Initiation au RGPD (2) : application territoriale
Après être revenu sur l’élargissement de la notion de donnée personnelle sur le précédent article, je vous propose de nous pencher sur l’application territoriale du Règlement européen sur la protection des données personnelles (RGPD).
En résumé, il faut savoir que le RGPD étendra le champ d’application du droit européen de la protection des données. Non seulement les responsables de traitement basés dans l’UE seront concernées par le RGPD, mais surtout, même s’ils ne sont pas basés dans l’UE, les sous-traitants des données mandatés par les responsables seront également concernés.
Situation actuelle (directive 95/46)
La directive ne contient pas de disposition spécifique relative aux sous-traitants qui permettrait de les soumettre légalement aux mêmes exigences que le maitre de fichier. L’article 17 paragraphe 2 prévoit que
le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.
Autrement dit, le sous-traitant n’a surtout d’obligations que celles que le maitre de fichier lui impose contractuellement.
En ce qui concerne l’application territoriale du droit européen de la protection des données, la directive prévoyait à son article 4 paragraphe 1 que le droit d’un ou de plusieurs États membres s’applique lorsque :
a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;
b) […] (NdR : cette disposition n’a pas beaucoup d’importance pratique, raison pour laquelle elle n’est pas reproduite ici. L’article 3 al. 3 RGPD adopte d’ailleurs une règle similaire.)
c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.
La jurisprudence de la CJUE
Dans l’arrêt retentissant du droit à l’oubli (C-131/12, commenté ici), la Cour de Justice de l’Union européenne (CJUE) avait considéré que
le traitement de données à caractère personnel qui est fait pour les besoins du service d’un moteur de recherche tel que Google Search, lequel est exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre, est effectué “dans le cadre des activités” de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur. (consid. 55)
La CJUE confirmait ainsi la teneur de l’art. 4 paragraphe 1 lettre a de la directive, lequel n’exige pas que le traitement de données à caractère personnel soit effectué “par” l’établissement concerné lui-même, mais uniquement qu’il le soit “dans le cadre des activités” de celui-ci.
Elle est revenue ensuite plus en détail dans un second arrêt (C-230/14) sur la notion d’établissement au sens de l’article 4 de la directive. Plutôt que de faire preuve de rigidité, la CJUE a adopté
une conception souple de la notion d’établissement, qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée.
Ainsi, la CJUE a considéré que la notion d’établissement, au sens de la directive, s’étendait à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable. A cet égard, il convient d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans l’État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question. Cette conception vaut tout particulièrement pour des entreprises qui s’emploient à offrir des services exclusivement sur Internet. La présence d’un seul représentant peut donc, dans certaines circonstances, suffire pour constituer une installation stable si celui‑ci agit avec un degré de stabilité suffisant à l’aide des moyens nécessaires à la fourniture des services concrets concernés, dans l’État membre en question.
Le Groupe 29 avait d’ailleurs modifié sa recommandation 179 suite à l’arrêt Google Spain sur le droit à l’oubli.
Le RGPD
Comme je l’ai mentionné plus haut, le RGPD va imposer des obligations non seulement aux responsables du traitement des données personnelles, mais aussi aux sous-traitants (comme un service cloud tiers), et ce même s’ils sont basés hors de l’UE.
L’article 3 paragraphes 1 et 2 précise en effet que le RGPD
s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
En pratique
Cela signifie que des sociétés qui ne sont aujourd’hui pas concernées par les dispositions de la directive seront directement impactées par le RGPD. Et de nouvelles obligations leur seront imposées.
Le changement le plus significatif réside dans le fait que les responsables de traitement et/ou sous-traitants qui ne sont pas établis dans l’UE, mais collectent et traitent des données personnelles des individus résidant dans l’UE (au moyen d’un site web, d’une application ou de cookies par exemple) seront concernés par le RGPD.
Que vous soyez une entreprise sise dans l’UE ou en dehors, il serait donc judicieux de commencer à se demander quelles données sont collectées, comment, auprès de qui, si des données de résidents européens se trouvent dans le lot… et mettre sur pied un plan de compliance afin d’être prêt pour 2018.
La semaine prochaine, je reviendrai sur le changement concernant le consentement de la personne dont on traite les données.