Ambassades, navires, ONG… quand la réglementation européenne dépasse les frontières géographiques. Peut-on appliquer le RGPD dans une ambassade à l’étranger ? À bord d’un navire ? Ou dans un avion battant pavillon européen ? Oui, dans certaines situations bien précises. Le RGPD ne se limite pas aux entreprises établies dans l’Union européenne ou ciblant ses résidents. Il prend également appui sur le droit international public pour s’appliquer à des lieux ou entités rattachés juridiquement à un État membre de l’UE. Découvrez comment le champ territorial du RGPD s’étend à ces espaces particuliers, même en dehors des frontières physiques de l’Union.
1) Quand le RGPD s’applique en vertu du droit international public
Le Règlement général sur la protection des données (RGPD) prévoit, à l’article 3, paragraphe 3, une règle souvent méconnue. Il peut s’appliquer à des traitements réalisés en dehors de l’Union européenne, dès lors que le droit d’un État membre s’y applique en vertu du droit international public.
En d’autres termes, la présence physique dans l’UE n’est pas toujours nécessaire. Ce critère vise des cas où le lieu du traitement est juridiquement rattaché à un État membre, notamment par des accords internationaux ou des règles reconnues du droit international.
Cette disposition ne date pas du RGPD. Elle figurait déjà dans la directive de 1995. Le Groupe de l’article 29, qui précédait le CEPD, a confirmé que ce critère repose sur des principes bien établis.
Ce n’est donc pas un détail théorique. Cette règle peut avoir des effets très concrets, notamment pour les entités hors UE qui restent juridiquement liées à un État membre.
2) Ambassades et consulats : sous le régime de l’État d’origine
Les représentations diplomatiques et consulaires d’un État membre de l’Union européenne illustrent clairement l’application de ce critère. Bien qu’implantées physiquement à l’étranger, ces représentations restent juridiquement rattachées à leur État d’origine.
Ainsi, une ambassade française située hors de l’Union peut être soumise au RGPD. Cela vaut si le droit français continue de s’appliquer dans le cadre de son fonctionnement. Il en va de même pour les consulats, dès lors que leurs activités sont considérées comme relevant de l’administration centrale.
Cependant, l’application concrète du RGPD varie selon les situations. Le Groupe de l’article 29 a souligné que plusieurs approches coexistent au sein de l’Union européenne.
Par exemple, au Royaume-Uni, avant le Brexit, les ambassades à l’étranger étaient pleinement soumises à la législation sur la protection des données. À l’inverse, aux Pays-Bas, certaines ambassades bénéficiaient d’un statut particulier en droit international. Ce statut les exemptait de certaines obligations, selon les accords passés avec les États hôtes.
Il est donc nécessaire d’analyser chaque situation de manière spécifique. Cela implique de tenir compte de la législation nationale, des traités diplomatiques, ainsi que du statut juridique propre à chaque représentation.
3) Navires et avions : le pavillon détermine la loi applicable
Le critère d’application fondé sur le droit international public ne s’arrête pas aux ambassades. Il concerne également des moyens de transport soumis à une législation nationale en raison de leur immatriculation.
En droit international, un navire ou un aéronef est juridiquement rattaché à l’État dont il bat le pavillon. Cela signifie que, même en pleine mer ou dans l’espace aérien international, un navire ou un avion peut être considéré comme une extension du territoire juridique de son État d’origine.
Ainsi, si un navire est enregistré en France ou dans un autre État membre de l’UE, les règles françaises ou européennes de protection des données peuvent s’appliquer aux traitements de données à caractère personnel effectués à bord. Il en va de même pour un avion immatriculé dans un État membre.
Ce cas peut concerner :
-
La gestion des passagers (enregistrement, sécurité, santé)
-
Les données biométriques collectées à bord
-
L’utilisation d’outils numériques à bord pour le suivi ou le divertissement
En vertu de ces règles, le RGPD peut s’appliquer, même si le traitement a lieu en dehors des frontières terrestres de l’Union.
4) Autres cas : ONG, organisations internationales et statuts d’exception
Le critère du droit international public pourrait également concerner d’autres structures non situées dans l’UE, mais juridiquement rattachées à un État membre. C’est notamment le cas des organisations non gouvernementales (ONG) ou des organisations internationales.
Toutefois, pour qu’une ONG entre dans le champ de ce critère, il faut qu’un accord international ou un statut juridique spécifique établisse un lien clair avec le droit d’un État membre. En l’absence de ce lien, le RGPD ne s’appliquera pas sur cette base.
De la même manière, certaines organisations internationales, comme les agences de l’ONU ou de l’UE, peuvent être soumises à des régimes d’immunité, définis par des accords de siège. Ces accords peuvent exclure l’application de la législation nationale, y compris en matière de protection des données personnelles.
Il faut donc vérifier le cadre juridique applicable à chaque entité, notamment les conventions, traités ou lois nationales qui précisent si le RGPD peut s’appliquer ou non.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
