arrow_back Retour à tous les articles

Article 3
Champ d'application territorial

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 3 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 3 keyboard_arrow_up

(22) Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l'Union. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.

(23) Afin de garantir qu'une personne physique ne soit pas exclue de la protection à laquelle elle a droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union.

(24) Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.

(25) Lorsque le droit d'un État membre s'applique en vertu du droit international public, le présent règlement devrait s'appliquer également à un responsable du traitement qui n'est pas établi dans l'Union, par exemple qui se trouve auprès de la représentation diplomatique ou consulaire d'un État membre.

(26) Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

Afficher les considérants de la Directive 95/46 liés à l'article 3 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 3 keyboard_arrow_up

(18) considérant qu'il est nécessaire, afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l'un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l'autorité du responsable du traitement établi dans un État membre à l'application de la législation de cet État;

(19) considérant que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable; que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard; que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux;

(20) considérant que l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l'État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés;

(21) considérant que la présente directive ne préjuge pas des règles de territorialité applicables en matière de droit pénal;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Le législateur de l’Union avait prévu un champ d’application territorial particulièrement large afin d’éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée (cfr. G29, avis 08/2010 du 16 décembre 2010 sur le droit applicable).

Le critère principal d’application du droit européen en matière de protection des données dépendait de la localisation du traitement sur le territoire de l’Union dans le cadre des activités d’un établissement du responsable du traitement.  Ce critère suppose donc la démonstration de deux éléments:

  • d’une part, le responsable du traitement doit avoir un établissement sur le territoire d’un État membre ce qui implique l'exercice effectif et réel d'une activité au moyen d'une installation stable, sans distinction de la forme juridique de l’établissement, quelle que soit la forme juridique de l’établissement (ex. d’une simple succursale ou d’une filiale ayant la personnalité juridique). La Cour de Justice de l’Union préconise une conception souple de la notion d’établissement qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée (Cf. CJUE, 1er octobre 2015, C-230/14, pt. 29) ;

  • D’autre part, le traitement doit être effectué dans le cadre des activités de cet établissement sur le territoire d’un État membre. La Cour de justice de l’Union précise qu’eu égard à l’objectif de la Directive d’assurer une protection efficace des libertés et droits des personnes physiques, l’expression « dans le cadre des activités d’un établissement » ne doit pas recevoir une interprétation restrictive. Selon la Cour de justice de l’Union, le traitement de données à caractère personnel ne doit pas être effectué «par» l’établissement concerné lui-même, mais uniquement qu’il le soit «dans le cadre des activités» de celui-ci (CJUE, arrêt du 13 mai 2014, Google Spain et Google, C-131/12, point 53).

La Directive contenait en outre deux critères d’application extraterritoriale du droit européen lorsque le responsable n’avait pas d’établissement sur le territoire de l’Union. En l’absence d’établissement du responsable dans l’Union, la Directive restait applicable :

- Lorsque le responsable recourait, à des fins de traitement, à des moyens qui sont localisés sur le territoire de l’Union, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union. La notion de moyen de traitement n’a malheureusement pas fait l’objet d’aucune définition légale, elle a donné lieu à de vastes débats jurisprudentiels et doctrinaux. À titre d’exemple, le Groupe Article 29 est d’avis que des cookies ou des barrières javascript constituent des moyens de traitement ; selon la CNIL l’utilisation de Google cars sur le territoire français constitue des moyens de traitement (CNIL, Délibération n° 2011-035 du 17 mars 2011)). Dans ce cas, le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre.

- lorsque la loi nationale du responsable du traitement s’appliquait, en vertu du droit international public. Cette hypothèse vise notamment les ambassades, qui doivent respecter le droit européen, malgré l’absence d’établissement dans l’Union.

Belgique

En droit belge, l’article 3bis retenait d’abord le premier critère d’application de la loi du 8 décembre 1992 comme l’établissement du responsable sur le territoire belge dans le cadre des activités duquel les données sont traitées. La loi du 8 décembre 1992 est également applicable si lesdites activités sont effectuées en un lieu où la loi belge s'applique en vertu du droit international public.

Transposant fidèlement la Directive, la loi du 8 décembre 1992 instaurait enfin un critère d’application extraterritorial lorsque le responsable situé hors de l’Union recourait à des moyens de traitement –autres que de simples transit- qui sont eux situés sur le territoire belge ; à regret, cette notion de « moyens de traitement » n’a fait l’objet d’aucune définition en droit belge. Les responsables établis hors de l’Union qui relevaient néanmoins de la loi du 8 décembre 1992 devaient désigner un responsable disposant d’un établissement sur le territoire belge.

France

Le législateur français a rendu la loi Informatique et Libertés applicable aux traitements dont le responsable est établi sur le territoire français. L’établissement sur le territoire français implique que le responsable y exerce une activité dans le cadre d’une installation, quelle que soit sa forme juridique (cfr. art. 5, I, 1°). A titre subsidiaire, le responsable établi hors de la France doit également se conformer à la loi Informatique et Libertés dès l’instant où il recourt à des « moyens de traitement » situés sur le territoire français (cfr. art. 5, I, 2°).

Concernant le recours à des « moyens de traitement » situés sur le territoire français, la CNIL avait, par exemple, considéré que les traitements effectués par Google inc. dans le cadre de son programme Google Earth relevaient de la loi Informatique et Libertés puisque le traitement recourait à des véhicules situés sur le territoire français collectant des données en partie personnelles.

Le législateur français obligeait enfin le responsable qui n’a pas d’établissement sur le territoire à désigner un représentant qui se substitue à lui dans l'accomplissement des obligations prévues par la loi Informatique et Libertés (art. 5, II.).

Où va-t-on ?

Le premier critère d’application territorial est maintenu à l’article 3 du Règlement : le Règlement en tant que tel est applicable au traitement effectué dans le cadre des activités d’un établissement du responsable sur le territoire de l’Union mais il vise aussi –et c’est neuf- celui du sous-traitant. Cette précision permettra d’éviter toute discussion sur la loi applicable à celui-ci. La version finale précise que ce critère s’apprécie, sans tenir du fait que le traitement prenne place dans l’Union ou non.

Le responsable du traitement est défini à l’article 4, 7) du Règlement comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre ».

Bien entendu ici, le critère vise à déterminer l’application du Règlement lui-même et plus une loi nationale d’un État membre comme dans la Directive.

D’autre part, par la définition du « principal établissement » (cfr art. 4, 16), le Règlement cherche une solution afin de localiser dans l’Union l’établissement à prendre en considération, qu’il s’agisse d’un responsable ou d’un sous-traitant. L’utilité de ces définitions est surtout d’identifier l’autorité de contrôle compétente, c’est pourquoi nous renvoyons au commentaire de l’article 56.

Le Règlement instaure par ailleurs une nouvelle règle d’application extraterritoriale du droit européen afin d’éviter son contournement par un responsable ou un sous-traitant dont les activités ou l’établissement se situeraient hors du territoire de l’UE.

Ainsi, le Règlement sera applicable dès l’instant où :

- les activités de traitement sont liées à l’offre de biens ou de services à des personnes physiques situées sur le territoire de l’Union, indépendamment du fait qu’un paiement de la personne concernée est exigé ou non. Cette précision signifie que le responsable ne pourra pas objecter la gratuité de l’offre des biens ou des services pour échapper à l’application du Règlement.

Pour déterminer si ce critère est rencontré, il faut examiner si le responsable envisage de faire affaire avec des personnes résidant dans l’Union. Le considérant 23 précise également que la simple accessibilité du site internet du responsable ou d’un intermédiaire dans l’Union ne suffit pas à établir l’intention du responsable d’offrir des biens ou des services à des personnes situées sur le territoire de l’Union. Il faut cependant tenir compte des facteurs suivants : l’utilisation d’une langue ou d’une monnaie, généralement utilisée dans l’Union ; la possibilité commander des biens et des services dans cette autre langue ; la mention de clients ou d'utilisateurs résidant dans l'Union (cfr. le considérant 20).

- les activités de traitement sont liées à l’observation des comportements humains, pour autant que ces comportements interviennent au sein de l’Union. Selon le considérant 24, afin de déterminer si une activité de traitement peut être considérée comme "une observation" du comportement des personnes concernées, il y a lieu d'établir si ces personnes sont suivies sur Internet au moyen de techniques de traitement de données consistant à analyser le profil d'un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit.

Enfin, le Règlement maintient son application extraterritoriale dans les cas où une règle de droit international public du lieu d’établissement du responsable conduit à l’application du droit national d’un État membre. Comme le précise le considérant 25, cette hypothèse vise notamment les missions diplomatiques, ainsi que les postes consulaires d'un État membre.

Difficultés probables

L’application extraterritoriale du Règlement était inévitable au vu de l’évolution des technologies et de la toute-puissance de certaines entreprises établies hors de l’Union, offrant des biens et services sur internet et donc ; le cas échéant, à destination d’un public présent sur le territoire européen, dont les données sont récoltées à l’occasion de l’offre et pourront ensuite être traitées hors UE. La Cour de Justice avait déjà admis le principe tout en devant pour se faire écarteler le critère de rattachement de l’établissement stable.

Cette application extraterritoriale conduit à la difficile problématique de l’exécution des décisions qui seraient obtenues à l’encontre d’un Responsable du traitement situé hors de l’Union, outre peut-être la fermeture de l’accès à son site quand cela est techniquement possible.

Le Règlement ne donne cependant pas de critère de rattachement des multiples lois nationales qui seront prises en vertu du Règlement (par exemple pour implémenter une exception à l’un ou l’autre principe de protection). Faudra-t-il reprendre l’ancien critère ou reviendra-t-il à chaque État membre d’appliquer son droit international privé pour le déterminer, ce qui ne pourra que poser difficultés ?

Règlement
1e 2e

Art. 3

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Proposition 1 close

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou b) à l’observation de leur comportement.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où la législation nationale d’un État membre s’applique en vertu du droit international public.

Proposition 2 close

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans

le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un

sous-traitant sur le territoire de l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives

à des personnes concernées ayant leur domicile sur le territoire de l'Union par un responsable

du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un

paiement soit exigé ou non desdites personnes concernées;

ou b) à l'observation de leur comportement, dans la mesure où celui-ci a lieu au sein de

l'Union européenne.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un

responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation

nationale d'un État membre s'applique en vertu du droit international public.

Directive

Art. 4

1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actio

France

Art. 5

I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

 

Belgique

Art. 3bis

 La présente loi est applicable au traitement de données à caractère personnel :

  1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s'applique en vertu du droit international public;

  2° lorsque le responsable du traitement n'est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.

  Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner un représentant établi sur le territoire belge, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK