Village de la Justice www.village-justice.com
L’applicabilité territoriale du RGPD. Par Jean-Pierre Mistral, Director Global Data Privacy.
Parution : lundi 12 février 2018
Adresse de l'article original :
https://www.village-justice.com/articles/applicabilite-territoriale-rgpd,27186.html
Reproduction interdite sans autorisation de l'auteur.

L’objet de cet article est d’apporter un éclaircissement important sur l’applicabilité territoriale du règlement n° 2016/679, dit règlement général sur la protection des données (RGPD).
J’ai pu lire des articles qui affirment que le RGPD s’applique à toutes les entreprises qui utilisent un système qui traite des données personnelles sur le territoire de l’UE ou bien qu’en vertu de l’article 3(1) du RGPD il faudra déterminer qu’elles sont les termes du RGPD qui s’appliqueront dans le cas où un sous-traitant localisé sur le territoire de l’Union traite des données personnelles de personnes localisées en dehors de l’Union.

Si l’applicabilité du RGPD est aussi large les conséquences commerciales et économiques ne sont pas négligeables.
Alors la question qu’il convient de se poser : comment faut-il appréhender l’applicabilité territoriale du RGPD ?

L’article 3 du RGPD adresse le Champ d’application territorial du règlement en indiquant en son paragraphe 1 « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

Le Considérant (22) explique que tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l’Union.

En conséquence ces deux dispositions semblent indiquer que le RGPD s’applique a un responsable de traitement ou un sous-traitant ayant un « établissement » dans le territoire de l’Union, même le traitement implique des données personnelles d’individus localisés en dehors de l’Union et / ou des données traitées par un responsable de traitement localisé en dehors de l’Union.

En réalité l’article 3, paragraphe 1, s’applique :

(i) aux fournisseurs localisés en dehors de l’Union mais dont les services sont utilisés par un responsable du traitement ou un sous-traitant localisé sur le territoire de l’Union pour traiter les données personnelles, ou

(ii) aux données personnelles traitées par un sous-traitant localisé sur le territoire de l’Union pour un responsable du traitement localisé en dehors de l’Union mais pour le traitement des données à caractère personnel des personnes concernées qui se trouvent sur le territoire de l’Union.

Cette analyse est confirmée par l’article 3(2) du RGPD qui dispose « le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »

Ainsi, par exemple, un responsable du traitement établi au Brésil utilisant le service d’un sous-traitant localisé sur le territoire de l’Union pour traiter des données à caractère personnel de personnes se trouvant sur le territoire du Brésil n’est pas soumis au RGPD.

J’ouvre ici une parenthèse en ce qui concerne l’article 3(2) du RGPD afin de confirmer que dans son application le RGPD ignore la qualité de résidence ou de domicile, l’élément déterminant étant que le comportement est lieu sur le territoire de l’Union. A titre d’exemple, un touriste chinois qui visite Paris pendant une semaine recevra la protection du RGPD en ce qui concerne le traitement de ses données personnelles pendant son séjour dans la capitale.

Jean-Pierre Mistral Gemalto VP & Director Global Data Privacy
Comentaires: