📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 3 du RGPD : Champ d’application territorial

Sommaire

Introduction 

La protection des données personnelles est un enjeu central de la réglementation européenne. L’article 3 du règlement général sur la protection des données (RGPD) précise le champ d’application territorial du règlement. Il définit les situations dans lesquelles le RGPD s’applique, y compris au-delà des frontières de l’Union européenne. Dans cette page, nous explorerons en détail cet article clé du RGPD.

Schéma article 3 du RGPD : Champ d'application territorial

Explication de l’article 

L’objet de cet article est d’apporter un éclaircissement important sur l’applicabilité territoriale du règlement général sur la protection des données (RGPD).

Le champ d’application territorial du RGPD s’avère particulièrement vaste. Il ne se limite pas aux frontières géographiques de l’Union européenne : toute organisation, peu importe sa taille ou son secteur, est concernée dès lors qu’elle traite des données relatives à des personnes situées dans l’UE. 

Cela concerne à la fois les entreprises qui décident comment les données sont utilisées (responsables) et celles qui les traitent pour leur compte (sous-traitants). Cela inclut même certaines entreprises situées hors d’Europe, tant qu’elles proposent des produits ou services aux Européens.

Ainsi, une entreprise établie en dehors de l’UE peut être soumise aux respect des obligations du RGPD si elle cible le marché européen ou surveille le comportement de ses résidents. Cette règle impacte directement les flux de données et modifie en profondeur la gestion des transferts de données personnelles à l’échelle mondiale.

Quels sont les critères d’applicabilité territoriale ?

Pour déterminer si le RGPD s’applique à une entité, il faut examiner deux grands critères. 

Le premier : tout organisme public ou privé ayant une présence (siège, succursale ou filiale) dans l’Union européenne et traitant des données personnelles (collecte, suppression, modification…) dans ce cadre est automatiquement concerné. 

Le second : même sans implantation dans l’UE, une organisation entre dans le champ du RGPD si elle cible spécifiquement des résidents européens par la fourniture de biens, de services ou la surveillance de leurs comportements en ligne.

Cela impose donc aux sociétés étrangères une vigilance accrue lorsqu’elles collectent, stockent ou utilisent des données de personnes européennes (nom, prénom, identifiant…). 

Négliger cette dimension expose à des sanctions financières significatives et à une perte de confiance auprès des partenaires.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD 

  1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
  2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
  3. a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  4. b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
  5. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 3

Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France.

Les titres Ier et II de la présente loi s’appliquent notamment aux traitements de données à caractère personnel de personnes qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union européenne lorsque ces traitements sont liés au suivi du comportement de ces personnes au sein de l’Union européenne, notamment par la collecte de leurs données à caractère personnel en vue de leur rapprochement avec des données liées à leur activité en ligne.

Les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France.

Toutefois, lorsque est en cause un des traitements mentionnés au 2 de l’article 85 du même règlement, les règles nationales mentionnées au premier alinéa du II sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 4

Droit national applicable

  1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:
  2. a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;
  3. b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public;
  4. c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.
  5. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

Analyse des 3 textes qui précèdent 

Le RGPD détermine où et à qui il s’applique. Contrairement à l’ancienne Directive 95/46/CE, qui visait surtout à savoir quelle loi nationale s’applique, le RGPD précise que son champ d’application peut s’étendre même aux entreprises situées hors de l’Union européenne, si elles traitent les données de personnes dans l’UE ou proposent des services à ces personnes.

Critères principaux pour que le RGPD s’applique : 

  1. A un établissement dans l’UE (responsable du traitement ou sous-traitant), peu importe où le traitement a lieu.
  2. Offre des biens ou services à des personnes dans l’UE, même gratuitement. Pour savoir si l’entreprise cible l’UE, on regarde la langue utilisée, la monnaie, ou la possibilité de commander depuis l’UE.
  3. Observe ou suit le comportement des personnes dans l’UE, par exemple pour analyser ou prédire leurs habitudes ou préférences (profilage).

Il existe aussi un cas particulier : les missions diplomatiques et consulaires sont soumises au RGPD même si elles sont hors UE.

Champ d’application de la Directive 95/46/CE : 

  • l’entreprise avait un établissement dans l’UE, et le traitement de données était lié à cet établissement. La CJUE a précisé que ce lien devait être interprété largement (ex. Google Spain : le traitement n’a pas besoin d’être fait directement par l’établissement, il suffit qu’il soit lié à ses activités).
  • Pour les entreprises sans établissement, la Directive pouvait s’appliquer si elles utilisaient des moyens situés dans l’UE (serveurs, véhicules) ou si le droit international public imposait le respect de la loi européenne (ex. ambassades).

Application en France, la loi Informatique et Libertés reprend ces principes :

  • Elle s’applique aux responsables établis en France.
  • Elle s’applique aux responsables hors de France qui utilisent des moyens situés en France.
  • Les responsables hors de France doivent désigner un représentant en France pour se conformer à la loi.

Difficultés pratiques : 

L’application du RGPD aux entreprises hors de l’Union européenne est nécessaire aujourd’hui, car des entreprises étrangères offrent des services aux Européens et collectent leurs données. Mais il est parfois difficile de faire respecter le RGPD contre ces entreprises, sauf à bloquer l’accès à leur site. De plus, le règlement ne précise pas toujours quelle loi nationale s’applique si plusieurs États sont concernés, ce qui peut créer des problèmes.

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Jurisprudences 

Européennes 

C-131/12 (13 mai 2014) – Google Spain et Google

La Cour de justice de l’Union européenne (CJUE) rappelle que le RGPD s’applique dès qu’une entreprise, même située hors de l’Union, possède un établissement dans un État membre et que le traitement des données est lié aux activités de cet établissement. Dans l’affaire Google Spain, la filiale en Espagne assurait la promotion et la vente des espaces publicitaires du moteur de recherche. Comme ces activités sont directement liées au traitement des données, les critères sont remplis : le RGPD s’applique donc.

C-210/16 (5 juin 2018) – Wirtschaftsakademie Schleswig-Holstein

L’affaire Wirtschaftsakademie Schleswig-Holstein (CJUE, 5 juin 2018) parle du champ d’application territorial du RGPD.

Le problème était de savoir si une autorité allemande pouvait contrôler une entreprise en Allemagne qui utilisait Facebook pour promouvoir ses services. Même si Facebook Ireland est situé en Irlande, l’entreprise allemande gérait la publicité pour des personnes en Allemagne.

La CJUE a décidé que le RGPD s’applique quand le traitement des données est lié aux activités d’un établissement situé dans l’Union européenne. Ici, l’activité de la filiale allemande suffisait pour que l’autorité allemande puisse agir.

En résumé : même si les données sont traitées ailleurs, si une entreprise a un établissement dans l’UE et que ses activités concernent des personnes dans l’UE, le RGPD s’applique.

Recommandations 

CNIL 

Délibération SAN-2022-024 du 20 décembre 2022 – Affaire Lusha – CNIL

Lusha est une entreprise américaine qui collecte des emails et numéros de téléphone via LinkedIn et Salesforce, créant une base de données contenant aussi des contacts français. Elle n’a pas d’établissement dans l’Union européenne.

La CNIL devait décider si le RGPD s’appliquait à Lusha. Selon le règlement, il s’applique si l’entreprise :

  1. a un établissement dans l’UE,
  2. vend des biens ou services à des personnes dans l’UE, ou
  3. suit le comportement de personnes dans l’UE.

La CNIL a conclu que le RGPD ne s’applique pas à Lusha. Selon elle, la société ne fait que vérifier les coordonnées des contacts professionnels à partir des profils LinkedIn visités, sans chercher à analyser ou prédire le comportementde ces personnes.

Cette décision montre que le RGPD ne s’applique pas automatiquement aux entreprises hors UE ; il dépend des critères de ciblage précis définis par le règlement.

CEPD

Lignes directrices relatives au champ d’application territorial du RGPD – 3/2018 (12 novembre 2019)

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (14 février2023) (Anglais)

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Le RGPD peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne de A à Z.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.