L’Indonésie a mis en vigueur une nouvelle loi sur la protection des données, le 17 octobre 2022, la loi sur la protection des données personnelles (PDPA), ici en indonésien et ici en traduction automatique en allemand).
Le PDPA a effet extraterritorial – il s’applique au traitement de données personnelles en Indonésie, mais aussi en dehors de l’Indonésie, dans la mesure où le traitement a des conséquences juridiques en Indonésie ou citoyens indonésiens en dehors de l’Indonésie :
Article 2
1) La présente loi s’applique à toute personne, tout organisme public et toute organisation internationale qui Actes juridiques qui sont régies par la présente loi :
a. qui se trouvent en Territoire de la République d’Indonésie et
b. en dehors de la juridiction de la République d’Indonésie, ce qui est conséquences juridiques a :
1. dans la juridiction de la République d’Indonésie ; et/ou
2. pour des données à caractère personnel concernant des citoyens indonésiens résidant en dehors du territoire de la République Indonésie
2) La présente loi ne s’applique pas au traitement de données à caractère personnel effectué par des personnes physiques dans le cadre d’activités privées ou domestiques.
L’idée de réglementer également le traitement en dehors du territoire national lorsqu’il concerne des citoyens ne correspond pas nécessairement à l’idée du principe de territorialité tel qu’il est compris en Europe, mais est également valable dans d’autres États, par exemple au Nigeria, où une législation stricte en matière de protection des données s’applique sur le modèle du RGPD. Art. 1.2 du Nigeria Data Protection Regulation 2019 :
1.2 CHAMP D’APPLICATION DU RÈGLEMENT
a. le présent règlement s’applique à toutes les opérations prévues pour le traitement de données à caractère personnel, au traitement de données à caractère personnel, quels que soient les moyens par lesquels le traitement de données est effectué ou prévu à l’égard de personnes physiques au Nigeria ;
b. le présent règlement s’applique aux personnes physiques résidant au Nigeria ou residing outside Nigeria who are citizens of Nigeria;
c. le présent règlement n’a pas pour objet de priver un Nigérian ou une personne physique des droits en matière de protection de la vie privée auxquels il a droit en vertu d’une loi, d’un règlement, d’une politique ou d’un contrat en vigueur au Nigéria ou dans toute autre juridiction étrangère.
On ne peut toutefois pas dire qu’il s’agit d’une spécialité extra-européenne. Le français Loi Informatique et Libertés par exemple, voit dans Art. 3(II) pour la législation nationale de transposition, prévoit qu’elle s’applique au traitement des données des personnes résidant en France :
Article 3
I – Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France.
II – Les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France.
Toutefois, lorsqu’est en cause un des traitements mentionnés au 2 de l’article 85 du même règlement, les règles nationales mentionnées au premier alinéa du II sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne.
L’exposé des motifs de la loi à ce sujet est intéressant :
3. – Le législateur a choisi d’instaurer un critère de rattachement territorial particulier pour les spécificités
françaises, traduisant un choix politique de la France, teinté de souverainisme, qu’il est possible de
résumer de la manière suivante.
4 – Par principe, les spécificités françaises s’appliquent ” dès lors que la personne concernée réside en
France “, et ce ” y compris lorsque le responsable de traitement n’est pas établi en France “. Ce
critère de rattachement exorbitant (lieu de résidence des personnes concernées) confère un large
rayonnement au droit français, écartant les droits des autres États membres. Ce choix, qui peut
paraître curieux, est apparu opportun au législateur français, car ” plus protecteur pour les personnes
physiques concernées, qui n’ont alors pas à s’interroger sur le droit applicable dans un autre État membre de l’Union, lequel n’est bien souvent pas accessible dans leur langue “.
Il n’en va pas autrement de l’art. 139 LDIP – ici aussi, il peut y avoir application du droit du pays d’origine de la personne concernée, en tout cas si l’on pouvait s’attendre à ce que cette personne soit affectée localement :
1 Les prétentions pour atteinte à la personnalité par les médias, en particulier par la presse, la radio, la télévision ou par d’autres moyens d’information au public, sont soumises à la loi sur la protection des données, conformément à la loi sur la protection des données. Choix de la personne lésée:
a. à la loi de l’État dans lequel le Personne lésée sa résidence habituelle, si l’auteur du dommage devait s’attendre à ce que le résultat se produise dans cet État ;
b. la loi de l’État dans lequel le Auteur de la violation son établissement ou sa résidence habituelle, ou
c. la loi de l’État dans lequel le le succès de l’acte blessant se produitL’article 5, paragraphe 1, point b), de la directive prévoit que l’auteur du dommage doit s’attendre à ce que le résultat se produise dans cet État.
2 Le droit de réponse […]. 3 L’alinéa 1 est également applicable aux prétentions pour atteinte à la personnalité résultant du traitement de Données personnelles ainsi que pour atteinte au droit d’accès aux données personnelles.