Aller au contenu

Le RGPD en Nouvelle-Calédonie : ce qui s'applique vraiment à votre organisation

Le RGPD ne s'applique pas directement en Nouvelle-Calédonie, territoire d'outre-mer vis-à-vis de l'Union européenne. Mais depuis le 1er juin 2019, la loi Informatique et Libertés y impose des obligations équivalentes, sous le contrôle de la CNIL.

Guide par Nicolas PAYEN

Non, le règlement européen 2016/679 ne s’applique pas de plein droit sur le territoire : la Nouvelle-Calédonie est un PTOM (pays et territoire d’outre-mer), donc un territoire tiers au sens du droit européen. Votre organisation est pourtant soumise à des règles équivalentes : la loi Informatique et Libertés, réécrite pour intégrer le RGPD, s’y applique depuis le 1er juin 2019, avec la CNIL comme autorité de contrôle. La vraie question n’est donc pas de savoir si vous êtes concerné, mais ce que vous devez mettre en place.

Pourquoi dit-on que le RGPD « s’applique » en Nouvelle-Calédonie ?

C’est un raccourci qui mérite une explication. Juridiquement, ce qui s’applique ici, c’est la loi n° 78-17 du 6 janvier 1978, dite Informatique et Libertés : son article 125 prévoit expressément qu’elle est applicable en Nouvelle-Calédonie. Or cette loi a été réécrite pour reprendre les règles de fond du RGPD : le régime local est équivalent à celui de la métropole.

L’extension résulte de l’ordonnance n° 2018-1125 du 12 décembre 2018 et de son décret d’application n° 2019-536 du 29 mai 2019, entrés en vigueur le 1er juin 2019. Selon la CNIL, l’outre-mer et la métropole sont depuis soumis au même régime juridique, et elle y exerce ses pouvoirs de contrôle et de sanction.

Autre changement notable : les formalités préalables auprès de la CNIL (déclarations, autorisations) ont disparu à la même date, sauf exceptions, notamment en santé. La logique est désormais celle de la responsabilité : vous devez pouvoir démontrer votre conformité à tout moment.

Quelles obligations concrètes pour votre organisation ?

Pour une entreprise, une institution ou une collectivité calédonienne, les principales obligations sont :

  • Tenir un registre des activités de traitement (article 30 du RGPD), quelle que soit la taille de la structure. À ce jour, la dérogation prévue pour les organismes de moins de 250 salariés est très limitée : paye, gestion des clients, vidéosurveillance ou données sensibles doivent de toute façon y figurer.
  • Collecter le minimum de données nécessaire et informer les personnes. La Chambre de métiers et de l’artisanat de Nouvelle-Calédonie le résume bien : ne collecter que les données réellement utiles, et permettre aux personnes d’exercer leurs droits (accès, rectification, effacement, portabilité).
  • Sécuriser les données avec des mesures proportionnées aux risques : gestion des accès, sauvegardes, mises à jour.
  • Notifier à la CNIL les violations de données présentant un risque pour les personnes, au plus tard 72 heures après en avoir pris connaissance, via le téléservice notifications.cnil.fr, et documenter en interne toute violation.
  • Réaliser une analyse d’impact (AIPD) pour les traitements à risque élevé : la tolérance accordée un temps par la CNIL aux organismes d’outre-mer est expirée.
  • Désigner un délégué à la protection des données (DPO) lorsque c’est obligatoire : c’est le cas de toutes les autorités et de tous les organismes publics, quelle que soit leur taille, donc des collectivités et établissements publics du territoire, ainsi que des organismes dont l’activité de base implique un suivi régulier et systématique à grande échelle ou un traitement à grande échelle de données sensibles.

Vendez-vous en ligne vers la métropole ? Le RGPD s’applique alors directement

C’est le point le moins connu, et souvent le plus important pour les entreprises locales. En vertu de son article 3.2, le RGPD s’applique directement à une entreprise sans établissement dans l’UE dès lors qu’elle offre des biens ou des services, même gratuits, à des personnes se trouvant dans l’Union, ou qu’elle suit leur comportement. Le critère est le ciblage manifeste du marché européen (langue, monnaie d’un État membre, livraison dans l’UE) et la localisation des personnes, pas leur nationalité.

Un site marchand calédonien qui livre en métropole cible des personnes situées dans l’Union : il relève alors directement du RGPD, en plus du cadre local. À l’inverse, les flux de données de la métropole vers la Nouvelle-Calédonie soulèvent une question encore discutée par les juristes, faute de décision d’adéquation de la Commission européenne. Les sous-traitants calédoniens de donneurs d’ordre métropolitains ont intérêt à clarifier ce point dans leurs contrats.

Que risque une organisation calédonienne en cas de manquement ?

La CNIL dispose ici des mêmes pouvoirs qu’en métropole. Son arsenal, détaillé sur cnil.fr, comprend la mise en demeure, l’injonction avec astreinte pouvant atteindre 100 000 euros par jour de retard, la limitation ou l’interdiction d’un traitement, et des amendes administratives allant jusqu’à 10 millions d’euros (environ 1,2 milliard de XPF) ou 2 % du chiffre d’affaires annuel mondial, portées à 20 millions d’euros (environ 2,4 milliards de XPF) ou 4 % pour les manquements les plus graves.

Pour une PME, le risque le plus réaliste est ailleurs : depuis 2022, une procédure de sanction simplifiée traite les dossiers peu complexes, avec une amende plafonnée à 20 000 euros (environ 2,4 millions de XPF) et une astreinte limitée à 100 euros par jour (environ 12 000 XPF). Ces décisions ne sont jamais rendues publiques : on n’en entend pas parler, mais il serait imprudent d’en conclure que le risque n’existe pas.

Par où commencer, sans tout bouleverser ?

Quatre premiers pas posent des bases solides :

  1. Cartographier vos traitements : quelles données, pour quoi faire, stockées où, accessibles à qui.
  2. Créer votre registre à partir du modèle proposé par la CNIL et supprimer les données inutiles ou obsolètes.
  3. Mettre à jour l’information des personnes : formulaires, site web, contrats de travail.
  4. Préparer une procédure simple en cas de violation de données (qui alerte qui, dans quel délai) et vérifier vos sauvegardes.

La CMA-NC propose localement des ateliers de sensibilisation gratuits, un bon point de départ pour les petites structures.

En résumé : le RGPD ne s’applique pas directement en Nouvelle-Calédonie, mais des règles équivalentes s’y imposent depuis le 1er juin 2019, sous le contrôle de la CNIL. Pour évaluer où en est votre organisation et prioriser les actions, découvrez mon accompagnement à la conformité RGPD.

Questions fréquentes

Le RGPD est-il obligatoire pour une entreprise de Nouvelle-Calédonie ?

Le règlement européen ne s'applique pas directement au territoire, qui est un PTOM vis-à-vis de l'UE. En revanche, la loi Informatique et Libertés, qui reprend les règles du RGPD, s'y applique depuis le 1er juin 2019 sous le contrôle de la CNIL. Toute organisation calédonienne qui traite des données personnelles, clients, salariés ou usagers, est donc concernée.

La CNIL peut-elle contrôler et sanctionner une entreprise calédonienne ?

Oui. Depuis le 1er juin 2019, la CNIL est l'autorité compétente en Nouvelle-Calédonie, avec les mêmes pouvoirs qu'en métropole : mise en demeure, injonction sous astreinte et amendes administratives. Une procédure simplifiée, avec amende plafonnée à 20 000 euros (environ 2,4 millions de XPF) et jamais rendue publique, cible les dossiers peu complexes, un profil qui correspond à beaucoup de PME locales.

Une mairie ou une collectivité calédonienne doit-elle désigner un DPO ?

Oui. Selon la CNIL, la désignation d'un délégué à la protection des données est obligatoire pour toutes les autorités et tous les organismes publics, quelle que soit leur taille, ce qui inclut les collectivités et établissements publics du territoire. Le DPO peut être interne, mutualisé entre plusieurs structures ou externalisé auprès d'un prestataire.

Mon site e-commerce calédonien livre en métropole : suis-je soumis directement au RGPD ?

Très probablement. L'article 3.2 du RGPD soumet directement au règlement toute entreprise, même sans établissement dans l'UE, qui offre des biens ou services à des personnes se trouvant dans l'Union européenne, et la métropole en fait partie. Le critère décisif est le ciblage du marché européen (livraison, monnaie, langue) et la localisation des clients, pas leur nationalité.

Me contacter