Le Comité européen de la protection des données apporte des clarifications sur le champ d'application territorial du RGPD
En bref
Le contexte: Le Règlement général sur la protection des données a un large champ d’application territorial et peut s'appliquer à certaines entreprises situées en dehors de l'Union européenne.
Les faits: Le Comité européen de la protection des données a publié un projet de lignes directrices qui apporte des précisions importantes relatives à l'interprétation du RGPD et aux critères permettant de déterminer sa portée territoriale.
À venir: Les responsables de traitement et les sous-traitants situés hors de l'UE devraient revoir attentivement leur analyse de l’applicabilité du RGPD à la lumière de ce projet de lignes directrices. Si le RGPD s'applique à un responsable de traitement ou à un sous-traitant non établi dans l'UE, ceux-ci doivent désigner un représentant dans l'UE, qui pourra faire l'objet de sanctions initiées par les autorités de contrôle de l'UE.
Le Comité européen de la protection des données (CEPD), organe composé de représentants de de l’ensemble des autorités de contrôle nationales et du Contrôleur européen de la protection des données et chargé de veiller à l'application cohérente du Règlement général sur la protection des données (RGPD), a récemment publié un projet de lignes directrices (les « Lignes Directrices ») apportant des précisions importantes sur la portée territoriale du règlement. Bien qu’elles soient pour le moment à l'état de projet, les Lignes Directrices mettent en lumière un certain nombre de questions importantes et devraient être prises en compte par les entreprises lorsqu'elles évaluent l'impact du RGPD sur leurs activités de traitement des données.
Le RGPD a une large portée territoriale et s'applique sur la base de deux critères principaux : l’« établissement » d'un responsable du traitement ou d'un sous-traitant dans l'UE, ou des activités de « ciblage » menées par un responsable du traitement ou un sous-traitant non établi dans l'UE à l'égard de personnes concernées dans l'UE.
Critère de l'« établissement » - Contexte des activités de traitement
Le RGPD s'applique au traitement de données à caractère personnel effectué dans le cadre d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'UE, que le traitement ait lieu dans l'UE ou non.
A cet égard, les Lignes Directrices confirment une interprétation large de la notion d'« établissement » au sens de l'article 3 du RGPD. En particulier, le CEPD précise que (i) il n'est pas nécessaire qu'une entreprise soit constituée dans l'UE pour être considérée comme ayant un établissement dans l'UE et (ii) le critère principal consiste à déterminer s'il existe une activité réelle et effective exercée dans le cadre de dispositifs stables. Par exemple, la présence stable dans l'UE d'un seul salarié ou d'un agent d'une entité située hors de l’UE pourrait suffire à considérer que cette entité a un établissement dans l'UE. Le CEPD rappelle également que le RGPD s'applique aux traitements effectués dans le cadre des activités de l'établissement dans l'UE, et ce que le traitement proprement dit soit effectué par cet établissement lui-même, ou non. En particulier, l'application du RGPD n'exige pas que le traitement soit effectué dans l'UE.
Mais surtout, le CEPD précise que le critère de l’« établissement » doit être appliqué séparément à chaque responsable du traitement et à chaque sous-traitant. Cette clarification est d'autant plus importante qu'elle implique qu'un responsable du traitement établi en dehors de l'UE ne sera pas soumis au RGPD du seul fait qu'il utilise un sous-traitant établi dans l'UE. Inversement, un sous-traitant établi en dehors de l'UE et agissant pour le compte d'un client établi dans l'UE ne sera pas soumis au RGPD du seul fait que son client est établi dans l'UE - cependant, ce sous-traitant sera en pratique lié par un certain nombre d'obligations contractuelles imposées par le responsable du traitement dans le cadre de sa propre conformité avec le RGPD.
Cette approche pragmatique du CEPD sera un soulagement tant pour les entreprises situées hors de l’UE mais utilisant des prestataires de services établis dans l'UE, que pour les prestataires de services non établis dans l'UE mais agissant pour des clients européens. En effet, cette approche implique que ces entreprises ne seront pas systématiquement soumises au RGPD.
Critère du « ciblage »- Offre de biens et de services et Suivi du comportement
Outre le critère de l’« établissement », l'application du RGPD aux responsables du traitement et aux sous-traitants est également déclenchée lorsque le critère du « ciblage » s'applique, c'est-à-dire lorsque le traitement de données à caractère personnel concerne (i) l'offre de produits ou de services aux personnes concernées dans l'UE ou (ii) le suivi du comportement dans l'UE de ces personnes.
Dans ce contexte, les Lignes Directrices soulignent que l'exigence selon laquelle la personne concernée doit être située dans l'UE doit être évaluée au moment où l'offre ou le suivi ont lieu – quelle que soit la durée de l'offre ou du suivi. Un exemple typique serait celui d’une application mobile destinée au marché américain, mais qui peut être téléchargée incidemment par un résident américain lors d'un voyage dans l'UE : le RGPD ne s'appliquera pas puisque l'offre n'était pas destinée aux personnes concernées dans l'UE.
En ce qui concerne le suivi du comportement des personnes concernées dans l'UE, le CEPD précise que ce suivi nécessite que le responsable du traitement poursuive une finalité spécifique de collecte et de réutilisation ultérieure des données relatives au comportement d'une personne concernée à des fins d'analyse du comportement ou de profilage.
Rôle et obligations du représentant des responsables du traitement ou des sous-traitants non établis dans l'UE
Pour les responsables de traitement et les sous-traitants qui ne sont pas établis dans l'UE mais qui sont néanmoins soumis au RGPD en raison du critère du « ciblage », le règlement prévoit qu'ils doivent désigner un représentant dans l'UE. Les autorités de contrôle et les personnes concernées peuvent s'adresser à ce représentant, au nom du responsable du traitement ou du sous-traitant représenté, pour toutes les questions relatives à la conformité avec le RGPD.
En ce qui concerne la désignation du représentant, le CEPD précise que celle-ci doit être faite par écrit et que le représentant peut être un particulier ou un organisme. Le représentant peut être désigné sur la base d'un contrat de prestation de services, mais le représentant ne devrait pas être le délégué à la protection des données. Une fois nommé, le représentant devrait être clairement mentionné dans les notices d’information relatives à la protection des données qui sont fournies aux personnes concernées. Toutefois, selon les Lignes Directrices, il n'est pas nécessaire de notifier la désignation d'un représentant à une autorité de contrôle.
Les Lignes Directrices précisent en outre que les responsabilités du représentant doivent au moins inclure (i) l’obligation de permettre la communication entre les personnes concernées et le responsable du traitement ou le sous-traitant, (ii) la tenue d'un registre des activités de traitement, conjointement avec le responsable du traitement ou le sous-traitant, et (iii) l’obligation de permettre tout échange avec une autorité de contrôle.
Enfin et surtout, le CEPD indique clairement que les autorités de contrôle peuvent prendre des mesures coercitives à l'encontre d'un représentant et du responsable du traitement ou du sous-traitant concerné, y compris des amendes et des sanctions administratives, et que le représentant est susceptible de voir sa responsabilité engagée. En outre, le manquement par un responsable de traitement ou un sous-traitant établi en dehors de l'UE et soumis au RGPD à son obligation de désigner un représentant constituerait un manquement au RGPD susceptible de donner lieu à une amende administrative.
Les Lignes Directrices sont actuellement à l'état d'ébauche et font l'objet d'une consultation publique. Il serait souhaitable que cette période de consultation permette au CEPD d'apporter des éclaircissements sur d’autres questions relatives à la portée du RGPD qui restent actuellement ouvertes. Par exemple, dans quelle mesure les sous-traitants établis dans l'UE doivent-ils respecter les restrictions applicables aux transferts de données dans le cas d'un transfert vers un responsable du traitement situé hors de l’UE? Et le critère du « ciblage » s'applique-t-il également lorsque le traitement de données à caractère personnel concerne une offre de biens et de services dans un contexte inter-entreprises ?
Quoi qu'il en soit, les Lignes Directrices fournissent déjà des éclaircissements importants dont les entreprises devraient tenir compte pour peaufiner leur programme de conformité au RGPD et ajuster leur stratégie en matière de protection des données à caractère personnel.
A retenir
-
L'application territoriale du RGPD sur la base du critère de l'« établissement » devrait être évaluée séparément pour les responsables de traitement et pour les sous-traitants.
-
L'application territoriale du RGPD sur la base du critère du « ciblage » nécessite d'évaluer l'offre de produits/services lorsqu'une telle offre est faite, et/ou d'évaluer l'intention de réutiliser ultérieurement les données personnelles à des fins d'analyse comportementale ou de profilage.
-
Les responsables de traitement et les sous-traitants non établis dans l'UE et soumis au RGPD doivent désigner un représentant de l'UE qui sera soumis à la supervision et à la réglementation européennes.
Lawyer Contacts
For further information, please contact your principal Firm representative or one of the lawyers listed below. General email messages may be sent using our "Contact Us" form, which can be found at www.jonesday.com/contactus/.
Olivier Haas
Paris
+33.1.56.59.38.84
ohaas@jonesday.com
Undine von Diemar
Munich
+49.89.20.60.42.200
uvondiemar@jonesday.com
Jonathon Little
London
+44.20.7039.5224
jrlittle@jonesday.com
Jörg Hladjk
Brussels
+32.2.645.15.30
jhladjk@jonesday.com
Cette publication de Jones Day ne constitue pas un conseil ou une assistance juridique sur des faits ou circonstances particuliers. Le contenu des publications est destiné uniquement à des fins d'information générale et ne peut en aucun cas être reproduit ou mentionné dans touté autre publication ou procédure sans l'accord écrit et préalable du cabinet Jones Day ; cet accord pouvant être accordé ou retiré à la discrétion du cabinet Jones Day. Tant l'envoi que la réception de cette publication ne saurait créer de relations entre le cabinet Jones Day et le destinataire de ladite publication.