGPD en vertu de l'article 3, paragraphe 2. Le demandeur, Walter Soriano, citoyen britannique naturalisé depuis 2009, a engagé une procédure contre le média américain Forensic News et certaines personnes liées, domiciliées aux États-Unis. M. Soriano a présenté des demandes en vertu de la loi sur la protection des données après que les défendeurs ont publié une série d'articles et de messages sur les médias sociaux contenant plusieurs allégations « peu flatteuses » à son sujet.

En vertu du droit britannique, l'autorisation du tribunal est nécessaire pour signifier une demande en dehors de la juridiction du pays, à moins que les défendeurs n'acceptent d'être signifiés. Dans cette affaire, le tribunal a dû décider si les allégations du demandeur avaient une réelle chance d'aboutir sous réserve des articles 3(1), 3(2)(a) et 3(2)(b) du RGPD, plutôt que de parvenir à une conclusion définitive sur la portée territoriale du règlement. La nouvelle est tombée au même moment qu’une autre annonce, indiquant que, depuis le 28 janvier 2021, les autorités européennes de protection des données avaient infligé un total de 1,1 milliard d'euros (1,2 milliard de dollars) d’amendes pour non-respect du RGPD.

L'ambiguïté de la portée géographique du RGPD

L'affaire met en lumière l'incertitude persistante sur l'applicabilité géographique du RGPD. « Il convient de noter le poids particulier que le tribunal a suggéré d'accorder à l'intention d'offrir des biens/services à des personnes de l'UE/du Royaume-Uni pour évaluer si un contrôleur de données doit être considéré comme « établi » dans l'UE/le Royaume-Uni », a écrit le cabinet d'avocats Dechert LLP. De nombreuses entreprises qui offrent des biens/services aux personnes concernées dans l'UE/le Royaume-Uni depuis l'étranger peuvent être considérées comme ayant un établissement dans l'UE/le Royaume-Uni et peuvent donc se trouver dans l’obligation de se conformer au RGPD, non seulement pour ce qui est des données de leurs clients de l'UE/du Royaume-Uni, mais aussi de toutes les autres personnes dont les données personnelles sont traitées en relation avec cet établissement (comme le personnel) », a-t-il ajouté. Le tribunal a également insisté sur la nécessité de procéder à un « examen plus approfondi et définitif » des questions et suggéré une implication du Commissaire à l'information du Royaume-Uni. 

Selon Kevin Tunison, responsable de la protection des données chez Egress Software Technologies, « il est important de noter que l'affaire a été portée devant les tribunaux avant le départ du Royaume-Uni de l'UE, et que le précédent serait donc établi par rapport au RGPD de l'UE, et pas nécessairement par rapport au RGPD du Royaume-Uni ». Cet aspect pourrait limiter l’incertitude relative à la portée territoriale, du moins dans les tribunaux britanniques. Cependant, cette affaire réaffirme qu'un citoyen européen, quand il se trouve sur le sol de l'UE, voit ces activités protégées. C'est ainsi que le RGPD est censé fonctionner, mais c'est la première fois que cette protection a été testé devant les tribunaux. Le juge a également suggéré que le Commissaire à l'information du Royaume-Uni intervienne pour assister éventuellement le tribunal. « L’ICO pourrait donc être impliqué en raison de la complexité de l'affaire », a encore déclaré M. Tunison. « Cette affaire sera sans doute intéressante à suivre, car elle pourrait modifier ou clarifier l'article 3.2, qui définit la portée territoriale du RGPD de l'UE », a ajouté le responsable de la protection des données d’Egress. « Mais, si l'article 3.2 est modifié, cela pourrait entraîner d'autres contestations juridiques dans d'autres tribunaux de la souveraineté des nations non membres de l'UE. Une telle modification avoir un effet inverse et servir ceux qui voudraient remettre en cause la portée « excessive » de la législation européenne ».