Fil d'actualité Protection des données personnelles

Protection des données personnelles

Centre national de la recherche scientifique

Accueil du siteChamps d’applicationChamp d’application territorial

Champ d’application territorial

Analyse du RGPD par le PFPDT de la Suisse

Page publiée le 16 janvier 2018


Champ d’application territorial (art. 3 RGPD)

Par rapport à la Directive 95/46/CE, le champ d’application a été étendu et contient désormais le critère du ciblage du public du traitement des données (application extraterritoriale). Par ailleurs, cette extension est conforme à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), qui en 2014 s’était prononcée en faveur de l’application extraterritoriale de la Directive dans l’affaire Google Spain (C-131-12).

L’article 3 RGPD dispose ce qui suit :

1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous - traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

3. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.

L’application du RGPD dépend donc des deux critères de rattachement suivants :

1. Le critère de l’établissement (= lieu d’établissement du responsable du traitement ou d’un sous-traitant ; art.3 § 1) : le responsable de traitement ou le sous-traitant est établi dans l’Union européenne. Dans ce cas, le règlement s’applique d’office que le traitement ait lieu ou non dans l’Union. Dans l’affaire Weltimmo c. NAIH (C-230/14), la CJUE a interprété la notion d’établissement de manière relativement large et flexible.

2. Le critère du ciblage (= le lieu de situation des personnes concernées par le traitement ; art. 3 § 2) : le responsable du traitement est établi en dehors de l’Union européenne mais ses activités de traitement concernent l’offre de biens ou services à des personnes concernées qui se trouvent sur le territoire de l’Union soit les activités de traitement concernent la surveillance des comportements de ces personnes concernées pour autant que ce comportement a lieu au sein de l’Union européenne.

Dans ce dernier cas de suivi du comportement, le législateur européen fait principalement référence au suivi des internautes. En pratique, le RGPD devrait s’appliquer lorsqu’un résident européen, peu importe sa nationalité, sera directement visé par un traitement de données.

Dans le cadre de l’appréciation de la soumission au Règlement, il faudra toujours tenir compte du cas d’espèce et notamment de l’intention du responsable de traitement d’offrir des biens ou services à des personnes se trouvant sur le territoire de l’Union ou encore de surveiller le comportement de ces derniers.

Retour au sommaire

http://www.cil.cnrs.fr/CIL/spip.php...