CEPD : lignes directrices pour l'application territoriale du RGPD
[Mise à jour du 16 novembre 2019 : la version définitive des lignes directrices a été publiée le 12 novembre 2019 et peut être consultée ici.]
Le Comité Européen de la Protection des Données (CEPD, ou EDPB en anglais) a lancé une consultation publique sur de nouvelles lignes directrices relatives à l’application territoriale du RGPD, adoptées le 16 novembre 2018. Voici en substance la vision du CEPD sur cette question hautement importante pour un pays tiers comme la Suisse.
Introduction
Le CEPD rappelle que le champ d’application territorial du RGPD est ancré à l’art. 3 RGPD, dont les deux premiers alinéas ont la teneur suivante :
1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
L’art. 3 RGPD fait référence à deux critères principaux pour déterminer le champ d’application : l’établissement et le ciblage (“targeting”). Dès qu’un de ces deux critères est rempli, le RGPD est applicable aux traitements de données personnelles.
Critère de l’établissement
Il est ici question d’un établissement du responsable de traitement, mais aussi du sous-traitant.
Le CEPD indique qu’il est d’abord nécessaire de déterminer qui est le responsable de traitements et le sous-traitant pour un traitement de données particulier. La notion d’établissement principal est définie à l’art. 4 ch. 16 RGPD, mais celle d’établissement ne l’est qu’au considérant 22 (et dans la jurisprudence de la Cour de justice de l’Union européenne, notamment dans les arrêts suivants : C-131/12, C-230/14, C-191/15, C-210/16).
L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard.
Le CEPD indique que le fait qu’une entité non-UE qui est responsable de traitement et qui n’a pas de filiale ou succursale dans un pays de l’UE ne permet pas d’exclure que cette entité n’a pas un établissement dans un pays de l’UE. La présence d’un seul employé peut suffire à remplir le critère de l’établissement stable.
Exemple du CEPD (1)
A car manufacturing company with headquarters in the US has a fully-owned branch and office located in Brussels overseeing all its operations in Europe, including marketing and advertisement.
The Belgian branch can be considered to be a stable arrangement, which exercises real and effective activities in light of the nature of the economic activity carried out by the car manufacturing company. As such, the Belgian branch could therefore be considered as an establishment in the Union, within the meaning of the GDPR.
Mais, pour déterminer si l’art. 3 al. 1 RGPD s’applique, il faut encore analyser si l’établissement basé dans l’UE procède à des traitements de données personnelles dans le cadre de l’exercice effectif et réel de ses activités.
Il n’est donc pas nécessaire que ce soit ledit établissement qui mette en œuvre ces traitements, il peut tout à fait s’agir d’une autre entité, laquelle peut se trouver hors de l’UE. Il faut néanmoins que les activités de l’établissement et les traitements de données mis en œuvre par l’autre entité soient très liés pour que le RGPD soit applicable à cette dernière, quel que soit le rôle de l’établissement dans le cadre des traitements de données. Il en va de même si les activités de l’établissement consistent à générer des revenus et que ces activités sont très liées aux traitements de données mis en œuvre par l’entité hors UE.
Exemples du CEPD (2)
An e-commerce website operated by a company based in China, whereas the data processing activities of which are exclusively carried out in China, has established a European office in Berlin in order to lead and implement commercial prospection and marketing campaigns towards EU markets.
In this case, it can be considered that the activities of the European office in Berlin are inextricably linked to the processing of personal data carried out by the Chinese e-commerce website, insofar as the commercial prospection and marketing campaign towards EU markets notably serve to make the service offered by the e-commerce website profitable. The processing of personal data by the Chinese company can therefore be considered as carried out in the context of the activities of the European office, as an establishment in the Union, and therefore be subject to the provisions of the GDPR as per its Article 3(1).
A hotel and resort chain in South Africa offers package deals through its website, available in English, German, French and Spanish. The company does not have any office, representation or stable arrangement in the EU.
In this case, in the absence of any representation or stable arrangement of the hotel and resort chain within the territory of the Union, it appears that no entity linked to this data controller in South Africa can qualify as an establishment in the EU within the meaning of the GDPR. Therefore the processing at stake cannot be subject to the provisions of the GDPR, as per Article 3(1). However, it must be analysed in concreto whether the processing carried out by this data controller established outside the EU can be subject to the GDPR, as per Article 3(2).
Le CEPD précise aussi à ce stade que le RGPD s’applique aux traitements de données mis en œuvre par un établissement dans l’UE dans le cadre de ses activités, que les traitements aient lieu dans l’UE ou non. Ainsi, que qui déclenche l’application du RGPD est bien la présence dans l’UE, via un établissement, d’un responsable de traitement ou d’un sous-traitant, ainsi que le fait que les traitements sont mis en œuvre dans le cadre des activités de l’établissement. Le lieu exact des traitements n’importe pas.
Exemples du CEPD (3)
A French company has developed a car-sharing application exclusively addressed to customers in Morocco, Algeria and Tunisia. The service is only available in those three countries but all personal data processing activities are carried out by the data controller in France.
While the collection of personal data takes place in non-EU countries, the subsequent processing of personal data in this case is carried out in the context of the activities of an establishment of a data controller in the Union. Therefore, even though processing relates to personal data of data subjects who are not in the Union, the provisions of the GDPR will apply to the processing carried out by the French company, as per Article 3(1).
A pharmaceutical company with headquarters in Stockholm has located all its personal data processing activities with regards to its clinical trial data in its branch based in Singapore. According to the company structure, the branch is not a legally distinct entity and the Stockholm headquarter determines the purpose and means of the data processing carried out on its behalf by its branch based in Singapore.
In this case, while the processing activities are taking place in Singapore, that processing is carried out in the context of the activities of the pharmaceutical company in Stockholm i.e. of a data controller established in the Union. The provisions of the GDPR therefore apply to such processing, as per Article 3(1).
Le CEPD revient ensuite sur les relations entre responsable de traitement et sous-traitants, lorsque l’un est basé dans l’UE et pas l’autre. Assez logiquement, le CEPD indique que
- un responsable de traitements basé dans l’UE qui choisit un sous-traitant hors UE doit imposer des obligations contractuelles (art. 28 al. 3 RGPD) pour que le sous-traitant respecte (indirectement) le RGPD ;
- en principe, l’établissement UE d’un sous-traitant n’est pas considéré comme un établissement du responsable de traitements ;
- un responsable de traitement hors UE ne devient pas soumis au RGPD du simple fait qu’il choisit un sous-traitant dans l’UE pour ses propres activités et que ce dernier ne fournit qu’un service au responsable de traitement.
Exemple du CEPD (4)
A processor established in Spain has entered in a contract with a Mexican retail company, the data controller, for the processing of its clients’ personal data. The Mexican company offers and directs its services exclusively to the Mexican market and its processing concerns exclusively data subjects located outside the Union.
In this case, the Mexican retail company does not target persons on the territory of the Union through the offering of goods or services, nor it does monitor the behaviour of person on the territory of the Union. The processing by the data controller, established outside the Union, is therefore not subject to the GDPR as per Article 3(2).
While the provisions of the GDPR does not apply to the data controller, the data processor, as a processor established in Spain, will be required to comply with the processor obligations imposed by the regulation for any processing carried out in the context of its activities.
Critère du ciblage
Ce critère vise à pallier l’absence d’établissement dans l’UE d’un responsable de traitements ou d’un sous-traitant. Le CEPD indique en préambule que l’absence d’un établissement dans l’UE ne permet pas de bénéficier du “one-stop shop mecanism” prévu par l’art. 56 RGPD.
Le CEPD revient d’abord sur la notion de “personnes concernées qui se trouvent sur le territoire de l’Union”. Il précise ainsi (comme je l’avais écrit ici auparavant) que ce terme ne vise ni la nationalité, le lieu de résidence ou tout autre statut légal. Le seul élément qui compte est de savoir si la personne se trouve physiquement sur le territoire de l’UE au moment où on lui propose des biens ou services, ou qu’on suit son comportement.
Exemples du CEPD (5)
A start-up established in the USA, without any business presence or establishment in the EU, provides a city-mapping application for tourists. The application processes personal data concerning the location of customers using the app (the data subjects) once they start using the application in the city they visit, in order to offer targeted advertisement for places to visits, restaurant, bars and hotels. The application is available for tourists while they visit New York, San Francisco, Toronto, London, Paris and Rome.
The US start-up, via its city mapping application, is offering services to individuals in the Union (specifically in London, Paris and Rome). The processing of the EU-located data subjects’ personal data in connection with the offering of the service falls within the scope of the GDPR as per Article 3(2).
A U.S. citizen is travelling through Europe during his holidays. While in Europe, he downloads and uses a news app that is offered by a U.S. company. The app is exclusively directed at the U.S. market. The collection of the U.S. tourist’s personal data via the app by the U.S. company is not subject to the GDPR.
A bank in Taiwan has customers that are residing in Taiwan but hold German citizenship. The bank is active only in Taiwan; its activities are not directed at the EU market. The bank’s processing of the personal data of its German customers is not subject to the GDPR.
The Canadian immigration authority processes personal data of EU citizens when entering the Canadian territory for the purpose of examining their visa application. This processing is not subject to the GDPR.
Le critère du ciblage suppose ensuite l’une des deux activités suivantes énoncées à l’art. 3 al. 2 RGPD, à savoir : l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes, ou le suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Concernant l’offre de biens ou de services, le considérant 23 RGPD indique que
il y a lieu d’établir s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir des services à des personnes concernées dans un ou plusieurs États membres de l’Union. Alors que la simple accessibilité du site internet du responsable du traitement, d’un sous-traitant ou d’un intermédiaire dans l’Union, d’une adresse électronique ou d’autres coordonnées, ou l’utilisation d’une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union, peuvent indiquer clairement que le responsable du traitement envisage d’offrir des biens ou des services à des personnes concernées dans l’Union.
Le CEPD considère ainsi qu’un traitement de données qui est lié directement ou indirectement à l’offre de biens ou services à une personne dans l’UE rend le RGPD applicable. Dans tous les cas, il convient de prendre en compte l’ensemble des circonstances pour déterminer l’intention d’un responsable de traitements à cet égard. Le CEPD insiste sur le fait que la simple possibilité d’accéder à un site web depuis l’UE ne permet pas de conclure qu’il y a intention d’offrir des biens ou services à des personnes dans l’UE.
Le CEPD fournit une liste de facteurs qui peuvent être pris en considération pour confirmer ou infirmer cette intention :
- The EU or at least one Member State is designated by name with reference to the good or service offered;
- The data controller or processor pays a search engine operator for an internet referencing service in order to facilitate access to its site by consumers in the Union; or the controller or processor has launched marketing and advertisement campaigns directed at an EU country audience
- The international nature of the activity at issue, such as certain tourist activities;
- The mention of dedicated addresses or phone numbers to be reached from an EU country;
- The use of a top-level domain name other than that of the third country in which the controller or processor is established, for example “.de”, or the use of neutral top-level domain names such as “.eu”;
- The description of travel instructions from one or more other EU Member States to the place where the service is provided;
- The mention of an international clientele composed of customers domiciled in various EU Member States, in particular by presentation of accounts written by such customers;
- The use of a language or a currency other than that generally used in the trader’s country, especially a language or currency of one or more EU Member states;
- The data controller offers the delivery of goods in EU Member States.
Exemple du CEPD (6)
A Swiss University in Zurich is launching its Master degree selection process, by making available an online platform where candidates can upload their CV and cover letter, together with their contact details. The selection process is open to any student with a sufficient level of German and English and holding a Bachelor degree. The University does not specifically advertise to students in EU Universities, and only takes payment in Swiss currency.
As there is no distinction or specification for students from the Union in the application and selection process for this Master degree, it cannot be established that the Swiss University has the intention to target students from a particular EU member states. The sufficient level of German and English is a general requirement that applies to any applicant whether a Swiss resident, a person in the Union or a student from a third country. Without other factors to indicate the specific targeting of students in EU member states, it therefore cannot be established that the processing in question relates to the offer of an education service to data subject in the Union, and such processing will therefore not be subject to the GDPR provisions.
The Swiss University also offers summer courses in international relations and specifically advertise this offer in German and Austrian universities in order to maximise the courses’ attendance. In this case, there is a clear intention from the Swiss University to offer such service to data subjects who are in the Union, and the GDPR will apply to the related processing activities.
Concernant le suivi du comportement des personnes, le considérant 24 RGPD précise que
Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.
Le CEPD rappelle que contrairement à l’art. 3 al. 2 let. a RGPD, il ne s’agit pas ici de déterminer s’il y a une intention de cibler des personnes dans l’UE, mais le suivi du comportement implique que le responsable de traitement suit un but précis. Toute collecte de données ne constitue pas un suivi, encore faut-il que des activités d’analyses ou de profilage soient réalisées sur les données collectées. On peut penser par exemple à ces activités :
- Behavioural advertisement
- Geo-localisation activities, in particular for marketing purposes
- Online tracking through the use of cookies or other tracking techniques such as fingerprinting
- Personalised diet and health analytics services online
- CCTV
- Market surveys and other behavioural studies based on individual profiles
- Monitoring or regular reporting on an individual’s health status
Exemples du CEPD (7)
A marketing company established in the US provides advice on retail layout to a shopping centre in France, based on an analysis of customers’ movements throughout the centre collected through Wi-Fi tracking.
The analysis of a customers’ movements within the centre through Wi-Fi tracking will amount to the monitoring of individuals’ behaviour. In this case, the data subjects’ behaviour takes place in the Union since the shopping centre is located in France. The marketing company, as a data controller, is therefore subject to the GDPR in respect of the processing of this data for this purpose as per its Article 3(2)(b).
In accordance with Article 27, the data controller will have to designate a representative in the Union.
An app developer established in Canada with no establishment in the Union monitors the behaviour of data subject in the Union and is therefore subject to the GDPR, as per Article 3(2)b. The developer uses a processor established in the US for the app optimisation and maintenance purposes.
Conclusion
Ces lignes directrices sont encore au stade consultatif et des changements peuvent encore intervenir. Cela étant, il n’y a pas de mauvaises surprises pour l’instant. La partie la plus technique et la plus compliquée à appréhender est celle relative à l’art. 3 al. 1 RGPD, c’est-à-dire lorsqu’on se trouve en présence d’un établissement dans l’UE. Il est probable à l’avenir que ce soit cet alinéa qui pose le plus de problèmes.
En revanche, l’art. 3 al. 2 RGPD est facile d’accès et il est agréable de constater que le CEPD adopte une ligne pragmatique à cet égard. L’exemple qu’il mentionne de l’université suisse est particulièrement éloquent et permet de se rendre compte que toute activité, même si elle est accessible à des personnes dans l’UE, n’indique pas forcément une intention de “cibler” ces personnes. L’ensemble des circonstances doit être pris en compte, et la position du CEPD est rassurante à cet égard, surtout après qu’on a entendu tout et n’importe quoi sur ce thème.
Dans l’ensemble, ces lignes directrices sont bienvenues et viennent enfin clarifier la situation de l’application territoriale du RGPD vis-à-vis du reste du monde, dont la Suisse.
Attendons de voir la version finale… et les premiers cas d’application soumis à la CJUE.