raukoras a écrit :Moralité, même avec un TLD hors UE, une société basée au Delaware, et un serveur au Canada, si on enregistre des infos sur des personnes située sen France, c'est le droit français qui s'applique.
Rappel : il ne faut pas confondre l'action de collecte et celle de publication.
Une personne rassemble sur le territoire français des données sensibles ? La CNIL est compétente.
Des données sur les français sont publiées à l'étranger ? La CNIL peut juste brasser du vent.
C'est d'ailleurs pour cela que les lobbying américains (RIAA, MPAA) ne font pas aux États-Unis des procès contre des personnes en France : le caractère territorial prévaut.
Lire un bout de légifrance ne suffit pas à comprendre la loi, tout comme lire le Vidal ne suffit pas pour être pharmacien : il est nécessaire de pouvoir contextualiser les informations qui s'y trouvent.
Si la CNIL veut agir sur cette publication, elle a le choix entre 2 possibilités :
1) attaquer sur le sol français une société qui publie des données sur le sol canadien. Pas sur que la société ait envie de venir en France pour y risquer de prendre des coups, elle va donc juste l'ignorer.
2) la CNIL attaque sur le sol canadien, et il faut donc regarder... le droit canadien. Elle pourra invoquer que la loi française a été violée, mais ce qui comptera pour le juge est de déterminer si la société a violé le droit canadien.