Actions sur le document
Publication des lignes directrices du CEPD sur le champ d’application territorial du RGPD
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Lisa Bataille, Laurent Badiane, 21/12/2018
Le Comité Européen de la Protection des Données (le « CEPD ») a publié, le 16 novembre dernier, un projet de lignes directrices relatives aux critères permettant de déterminer le champ d’application territorial du Règlement Européen sur la Protection des Données n°2016/679 (« RGPD »). Ce texte est soumis à consultation publique et pourra être modifié jusqu’au 18 janvier 2019.
Pour rappel, l’article 3 du RGPD consacre l’application extraterritoriale de la règlementation en matière de protection des données à caractère personnel. Ce nouveau dispositif est l’une des principales innovations en la matière et a pour conséquence d’étendre considérablement le champ d’application du RPDG par rapport à celui de la Directive 95/46 (1) (la « Directive »).
L’application pratique de ce nouveau dispositif parait toutefois difficile à appréhender en raison du manque de clarté du texte. L’objet des Lignes directrices est donc d’apporter des précisions quant aux critères permettant d’appréhender les notions de l’ « établissement » (i) et de « ciblage » (ii).
L’application pratique de ce nouveau dispositif parait toutefois difficile à appréhender en raison du manque de clarté du texte. L’objet des Lignes directrices est donc d’apporter des précisions quant aux critères permettant d’appréhender les notions de l’ « établissement » (i) et de « ciblage » (ii).
1. Le critère de l’ « établissement ».
La notion d'établissement est un critère de rattachement classique en droit international privé comme en droit de l'Union.
Pour déterminer le périmètre du critère de l’établissement, le CEPD propose l’analyse des conditions exposées ci-après, dont le périmètre avait déjà été précisé par la jurisprudence communautaire.
L’établissement de l’opérateur sur le territoire de l’UE
Le considérant 22 du RGPD précise que « L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable ».
Le CEPD reprend ici à son compte les précisions apportées par la CJUE dans le cadre de l’interprétation de la Directive en soulignant que l’existence d’un établissement au sein de l’UE doit se déterminer au regard du « degré de stabilité de l'installation ainsi que la réalité de l'exercice des activités, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question » (2) , notamment lorsqu’il s’agit d’une offre de services effectuée principalement sur Internet. Par ailleurs, et afin d'évincer toute fraude permettant d’exclure l’applicabilité du RGPD, le CEPD reprend la conception large de la notion d'établissement qui « s'étend à toute activité réelle et effective, même minime, exercée au moyen d'une installation stable ».
A titre d’exemple, un site de e-commerce exploité par une société chinoise qui effectue ses traitements de données exclusivement en Chine, mais qui ouvre un bureau à Berlin afin de mettre en œuvre une campagne de prospection marketing vers le marché européen, est soumis au RGPD puisque la société chinoise dirige son activité économique vers un Etat membre.
Le traitement est effectué par l’établissement d’un responsable de traitement ou d’un sous-traitant, indépendamment du fait qu’il ait lieu dans l’UE.
Cet ajout résulte de la dernière proposition de l’article 3.1 effectué par le Parlement européen, et a pour objectif de prendre en compte la difficulté de localiser un traitement, en raison de l'évolution des modèles techniques et économiques des activités liées au traitement des données. (3)
Le CEPD souligne la nécessité d’effectuer une application distributive des obligations relevant du responsable de traitement et du sous-traitant :
- Un responsable de traitement en UE faisant appel à un sous-traitant non soumis au RGPD doit lui imposer les obligations contractuelles prévues par l’article 28 du RGPD afin qu’il y soit indirectement soumis.
- Un responsable de traitement hors UE ne devient pas soumis au RGPD du simple fait qu’il choisit un sous –traitant dans l’UE pour ses propres activités puisque ce dernier ne fournit qu’un service au responsable de traitement.
Pour déterminer le périmètre du critère de l’établissement, le CEPD propose l’analyse des conditions exposées ci-après, dont le périmètre avait déjà été précisé par la jurisprudence communautaire.
L’établissement de l’opérateur sur le territoire de l’UE
Le considérant 22 du RGPD précise que « L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable ».
Le CEPD reprend ici à son compte les précisions apportées par la CJUE dans le cadre de l’interprétation de la Directive en soulignant que l’existence d’un établissement au sein de l’UE doit se déterminer au regard du « degré de stabilité de l'installation ainsi que la réalité de l'exercice des activités, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question » (2) , notamment lorsqu’il s’agit d’une offre de services effectuée principalement sur Internet. Par ailleurs, et afin d'évincer toute fraude permettant d’exclure l’applicabilité du RGPD, le CEPD reprend la conception large de la notion d'établissement qui « s'étend à toute activité réelle et effective, même minime, exercée au moyen d'une installation stable ».
A titre d’exemple, un site de e-commerce exploité par une société chinoise qui effectue ses traitements de données exclusivement en Chine, mais qui ouvre un bureau à Berlin afin de mettre en œuvre une campagne de prospection marketing vers le marché européen, est soumis au RGPD puisque la société chinoise dirige son activité économique vers un Etat membre.
Le traitement est effectué par l’établissement d’un responsable de traitement ou d’un sous-traitant, indépendamment du fait qu’il ait lieu dans l’UE.
Cet ajout résulte de la dernière proposition de l’article 3.1 effectué par le Parlement européen, et a pour objectif de prendre en compte la difficulté de localiser un traitement, en raison de l'évolution des modèles techniques et économiques des activités liées au traitement des données. (3)
Le CEPD souligne la nécessité d’effectuer une application distributive des obligations relevant du responsable de traitement et du sous-traitant :
- Un responsable de traitement en UE faisant appel à un sous-traitant non soumis au RGPD doit lui imposer les obligations contractuelles prévues par l’article 28 du RGPD afin qu’il y soit indirectement soumis.
- Un responsable de traitement hors UE ne devient pas soumis au RGPD du simple fait qu’il choisit un sous –traitant dans l’UE pour ses propres activités puisque ce dernier ne fournit qu’un service au responsable de traitement.
2. Le critère du « ciblage »
Ce nouveau critère vise à pallier l’absence d’établissement dans l’UE d’un responsable de traitement ou d’un sous-traitant, en vue notamment de traiter les activités en ligne qui ne pouvaient pas être couvertes par la directive 95/46.
Le traitement concerne les données de personnes qui se trouvent sur le territoire de l’UE
Le CEPD précise au préalable que l’application des critères de ciblage n’est pas limitée par la citoyenneté, la résidence ou tout autre type de statut juridique de la personne concernée.
A contrario le traitement, dans un pays tiers, de données de citoyens européens, ne déclenche pas forcément l’applicabilité du RGPD. A titre d’exemple, une banque taiwanaise ayant des clients allemands résidant à Taiwan, n’est pas soumis au RGPD dans la mesure où ses activités ne sont pas destinées au marché de l’UE.
Par ailleurs, et de façon alternative, l’exigence doit être appréciée :
- au moment où l’activité de traitement a lieu, ou
- au moment de l’offre de biens ou de services, ou
- au moment du suivi du comportement.
Le traitement de données concerne une offre de biens ou de services
Concernant l’ « offre de biens ou de services », le considérant 23 du RGPD s’inspire des motifs par lesquels la Cour de justice a précisé la notion d’activité dirigée.
Par conséquent, le CEPD souligne la possibilité de reprendre les facteurs pris en compte par la jurisprudence communautaire pour établir un « faisceau d’indices », à savoir notamment :
- Le lieu de livraison des marchandises ;
- L’utilisation d’un nom de domaine de premier niveau autre que celui du pays dans lequel le dispositif de commande est établi ;
- La mention d’une clientèle internationale.
Le traitement de données concerne le suivi du comportement de la personne concernée
Le CEPD adopte ici une lecture subjective de la notion de « suivi » en précisant que c’est l’intention de l’opérateur qui compte en ce qu’il a sciemment opéré un suivi de la personne concernée.
Le CEPD donne notamment les exemples suivants :
- La géolocalisation, en particulier dans un but marketing ;
- La publicité comportementale.
Ainsi une société de marketing américaine qui fournit des services en France basés sur une analyse des mouvements des clients d’un centre commercial en France sera soumise au RGPD.
Outre les deux critères majeurs exposés ci-dessous, le RGPD s’applique au traitement de données effectuées par les ambassades et consulats des Etats membres.
Enfin, le CEPD considère que la fonction de « représentant » dans l’UE, dont la désignation est imposée conformément aux articles 80 et 27, n’est pas compatible avec celle de délégué à la protection des données.
Les Lignes directrices reprennent donc majoritairement l’analyse de la jurisprudence communautaire et apporte des précisions quant au nouveau critère de ciblage.
Malgré ces précisions, il est toutefois possible d’imaginer les difficultés pour l’exécution, en pratique, d’une décision sanctionnant, sur la base des critères établis pour le champ d’application territorial, la violation du RGPD par un responsable de traitement ou un sous-traitant situé hors UE.
(1) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) CJUE, 1er oct. 2015, aff. C-230/14, Weltimmo : JurisData n° 2015-025844 ; Rec. num., pt. 31 ; Comm. com. électr. 2015, comm. 101, obs. A. Debet ; D. 2016, p. 1045, obs. H. Gaudemet-tallon et F. Jault-seseke ; Dalloz IP/IT 2016, p. 47, obs. N. Metallinos ; Rev. crit. DIP 2016, p. 377, note B. Haftel, RUE 2016, p. 597, note R. Perray.
(3) Rapp. du 22 novembre 2013 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (A7-0402/2013).
Le traitement concerne les données de personnes qui se trouvent sur le territoire de l’UE
Le CEPD précise au préalable que l’application des critères de ciblage n’est pas limitée par la citoyenneté, la résidence ou tout autre type de statut juridique de la personne concernée.
A contrario le traitement, dans un pays tiers, de données de citoyens européens, ne déclenche pas forcément l’applicabilité du RGPD. A titre d’exemple, une banque taiwanaise ayant des clients allemands résidant à Taiwan, n’est pas soumis au RGPD dans la mesure où ses activités ne sont pas destinées au marché de l’UE.
Par ailleurs, et de façon alternative, l’exigence doit être appréciée :
- au moment où l’activité de traitement a lieu, ou
- au moment de l’offre de biens ou de services, ou
- au moment du suivi du comportement.
Le traitement de données concerne une offre de biens ou de services
Concernant l’ « offre de biens ou de services », le considérant 23 du RGPD s’inspire des motifs par lesquels la Cour de justice a précisé la notion d’activité dirigée.
Par conséquent, le CEPD souligne la possibilité de reprendre les facteurs pris en compte par la jurisprudence communautaire pour établir un « faisceau d’indices », à savoir notamment :
- Le lieu de livraison des marchandises ;
- L’utilisation d’un nom de domaine de premier niveau autre que celui du pays dans lequel le dispositif de commande est établi ;
- La mention d’une clientèle internationale.
Le traitement de données concerne le suivi du comportement de la personne concernée
Le CEPD adopte ici une lecture subjective de la notion de « suivi » en précisant que c’est l’intention de l’opérateur qui compte en ce qu’il a sciemment opéré un suivi de la personne concernée.
Le CEPD donne notamment les exemples suivants :
- La géolocalisation, en particulier dans un but marketing ;
- La publicité comportementale.
Ainsi une société de marketing américaine qui fournit des services en France basés sur une analyse des mouvements des clients d’un centre commercial en France sera soumise au RGPD.
Outre les deux critères majeurs exposés ci-dessous, le RGPD s’applique au traitement de données effectuées par les ambassades et consulats des Etats membres.
Enfin, le CEPD considère que la fonction de « représentant » dans l’UE, dont la désignation est imposée conformément aux articles 80 et 27, n’est pas compatible avec celle de délégué à la protection des données.
Les Lignes directrices reprennent donc majoritairement l’analyse de la jurisprudence communautaire et apporte des précisions quant au nouveau critère de ciblage.
Malgré ces précisions, il est toutefois possible d’imaginer les difficultés pour l’exécution, en pratique, d’une décision sanctionnant, sur la base des critères établis pour le champ d’application territorial, la violation du RGPD par un responsable de traitement ou un sous-traitant situé hors UE.
(1) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) CJUE, 1er oct. 2015, aff. C-230/14, Weltimmo : JurisData n° 2015-025844 ; Rec. num., pt. 31 ; Comm. com. électr. 2015, comm. 101, obs. A. Debet ; D. 2016, p. 1045, obs. H. Gaudemet-tallon et F. Jault-seseke ; Dalloz IP/IT 2016, p. 47, obs. N. Metallinos ; Rev. crit. DIP 2016, p. 377, note B. Haftel, RUE 2016, p. 597, note R. Perray.
(3) Rapp. du 22 novembre 2013 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (A7-0402/2013).