Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

Article 3
Champ d'application territorial

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 3 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 3 keyboard_arrow_up

(22) Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l'Union. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.

(23) Afin de garantir qu'une personne physique ne soit pas exclue de la protection à laquelle elle a droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union.

(24) Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.

(25) Lorsque le droit d'un État membre s'applique en vertu du droit international public, le présent règlement devrait s'appliquer également à un responsable du traitement qui n'est pas établi dans l'Union, par exemple qui se trouve auprès de la représentation diplomatique ou consulaire d'un État membre.

(26) Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

Afficher les considérants de la Directive 95/46 liés à l'article 3 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 3 keyboard_arrow_up

(18) considérant qu'il est nécessaire, afin d'éviter qu'une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l'un des États membres; que, à cet égard, il est opportun de soumettre les traitements de données effectués par toute personne opérant sous l'autorité du responsable du traitement établi dans un État membre à l'application de la législation de cet État;

(19) considérant que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable; que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard; que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux;

(20) considérant que l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l'État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés;

(21) considérant que la présente directive ne préjuge pas des règles de territorialité applicables en matière de droit pénal;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Belgique

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices relatives au champ d’application territorial du RGPD - 3/2018 (12 novembre 2019)

Le champ d’application territorial du règlement général sur la protection des données1 (ci-après le «RGPD» ou le «règlement») est déterminé par l’article 3 du règlement et représente une évolution significative de la législation de l’Union européenne en matière de protection des données par rapport au cadre défini par la directive 95/46/CE2 . Le RGPD confirme en partie les choix établis par le législateur de l’Union et la Cour de justice de l’Union européenne (CJUE) dans le cadre de la directive 95/46/CE. De nouveaux éléments importants ont toutefois été introduits. Plus important encore, l’objectif principal de l’article 4 de la directive était de définir de quel État membre le droit national est applicable, tandis que l’article 3 du RGPD définit le champ d’application territoriale d’un texte directement applicable. En outre, si l’article 4 de la directive faisait mention du «[recours] [...] à des moyens» sur le territoire de l’Union pour faire entrer dans le champ d’application de la législation de l’Union en matière de protection des données les responsables du traitement qui n’étaient pas «établi[s] sur le territoire de la Communauté», l’article 3 du RGPD n’en fait pas mention.

L’article 3 du RGPD reflète l’intention du législateur de garantir une protection complète des droits des personnes concernées dans l’Union et d’établir, comme impératif en matière de protection des données, des conditions de concurrence équitables pour les entreprises actives sur les marchés de l’Union, dans un contexte de circulation mondiale des données.

L’article 3 du RGPD définit le champ d’application territorial du règlement sur la base de deux critères principaux: le critère d’«établissement», en vertu de l’article 3, paragraphe 1, et le critère de «ciblage», en vertu de l’article 3, paragraphe 2. Lorsque l’un de ces deux critères est rempli, les dispositions pertinentes du RGPD s’appliquent au traitement pertinent de données à caractère personnel par le responsable du traitement ou le sous-traitant concerné. En outre, l’article 3, paragraphe 3, confirme que le RGPD s’applique au traitement lorsque le droit d’un État membre s’applique en vertu du droit international public.

Issues d’une interprétation commune des autorités chargées de la protection des données dans l’Union, les présentes lignes directrices visent à garantir une application cohérente du RGPD lorsqu’il s’agit de déterminer si un traitement particulier effectué par un responsable du traitement ou un sous- traitant relève du champ d’application du nouveau cadre juridique de l’Union. Dans les présentes lignes directrices, le comité européen de la protection des données (ci-après le «comité») définit et clarifie les critères permettant de déterminer l’application du champ d’application territorial du RGPD. Une telle interprétation commune s’avère également indispensable pour les responsables du traitement et les sous-traitants, tant à l’intérieur qu’à l’extérieur de l’Union, afin que ces derniers puissent évaluer s’ils doivent se conformer au RGPD pour une activité de traitement donnée. Étant donné que les responsables du traitement ou les sous-traitants qui ne sont pas établis dans l’Union, mais qui exercent des activités de traitement relevant de l’article 3, paragraphe 2, sont tenus de désigner un représentant dans l’Union, les présentes lignes directrices fourniront également des précisions sur le processus de désignation de ce représentant en vertu de l’article 27 et sur ses responsabilités et obligations.

À titre de principe général, le comité affirme que, lorsque le traitement de données à caractère personnel relève du champ d’application territorial du RGPD, toutes les dispositions du règlement s’appliquent à ce traitement. Les présentes lignes directrices préciseront les différents scénarios qui peuvent se présenter, en fonction du type d’activités de traitement, l’entité qui effectue ces activités de traitement ou la localisation de ces entités, et préciseront les dispositions applicables à chaque situation. Il est par conséquent essentiel que les responsables du traitement et les sous-traitants, en particulier ceux qui offrent des biens et des services au niveau international, procèdent à une évaluation minutieuse et in concreto de leurs activités de traitement, afin de déterminer si le traitement connexe de données à caractère personnel relève du champ d’application du RGPD.

Le comité souligne que l’application de l’article 3 vise à déterminer si une activité de traitement particulière, plutôt qu’une personne (morale ou physique), entre dans le champ d’application du RGPD. Par conséquent, certains traitements de données à caractère personnel effectués par un responsable du traitement ou un sous-traitant pourraient entrer dans le champ d’application du règlement, tandis que d’autres, effectués par ce même responsable du traitement ou sous-traitant pourraient, en fonction de l’activité de traitement, ne pas en relever.

Les présentes lignes directrices, initialement adoptées par le comité le 16 novembre 2018, ont été soumises à une consultation publique du 23 novembre 2018 au 18 janvier 2019 et ont été mises à jour en tenant compte des contributions et commentaires reçus.

Lien

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (14 février2023) (Anglais)

The GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer:

1) A controller or a processor (“exporter”) is subject to the GDPR for the given processing.

2) The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).

3) The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation.

If the three criteria as identified by the EDPB are met, there is a transfer and Chapter V of the GDPR is applicable. This means that the transfer can only take place under certain conditions, such as in the context of an adequacy decision from the European Commission (Article 45) or by providing appropriate safeguards (Article 46). The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation.

Conversely, if the three criteria are not met, there is no transfer and Chapter V of the GDPR does not apply. In this context, it is however important to recall that the controller must nevertheless comply with the other provisions of the GDPR and remains fully accountable for its processing activities, regardless of where they take place. Indeed, although a certain data transmission may not qualify as a transfer according to Chapter V, such processing can still be associated with increased risks since it takes place outside the EU, for example due to conflicting national laws or disproportionate government access in the third country. These risks need to be considered when taking measures under, inter alia, Article 5 (“Principles relating to processing of personal data”), Article 24 (“Responsibility of the controller”) and Article 32 (“Security of processing”) – in order for such processing operation to be lawful under the GDPR.

These guidelines include various examples of data flows to third countries, which are also illustrated in an Annex in order to provide further practical guidance.

Link

Retour au sommaire

Groupe 29

Lignes directrices sur l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative à la désignation de l’autorité chef de file dans le cadre de l’application du Règlement Général sur la Protection des Données n° 04/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-131/12 (13 mai 2014) - Google Spain et Google

1.      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2.      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3.      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4.      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu 

C-230/14 (1 octobre 2015) - Weltimmo

1.      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2.      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3.      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-191/15 (28 juillet 2016) - Verein für Konsumenteninformation

1.     Le règlement (CE) no 593/2008 du Parlement européen et du Conseil, du 17 juin 2008, sur la loi applicable aux obligations contractuelles (Rome I) et le règlement (CE) no 864/2007 du Parlement européen et du Conseil, du 11 juillet 2007, sur la loi applicable aux obligations non contractuelles (« Rome II »), doivent être interprétés en ce sens que, sans préjudice de l’article 1er, paragraphe 3, de chacun de ces règlements, la loi applicable à une action en cessation au sens de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs, dirigée contre l’utilisation de clauses contractuelles prétendument illicites par une entreprise établie dans un État membre qui conclut des contrats par voie de commerce électronique avec des consommateurs résidant dans d’autres États membres et, notamment, dans l’État du for, doit être déterminée conformément à l’article 6, paragraphe 1, du règlement no 864/2007, alors que la loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement no 593/2008, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective.

2.      L’article 3, paragraphe 1, de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doit être interprété en ce sens qu’une clause des conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur, est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, en vertu de l’article 6, paragraphe 2, du règlement no 593/2008, de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause, ce qu’il appartient à la juridiction nationale de vérifier à la lumière de toutes les circonstances pertinentes.

3.      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre. Il appartient à la juridiction nationale d’apprécier si tel est le cas.

Conclusions de l'Avocat général

Arrêt rendu

C-210/16 (5 juin 2018) - Wirtschaftsakademie Schleswig-Holstein

  1 ) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

2 )  L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Conclusions de l'avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°2/2021 (14 janvier 2021)

1. Suivant l’article 35.10 du RGPD, la réalisation d’une analyse d’impact générale dans le cadre de l’adoption d’une disposition législative relative à un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est facultative mais que si, néanmoins, une telle analyse d’impact est effectuée, il n’y a en principe pas lieu d’effectuer une nouvelle analyse d’impact avant le traitement.

L’article 35 du RGPD ne s’oppose donc pas à la réalisation d’une analyse d’impact lors de l’élaboration des arrêtés d’exécution de la disposition attaquée.

Ce constat ne porte pas préjudice à l’obligation pour les États membres de consulter

« l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement », conformément à l’article 36, paragraphe 4, du RGPD, obligation à laquelle le législateur a déféré en l’espèce.

2. La disposition attaquée est pertinente en vue de la réalisation des objectifs poursuivis, dès lors que la conservation de l’image numérisée des empreintes digitales sur la carte d’identité est susceptible, d’une part, de réduire le risque de falsification des cartes d’identité et de faciliter la tâche des autorités chargées d’examiner, notamment aux frontières, l’authenticité de celles-ci et, d’autre part, de prévenir l’utilisation frauduleuse des cartes d’identité.

L’absence de fiabilité totale du procédé et l’impossibilité corrélative d’exclure complètement la non-détection de certains cas de fraude à la ressemblance ne conduisent pas à une conclusion différente.

En ce qu’elle prévoit le prélèvement de deux empreintes digitales et la conservation de l’image numérisée de celles-ci sur la carte d’identité, la disposition attaquée ne viole pas le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, tels qu’ils sont garantis par les articles 1er à 4, 25 et 32 du RGPD.

3. Les instances habilitées à lire les empreintes digitales le sont uniquement dans le cadre de l’exercice de leurs fonctions, telles que celles-ci sont légalement décrites.

Il leur appartient de mettre en œuvre cette habilitation dans le respect des principes applicables en matière de protection des données à caractère personnel. Conformément à l’article 9, paragraphe 2, point g), du RGPD, il ne peut être procédé au traitement de données à caractère personnel sensibles que si ce traitement est nécessaire et proportionné aux motifs d’intérêt public important poursuivis, ce qui implique que la vérification des empreintes digitales ne doit intervenir qu’après vérification en priorité de l’image faciale et que si elle est « nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire ».

La mise en œuvre de ces obligations relève de l’application de la loi, pour laquelle la Cour n’est pas compétente.

Pour le surplus, les parties requérantes n’expliquent pas en quoi, dans le cadre de l’exercice de leurs fonctions, les services de police pourraient lire l’image numérisée des empreintes digitales à d’autres fins que la vérification de l’authenticité de la carte d’identité ou de l’identité du titulaire.

Arrêt rendu

C. const. Be., n°36/2021 (4 mars 2021)

En cause : le recours en annulation partielle de la loi du 7 mai 2019 « modifiant la loi du 7 mai 1999 sur les jeux de hasard, les paris, les établissements de jeux de hasard et la protection des joueurs, et insérant l’article 37/1 dans la loi du 19 avril 2002 relative à la rationalisation du fonctionnement  et  de  la  gestion  de  la  Loterie  Nationale »,  introduit  par l’ASBL « UBA-BNGO » et autres.

1. La Commission des jeux de hasard qui, dans le cadre du contrôle visé par la loi attaquée, sélectionne et traite les antécédents, est tenue de respecter les dispositions du RGPD et de la loi du 30 juillet 2018 « relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel » (ci-après : « la loi du 30 juillet 2018 »).

2. Par ailleurs, la loi du 30 juillet 2018 s’applique à tout traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnelcontenues ou appelées à figurer dans un fichier (article 2,alinéa1er) et au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge (article 4, alinéa 1er).

3. Du fait de l’applicabilité directe du RGPD dans la législation interne et de l’existence de la loi du 30 juillet 2018, le texte même des dispositions attaquées ne doit plus mentionner explicitement les conditions et obligations requises.

4. L’enquête d’antécédents qui sert à contrôler qu’il est satisfait à la condition que le demandeur de licence soit d’une conduite qui répond aux exigences de la fonction poursuit un but légitime et n’entraîne pas une ingérence disproportionnée dans le droit au respect de la vie privée, tel qu’il est garanti par les dispositions nationales et internationales précitées.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1111 (30 juin 2021)

La Cour a annulé la décision au motif que la décision imposait une mesure corrective à Google Belgium alors que le responsable du traitement en cause est Google LLC (contre laquelle la plainte devrait être déposée), sans motiver suffisamment en quoi les activités de Google Belgium seraient inextricablement liées au responsable du traitement (Google LLC).

Google Belgium ne pourrait faire l'objet d'une mesure corrective que si l'APD peut prouver le lien entre les deux sociétés.

De plus, la Cour confirme la décision de publier la décision sans supprimer le nom de Google. Toutefois, la Cour reconnaît qu'elle n'est pas compétente pour annuler toute communication de l'APD autour de l'affaire, ni pour imposer une action à cet égard. Néanmoins, la Cour regrette que l'APD et ses membres communiquent dans la presse sur une affaire toujours pendante.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Retour au sommaire

Le GDPR

Le premier critère d’application territorial est maintenu à l’article 3 du Règlement : le Règlement en tant que tel est applicable au traitement effectué dans le cadre des activités d’un établissement du responsable sur le territoire de l’Union mais il vise aussi –et c’est neuf- celui du sous-traitant. Cette précision permettra d’éviter toute discussion sur la loi applicable à celui-ci. La version finale précise que ce critère s’apprécie, sans tenir du fait que le traitement prenne place dans l’Union ou non.

Le responsable du traitement est défini à l’article 4, 7) du Règlement comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre ».

Bien entendu ici, le critère vise à déterminer l’application du Règlement lui-même et plus une loi nationale d’un État membre comme dans la Directive.

D’autre part, par la définition du « principal établissement » (cfr art. 4, 16), le Règlement cherche une solution afin de localiser dans l’Union l’établissement à prendre en considération, qu’il s’agisse d’un responsable ou d’un sous-traitant. L’utilité de ces définitions est surtout d’identifier l’autorité de contrôle compétente, c’est pourquoi nous renvoyons au commentaire de l’article 56.

Le Règlement instaure par ailleurs une nouvelle règle d’application extraterritoriale du droit européen afin d’éviter son contournement par un responsable ou un sous-traitant dont les activités ou l’établissement se situeraient hors du territoire de l’UE.

Ainsi, le Règlement sera applicable dès l’instant où :

- les activités de traitement sont liées à l’offre de biens ou de services à des personnes physiques situées sur le territoire de l’Union, indépendamment du fait qu’un paiement de la personne concernée est exigé ou non. Cette précision signifie que le responsable ne pourra pas objecter la gratuité de l’offre des biens ou des services pour échapper à l’application du Règlement.

Pour déterminer si ce critère est rencontré, il faut examiner si le responsable envisage de faire affaire avec des personnes résidant dans l’Union. Le considérant 23 précise également que la simple accessibilité du site internet du responsable ou d’un intermédiaire dans l’Union ne suffit pas à établir l’intention du responsable d’offrir des biens ou des services à des personnes situées sur le territoire de l’Union. Il faut cependant tenir compte des facteurs suivants : l’utilisation d’une langue ou d’une monnaie, généralement utilisée dans l’Union ; la possibilité commander des biens et des services dans cette autre langue ; la mention de clients ou d'utilisateurs résidant dans l'Union (cfr. le considérant 20).

- les activités de traitement sont liées à l’observation des comportements humains, pour autant que ces comportements interviennent au sein de l’Union. Selon le considérant 24, afin de déterminer si une activité de traitement peut être considérée comme "une observation" du comportement des personnes concernées, il y a lieu d'établir si ces personnes sont suivies sur Internet au moyen de techniques de traitement de données consistant à analyser le profil d'un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit.

Enfin, le Règlement maintient son application extraterritoriale dans les cas où une règle de droit international public du lieu d’établissement du responsable conduit à l’application du droit national d’un État membre. Comme le précise le considérant 25, cette hypothèse vise notamment les missions diplomatiques, ainsi que les postes consulaires d'un État membre.

La Directive

Le législateur de l’Union avait prévu un champ d’application territorial particulièrement large afin d’éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée (cfr. G29, avis 08/2010 du 16 décembre 2010 sur le droit applicable).

Le critère principal d’application du droit européen en matière de protection des données dépendait de la localisation du traitement sur le territoire de l’Union dans le cadre des activités d’un établissement du responsable du traitement.  Ce critère suppose donc la démonstration de deux éléments:

  • d’une part, le responsable du traitement doit avoir un établissement sur le territoire d’un État membre ce qui implique l'exercice effectif et réel d'une activité au moyen d'une installation stable, sans distinction de la forme juridique de l’établissement, quelle que soit la forme juridique de l’établissement (ex. d’une simple succursale ou d’une filiale ayant la personnalité juridique). La Cour de Justice de l’Union préconise une conception souple de la notion d’établissement qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée (Cf. CJUE, 1er octobre 2015, C-230/14, pt. 29) ;

  • D’autre part, le traitement doit être effectué dans le cadre des activités de cet établissement sur le territoire d’un État membre. La Cour de justice de l’Union précise qu’eu égard à l’objectif de la Directive d’assurer une protection efficace des libertés et droits des personnes physiques, l’expression « dans le cadre des activités d’un établissement » ne doit pas recevoir une interprétation restrictive. Selon la Cour de justice de l’Union, le traitement de données à caractère personnel ne doit pas être effectué «par» l’établissement concerné lui-même, mais uniquement qu’il le soit «dans le cadre des activités» de celui-ci (CJUE, arrêt du 13 mai 2014, Google Spain et Google, C-131/12, point 53).

La Directive contenait en outre deux critères d’application extraterritoriale du droit européen lorsque le responsable n’avait pas d’établissement sur le territoire de l’Union. En l’absence d’établissement du responsable dans l’Union, la Directive restait applicable :

Lorsque le responsable recourait, à des fins de traitement, à des moyens qui sont localisés sur le territoire de l’Union, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union. La notion de moyen de traitement n’a malheureusement pas fait l’objet d’aucune définition légale, elle a donné lieu à de vastes débats jurisprudentiels et doctrinaux. À titre d’exemple, le Groupe Article 29 est d’avis que des cookies ou des barrières javascript constituent des moyens de traitement ; selon la CNIL l’utilisation de Google cars sur le territoire français constitue des moyens de traitement (CNIL, Délibération n° 2011-035 du 17 mars 2011)). Dans ce cas, le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre.

Lorsque la loi nationale du responsable du traitement s’appliquait, en vertu du droit international public. Cette hypothèse vise notamment les ambassades, qui doivent respecter le droit européen, malgré l’absence d’établissement dans l’Union.

Belgique

En droit belge, l’article 3bis retenait d’abord le premier critère d’application de la loi du 8 décembre 1992 comme l’établissement du responsable sur le territoire belge dans le cadre des activités duquel les données sont traitées. La loi du 8 décembre 1992 est également applicable si lesdites activités sont effectuées en un lieu où la loi belge s'applique en vertu du droit international public.

Transposant fidèlement la Directive, la loi du 8 décembre 1992 instaurait enfin un critère d’application extraterritorial lorsque le responsable situé hors de l’Union recourait à des moyens de traitement –autres que de simples transit- qui sont eux situés sur le territoire belge ; à regret, cette notion de « moyens de traitement » n’a fait l’objet d’aucune définition en droit belge. Les responsables établis hors de l’Union qui relevaient néanmoins de la loi du 8 décembre 1992 devaient désigner un responsable disposant d’un établissement sur le territoire belge.

France

Le législateur français a rendu la loi Informatique et Libertés applicable aux traitements dont le responsable est établi sur le territoire français. L’établissement sur le territoire français implique que le responsable y exerce une activité dans le cadre d’une installation, quelle que soit sa forme juridique (cfr. art. 5, I, 1°). A titre subsidiaire, le responsable établi hors de la France doit également se conformer à la loi Informatique et Libertés dès l’instant où il recourt à des « moyens de traitement » situés sur le territoire français (cfr. art. 5, I, 2°).

Concernant le recours à des « moyens de traitement » situés sur le territoire français, la CNIL avait, par exemple, considéré que les traitements effectués par Google inc. dans le cadre de son programme Google Earth relevaient de la loi Informatique et Libertés puisque le traitement recourait à des véhicules situés sur le territoire français collectant des données en partie personnelles.

Le législateur français obligeait enfin le responsable qui n’a pas d’établissement sur le territoire à désigner un représentant qui se substitue à lui dans l'accomplissement des obligations prévues par la loi Informatique et Libertés (art. 5, II.).

Difficultés probables

L’application extraterritoriale du Règlement était inévitable au vu de l’évolution des technologies et de la toute-puissance de certaines entreprises établies hors de l’Union, offrant des biens et services sur internet et donc ; le cas échéant, à destination d’un public présent sur le territoire européen, dont les données sont récoltées à l’occasion de l’offre et pourront ensuite être traitées hors UE. La Cour de Justice avait déjà admis le principe tout en devant pour se faire écarteler le critère de rattachement de l’établissement stable.

Cette application extraterritoriale conduit à la difficile problématique de l’exécution des décisions qui seraient obtenues à l’encontre d’un Responsable du traitement situé hors de l’Union, outre peut-être la fermeture de l’accès à son site quand cela est techniquement possible.

Le Règlement ne donne cependant pas de critère de rattachement des multiples lois nationales qui seront prises en vertu du Règlement (par exemple pour implémenter une exception à l’un ou l’autre principe de protection). Faudra-t-il reprendre l’ancien critère ou reviendra-t-il à chaque État membre d’appliquer son droit international privé pour le déterminer, ce qui ne pourra que poser difficultés ?

Règlement
1e 2e

Art. 3

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Proposition 1 close

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un sous-traitant sur le territoire de l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union; ou b) à l’observation de leur comportement.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où la législation nationale d’un État membre s’applique en vertu du droit international public.

Proposition 2 close

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans

le cadre des activités d'un établissement d'un responsable du traitement de données ou d'un

sous-traitant sur le territoire de l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives

à des personnes concernées ayant leur domicile sur le territoire de l'Union par un responsable

du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un

paiement soit exigé ou non desdites personnes concernées;

ou b) à l'observation de leur comportement, dans la mesure où celui-ci a lieu au sein de

l'Union européenne.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un

responsable du traitement qui n'est pas établi dans l'Union, mais dans un lieu où la législation

nationale d'un État membre s'applique en vertu du droit international public.

Directive close

Art. 4

1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actio

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

 

Art.3

 

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France.

II. - Les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.

Toutefois, lorsque est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa du II sont celles dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne.

 

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 5

Version initiale

I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

Art. 5

Modifié par la loi n°2004-801 du 6 août 2004

I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

 Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

Art. 5-1

Créé par la loi n°2018-493 du 20 juin 2018

Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.

Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne.

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 4

§ 1. La présente loi s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire belge,que le traitement ait lieu ou non sur le territoire belge.

 § 2. La présente loi s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire belge par un responsable du traitement ou un sous-traitant qui n’est pas établi sur le territoire de l’Union européenne, lorsque les activités de traitement sont liées:

1° à l’offre de biens ou de services à ces personnes concernées sur le territoire belge, qu’un paiement soit exigé ou non desdites personnes; ou

2° au suivi du comportement de ces personnes, dans la mesure où il s’agit d ’un comportement qui a lieu sur le territoire belge.

§ 3. Par dérogation au paragraphe 1er, lorsque le responsable du traitement est établi dans un État membre de l’Union européenne et fait appel à un sous-traitant établi sur le territoire belge, le droit de l’État membre en question s’applique au sous-traitant pour autant que le traitement a lieu sur le territoire de cet État membre.

§ 4. La présente loi s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi sur le territoire belge mais dans un lieu où le droit belge s’applique en vertu du droit international public.

 

Ancienne loi
en Belgique
close

Art. 3bis

 La présente loi est applicable au traitement de données à caractère personnel :

  1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s'applique en vertu du droit international public;

  2° lorsque le responsable du traitement n'est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.

  Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner un représentant établi sur le territoire belge, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK