arrow_back Retour à tous les articles

Article 3
Champ d'application territorial

Textes
officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 3 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 3 keyboard_arrow_up

(22) Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l'Union. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.

(23) Afin de garantir qu'une personne physique ne soit pas exclue de la protection à laquelle elle a droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union.

(24) Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.

(25) Lorsque le droit d'un État membre s'applique en vertu du droit international public, le présent règlement devrait s'appliquer également à un responsable du traitement qui n'est pas établi dans l'Union, par exemple qui se trouve auprès de la représentation diplomatique ou consulaire d'un État membre.

(26) Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

Afficher les considérants de la Directive 95/46 liés à l'article 3 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 3 keyboard_arrow_up

(18) considérant qu'il est nécessaire, afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l'un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l'autorité du responsable du traitement établi dans un État membre à l'application de la législation de cet État;

(19) considérant que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable; que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard; que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux;

(20) considérant que l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l'État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés;

(21) considérant que la présente directive ne préjuge pas des règles de territorialité applicables en matière de droit pénal;

Guidelines

Ici viendront les guidelines

Groupe 29

Guidelines for identifying a controller or processor’s lead supervisory authority (5 april 2017)

(Endorsed by the EDPB)

Read the Guidelines 

Jurisprudence de la CJUE

Affaire C-131/12 (13 mai 2014)

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu 

Affaire C-230/14 (1 octobre 2015)

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

Affaire C-191/15 (28 juillet 2016)

1)      Le règlement (CE) no 593/2008 du Parlement européen et du Conseil, du 17 juin 2008, sur la loi applicable aux obligations contractuelles (Rome I) et le règlement (CE) no 864/2007 du Parlement européen et du Conseil, du 11 juillet 2007, sur la loi applicable aux obligations non contractuelles (« Rome II »), doivent être interprétés en ce sens que, sans préjudice de l’article 1er, paragraphe 3, de chacun de ces règlements, la loi applicable à une action en cessation au sens de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs, dirigée contre l’utilisation de clauses contractuelles prétendument illicites par une entreprise établie dans un État membre qui conclut des contrats par voie de commerce électronique avec des consommateurs résidant dans d’autres États membres et, notamment, dans l’État du for, doit être déterminée conformément à l’article 6, paragraphe 1, du règlement no 864/2007, alors que la loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement no 593/2008, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective.

2)      L’article 3, paragraphe 1, de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doit être interprété en ce sens qu’une clause des conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur, est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, en vertu de l’article 6, paragraphe 2, du règlement no 593/2008, de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause, ce qu’il appartient à la juridiction nationale de vérifier à la lumière de toutes les circonstances pertinentes.

3)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre. Il appartient à la juridiction nationale d’apprécier si tel est le cas.

Conclusions de l'Avocat général

Arrêt rendu

C-210/16 (5 juin 2018)

  1 ) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

2 )  L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Conclusions de l'avocat général

Arrêt rendu

Autorité nationale


Belgique

Recommandation relative à la désignation de l’autorité chef de file dans le cadre de l’application du Règlement Général sur la Protection des Données n° 04/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Le GDPR

Le premier critère d’application territorial est maintenu à l’article 3 du Règlement : le Règlement en tant que tel est applicable au traitement effectué dans le cadre des activités d’un établissement du responsable sur le territoire de l’Union mais il vise aussi –et c’est neuf- celui du sous-traitant. Cette précision permettra d’éviter toute discussion sur la loi applicable à celui-ci. La version finale précise que ce critère s’apprécie, sans tenir du fait que le traitement prenne place dans l’Union ou non.

Le responsable du traitement est défini à l’article 4, 7) du Règlement comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre ».

Bien entendu ici, le critère vise à déterminer l’application du Règlement lui-même et plus une loi nationale d’un État membre comme dans la Directive.

D’autre part, par la définition du « principal établissement » (cfr art. 4, 16), le Règlement cherche une solution afin de localiser dans l’Union l’établissement à prendre en considération, qu’il s’agisse d’un responsable ou d’un sous-traitant. L’utilité de ces définitions est surtout d’identifier l’autorité de contrôle compétente, c’est pourquoi nous renvoyons au commentaire de l’article 56.

Le Règlement instaure par ailleurs une nouvelle règle d’application extraterritoriale du droit européen afin d’éviter son contournement par un responsable ou un sous-traitant dont les activités ou l’établissement se situeraient hors du territoire de l’UE.

Ainsi, le Règlement sera applicable dès l’instant où :

- les activités de traitement sont liées à l’offre de biens ou de services à des personnes physiques situées sur le territoire de l’Union, indépendamment du fait qu’un paiement de la personne concernée est exigé ou non. Cette précision signifie que le responsable ne pourra pas objecter la gratuité de l’offre des biens ou des services pour échapper à l’application du Règlement.

Pour déterminer si ce critère est rencontré, il faut examiner si le responsable envisage de faire affaire avec des personnes résidant dans l’Union. Le considérant 23 précise également que la simple accessibilité du site internet du responsable ou d’un intermédiaire dans l’Union ne suffit pas à établir l’intention du responsable d’offrir des biens ou des services à des personnes situées sur le territoire de l’Union. Il faut cependant tenir compte des facteurs suivants : l’utilisation d’une langue ou d’une monnaie, généralement utilisée dans l’Union ; la possibilité commander des biens et des services dans cette autre langue ; la mention de clients ou d'utilisateurs résidant dans l'Union (cfr. le considérant 20).

- les activités de traitement sont liées à l’observation des comportements humains, pour autant que ces comportements interviennent au sein de l’Union. Selon le considérant 24, afin de déterminer si une activité de traitement peut être considérée comme "une observation" du comportement des personnes concernées, il y a lieu d'établir si ces personnes sont suivies sur Internet au moyen de techniques de traitement de données consistant à analyser le profil d'un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit.

Enfin, le Règlement maintient son application extraterritoriale dans les cas où une règle de droit international public du lieu d’établissement du responsable conduit à l’application du droit national d’un État membre. Comme le précise le considérant 25, cette hypothèse vise notamment les missions diplomatiques, ainsi que les postes consulaires d'un État membre.

La Directive

Le législateur de l’Union avait prévu un champ d’application territorial particulièrement large afin d’éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée (cfr. G29, avis 08/2010 du 16 décembre 2010 sur le droit applicable).

Le critère principal d’application du droit européen en matière de protection des données dépendait de la localisation du traitement sur le territoire de l’Union dans le cadre des activités d’un établissement du responsable du traitement.  Ce critère suppose donc la démonstration de deux éléments:

  • d’une part, le responsable du traitement doit avoir un établissement sur le territoire d’un État membre ce qui implique l'exercice effectif et réel d'une activité au moyen d'une installation stable, sans distinction de la forme juridique de l’établissement, quelle que soit la forme juridique de l’établissement (ex. d’une simple succursale ou d’une filiale ayant la personnalité juridique). La Cour de Justice de l’Union préconise une conception souple de la notion d’établissement qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée (Cf. CJUE, 1er octobre 2015, C-230/14, pt. 29) ;

  • D’autre part, le traitement doit être effectué dans le cadre des activités de cet établissement sur le territoire d’un État membre. La Cour de justice de l’Union précise qu’eu égard à l’objectif de la Directive d’assurer une protection efficace des libertés et droits des personnes physiques, l’expression « dans le cadre des activités d’un établissement » ne doit pas recevoir une interprétation restrictive. Selon la Cour de justice de l’Union, le traitement de données à caractère personnel ne doit pas être effectué «par» l’établissement concerné lui-même, mais uniquement qu’il le soit «dans le cadre des activités» de celui-ci (CJUE, arrêt du 13 mai 2014, Google Spain et Google, C-131/12, point 53).

La Directive contenait en outre deux critères d’application extraterritoriale du droit européen lorsque le responsable n’avait pas d’établissement sur le territoire de l’Union. En l’absence d’établissement du responsable dans l’Union, la Directive restait applicable :

- Lorsque le responsable recourait, à des fins de traitement, à des moyens qui sont localisés sur le territoire de l’Union, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union. La notion de moyen de traitement n’a malheureusement pas fait l’objet d’aucune définition légale, elle a donné lieu à de vastes débats jurisprudentiels et doctrinaux. À titre d’exemple, le Groupe Article 29 est d’avis que des cookies ou des barrières javascript constituent des moyens de traitement ; selon la CNIL l’utilisation de Google cars sur le territoire français constitue des moyens de traitement (CNIL, Délibération n° 2011-035 du 17 mars 2011)). Dans ce cas, le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre.

- lorsque la loi nationale du responsable du traitement s’appliquait, en vertu du droit international public. Cette hypothèse vise notamment les ambassades, qui doivent respecter le droit européen, malgré l’absence d’établissement dans l’Union.

Belgique

En droit belge, l’article 3bis retenait d’abord le premier critère d’application de la loi du 8 décembre 1992 comme l’établissement du responsable sur le territoire belge dans le cadre des activités duquel les données sont traitées. La loi du 8 décembre 1992 est également applicable si lesdites activités sont effectuées en un lieu où la loi belge s'applique en vertu du droit international public.

Transposant fidèlement la Directive, la loi du 8 décembre 1992 instaurait enfin un critère d’application extraterritorial lorsque le responsable situé hors de l’Union recourait à des moyens de traitement –autres que de simples transit- qui sont eux situés sur le territoire belge ; à regret, cette notion de « moyens de traitement » n’a fait l’objet d’aucune définition en droit belge. Les responsables établis hors de l’Union qui relevaient néanmoins de la loi du 8 décembre 1992 devaient désigner un responsable disposant d’un établissement sur le territoire belge.

France

Le législateur français a rendu la loi Informatique et Libertés applicable aux traitements dont le responsable est établi sur le territoire français. L’établissement sur le territoire français implique que le responsable y exerce une activité dans le cadre d’une installation, quelle que soit sa forme juridique (cfr. art. 5, I, 1°). A titre subsidiaire, le responsable établi hors de la France doit également se conformer à la loi Informatique et Libertés dès l’instant où il recourt à des « moyens de traitement » situés sur le territoire français (cfr. art. 5, I, 2°).

Concernant le recours à des « moyens de traitement » situés sur le territoire français, la CNIL avait, par exemple, considéré que les traitements effectués par Google inc. dans le cadre de son programme Google Earth relevaient de la loi Informatique et Libertés puisque le traitement recourait à des véhicules situés sur le territoire français collectant des données en partie personnelles.

Le législateur français obligeait enfin le responsable qui n’a pas d’établissement sur le territoire à désigner un représentant qui se substitue à lui dans l'accomplissement des obligations prévues par la loi Informatique et Libertés (art. 5, II.).

Difficultés probables

L’application extraterritoriale du Règlement était inévitable au vu de l’évolution des technologies et de la toute-puissance de certaines entreprises établies hors de l’Union, offrant des biens et services sur internet et donc ; le cas échéant, à destination d’un public présent sur le territoire européen, dont les données sont récoltées à l’occasion de l’offre et pourront ensuite être traitées hors UE. La Cour de Justice avait déjà admis le principe tout en devant pour se faire écarteler le critère de rattachement de l’établissement stable.

Cette application extraterritoriale conduit à la difficile problématique de l’exécution des décisions qui seraient obtenues à l’encontre d’un Responsable du traitement situé hors de l’Union, outre peut-être la fermeture de l’accès à son site quand cela est techniquement possible.

Le Règlement ne donne cependant pas de critère de rattachement des multiples lois nationales qui seront prises en vertu du Règlement (par exemple pour implémenter une exception à l’un ou l’autre principe de protection). Faudra-t-il reprendre l’ancien critère ou reviendra-t-il à chaque État membre d’appliquer son droit international privé pour le déterminer, ce qui ne pourra que poser difficultés ?

Règlement
1e 2e

Art. 3

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Proposition 1 close

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou b) à l’observation de leur comportement.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où la législation nationale d’un État membre s’applique en vertu du droit international public.

Proposition 2 close

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans

le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un

sous-traitant sur le territoire de l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives

à des personnes concernées ayant leur domicile sur le territoire de l'Union par un responsable

du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un

paiement soit exigé ou non desdites personnes concernées;

ou b) à l'observation de leur comportement, dans la mesure où celui-ci a lieu au sein de

l'Union européenne.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un

responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation

nationale d'un État membre s'applique en vertu du droit international public.

Directive close

Art. 4

1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actio

France

Art. 5

Modifié par la loi n°2004-801 du 6 août 2004

I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

 Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

Art. 5-1

Créé par la loi n°2018-493 du 20 juin 2018

Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.

Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne.

Ancienne loi
en France
close

Art. 5

I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

 

Belgique

Art. 3bis

 La présente loi est applicable au traitement de données à caractère personnel :

  1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s'applique en vertu du droit international public;

  2° lorsque le responsable du traitement n'est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.

  Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner un représentant établi sur le territoire belge, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK