Portée Territoriale du RGPD

Qui est habilité à faire valoir les droits des personnes concernées par le RGPD ? Et contre qui ? Cet article donne un bref aperçu de la portée territoriale du RGPD.

Le Règlement général sur la protection des données (Règlement (EU) 2016/679, GDPR) est une loi européenne qui est entrée en vigueur en 2016. Le RGPD est un règlement, qui s’applique généralement et directement à tous les états membres de l’UE (conformément à l’article 288 (2) TFEU). Contrairement aux directives, le RGPD a des effets sur tous les états membres sans qu’il soit nécessaire de la transposer en droit national. Celui ci est applicable à tous les états membres de l’UE depuis le 25 mai 2018.

Le RGPD assure l’harmonisation et l’égalité des normes de protection des données entre les états membres. Il leur permet également de s’écarter de certaines dispositions par le biais de clauses d’ouverture. Cela donne aux membres de l’UE leur propre marge de manœuvre réglementaire et la possibilité de concrétiser le RGPD en adaptant et en modifiant les dispositions à leur propre droit national.

La portée territoriale du RGPD est établie à l’article 3 du RGPD et a des effets non seulement territoriaux mais aussi extraterritoriaux. En outre, le RGPD prévoit des règles uniformes entre les entreprises situées en Europe et en dehors de l’Europe. Il est stipulé ce qui suit :

Ce principe couvre les données à caractère personnel qui sont traitées par les activités d’une branche du responsable du traitement ou du sous-traitant au sein de l’Union. Par exemple, le RGPD s’applique si une entreprise basée hors de l’Europe possède une succursale en Europe et traite des données. Un établissement est une présence fixe qui exerce une activité effective et réelle. Il ne suffit donc pas d’avoir une adresse de boîte aux lettres ou d’accéder au site web d’une entreprise située en dehors de l’UE. La structure juridique de l’établissement n’a pas d’importance.

Il couvre également le traitement des données personnes concernées qui ne se trouvent pas dans l’UE. Cela signifie que le RGPD est également applicable si un client vit en dehors de l’Union (et n’a éventuellement aucune relation avec l’UE) et que ses données sont traitées par une succursale dans l’Union.

Toutefois, l’application du RGPR s’étend également aux contrôleurs et aux transformateurs des pays non membres de l’UE (pays tiers). Ces sociétés doivent désigner un représentant dans l’UE.

Selon la loi du lieu d’exécution (lex loci solutionis), le RGPD s’applique si les données personnelles d’une personne concernée située dans l’UE sont délibérément traitées par une organisation située en dehors de l’Europe et que le traitement est lié à l’offre de biens ou d’un service. Il importe peu que ceux-ci soient payants ou gratuits (article 3(2)(a) GDPR), comme les modèles commerciaux financés par la publicité. L’offre doit cependant être “manifestement délibérée”. Par exemple, il ne suffit pas, que le site web d’une entreprise soit dans une certaine langue.

En outre, le RGPD n’est pas non plus applicable si les données sont passées ou traitées par un point dans l’Union sans le savoir de l’utilisateur (circulation des données).

La nationalité de la personne concernée ne doit pas être prise en compte, mais plutôt son lieu de résidence. Le traitement des données à caractère personnel n’est pas couvert par le RGPD si la personne concernée (citoyen de l’UE ou d’un pays tiers) n’a pas de résidence ou de domicile dans l’UE. Toutefois, les citoyens de pays tiers qui résident de manière permanente ou temporaire dans l’Union au moment du traitement sont également protégés. Si un citoyen de l’UE se trouve en dehors de l’Union pour une raison quelconque et que ses données personnelles sont ensuite traitées par un responsable du traitement ou un sous-traitant dans un pays tiers, le RGPD ne sera pas appliquée.

En plus, le RGPD est également applicable dans le cas d’une surveillance ciblée du comportement d’une personne concernée dans l’UE par un responsable du traitement ou un sous-traitant établi hors de l’UE. Cela s’applique, par exemple, à la surveillance des activités sur Internet à l’aide de cookies, d’empreintes digitales de navigateur, de plug-ins sociaux, de profilage, etc. La raison de la surveillance n’est pas pertinente.

Ce principe s’applique aux établissements qui fonctionnent sous le droit international sont soumis au droit des membres de l’Union, notamment les consulats ou les missions diplomatiques, les navires, les aéronefs, le traitement des données par les diplomates, etc.

Un changement du champ d’application territorial du RGPD n’est pas contractuellement possible, sauf si un État membre a la possibilité de concrétiser le RGPD par son propre droit national sur la base d’une clause d’ouverture. Dans ce cas, le droit national sera applicable.

---

• Paal/Pauly/Ernst DS-GVO Art. 3 Rn 1-21.
• Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht 1st edition 2019 | DSGVO Art. 3 Rn. 1-70.