L’article 3 du RGPD adresse le Champ d’application territorial du règlement en indiquant en son paragraphe 1 « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »
Le Considérant (22) explique que tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l’Union.
En conséquence ces deux dispositions semblent indiquer que le RGPD s’applique a un responsable de traitement ou un sous-traitant ayant un « établissement » dans le territoire de l’Union, même le traitement implique des données personnelles d’individus localisés en dehors de l’Union et / ou des données traitées par un responsable de traitement localisé en dehors de l’Union.
En réalité l’article 3, paragraphe 1, s’applique :
(i) aux fournisseurs localisés en dehors de l’Union mais dont les services sont utilisés par un responsable du traitement ou un sous-traitant localisé sur le territoire de l’Union pour traiter les données personnelles, ou
(ii) aux données personnelles traitées par un sous-traitant localisé sur le territoire de l’Union pour un responsable du traitement localisé en dehors de l’Union mais pour le traitement des données à caractère personnel des personnes concernées qui se trouvent sur le territoire de l’Union.
Cette analyse est confirmée par l’article 3(2) du RGPD qui dispose « le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »
Ainsi, par exemple, un responsable du traitement établi au Brésil utilisant le service d’un sous-traitant localisé sur le territoire de l’Union pour traiter des données à caractère personnel de personnes se trouvant sur le territoire du Brésil n’est pas soumis au RGPD.
J’ouvre ici une parenthèse en ce qui concerne l’article 3(2) du RGPD afin de confirmer que dans son application le RGPD ignore la qualité de résidence ou de domicile, l’élément déterminant étant que le comportement est lieu sur le territoire de l’Union. A titre d’exemple, un touriste chinois qui visite Paris pendant une semaine recevra la protection du RGPD en ce qui concerne le traitement de ses données personnelles pendant son séjour dans la capitale.
Discussion en cours :
Bonjour merci pour votre analyse.
Dans le cas que vous citez (exemple Brésil), pourquoi l’article 3.1 ne s’appliquerait pas ? Les données dont traitées dans l’Union donc les données brésiliennes associées sont sujettes à RGDP.
L’article 3 donne le sentiment d’avoir été écrit de la façon suivante :
3.1 : toute donnée traitée dans l’Union d’où qu’elle vienne
3.2 : toute donnée d’une personne qui se trouve dans l’Union
Merci de vos lumières.