Le GDPR
Le premier critère d’application territorial est maintenu à l’article 3 du Règlement : le Règlement en tant que tel est applicable au traitement effectué dans le cadre des activités d’un établissement du responsable sur le territoire de l’Union mais il vise aussi –et c’est neuf- celui du sous-traitant. Cette précision permettra d’éviter toute discussion sur la loi applicable à celui-ci. La version finale précise que ce critère s’apprécie, sans tenir du fait que le traitement prenne place dans l’Union ou non.
Le responsable du traitement est défini à l’article 4, 7) du Règlement comme « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par le droit de l'Union ou la législation d'un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables pour le désigner peuvent être fixés, par le droit de l'Union ou par la législation d'un État membre ».
Bien entendu ici, le critère vise à déterminer l’application du Règlement lui-même et plus une loi nationale d’un État membre comme dans la Directive.
D’autre part, par la définition du « principal établissement » (cfr art. 4, 16), le Règlement cherche une solution afin de localiser dans l’Union l’établissement à prendre en considération, qu’il s’agisse d’un responsable ou d’un sous-traitant. L’utilité de ces définitions est surtout d’identifier l’autorité de contrôle compétente, c’est pourquoi nous renvoyons au commentaire de l’article 56.
Le Règlement instaure par ailleurs une nouvelle règle d’application extraterritoriale du droit européen afin d’éviter son contournement par un responsable ou un sous-traitant dont les activités ou l’établissement se situeraient hors du territoire de l’UE.
Ainsi, le Règlement sera applicable dès l’instant où :
- les activités de traitement sont liées à l’offre de biens ou de services à des personnes physiques situées sur le territoire de l’Union, indépendamment du fait qu’un paiement de la personne concernée est exigé ou non. Cette précision signifie que le responsable ne pourra pas objecter la gratuité de l’offre des biens ou des services pour échapper à l’application du Règlement.
Pour déterminer si ce critère est rencontré, il faut examiner si le responsable envisage de faire affaire avec des personnes résidant dans l’Union. Le considérant 23 précise également que la simple accessibilité du site internet du responsable ou d’un intermédiaire dans l’Union ne suffit pas à établir l’intention du responsable d’offrir des biens ou des services à des personnes situées sur le territoire de l’Union. Il faut cependant tenir compte des facteurs suivants : l’utilisation d’une langue ou d’une monnaie, généralement utilisée dans l’Union ; la possibilité commander des biens et des services dans cette autre langue ; la mention de clients ou d'utilisateurs résidant dans l'Union (cfr. le considérant 20).
- les activités de traitement sont liées à l’observation des comportements humains, pour autant que ces comportements interviennent au sein de l’Union. Selon le considérant 24, afin de déterminer si une activité de traitement peut être considérée comme "une observation" du comportement des personnes concernées, il y a lieu d'établir si ces personnes sont suivies sur Internet au moyen de techniques de traitement de données consistant à analyser le profil d'un individu, afin notamment de prendre des décisions le concernant ou d'analyser ou de prévoir ses préférences, son comportement et sa disposition d'esprit.
Enfin, le Règlement maintient son application extraterritoriale dans les cas où une règle de droit international public du lieu d’établissement du responsable conduit à l’application du droit national d’un État membre. Comme le précise le considérant 25, cette hypothèse vise notamment les missions diplomatiques, ainsi que les postes consulaires d'un État membre.
La Directive
Le législateur de l’Union avait prévu un champ d’application territorial particulièrement large afin d’éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée (cfr. G29, avis 08/2010 du 16 décembre 2010 sur le droit applicable).
Le critère principal d’application du droit européen en matière de protection des données dépendait de la localisation du traitement sur le territoire de l’Union dans le cadre des activités d’un établissement du responsable du traitement. Ce critère suppose donc la démonstration de deux éléments:
-
d’une part, le responsable du traitement doit avoir un établissement sur le territoire d’un État membre ce qui implique l'exercice effectif et réel d'une activité au moyen d'une installation stable, sans distinction de la forme juridique de l’établissement, quelle que soit la forme juridique de l’établissement (ex. d’une simple succursale ou d’une filiale ayant la personnalité juridique). La Cour de Justice de l’Union préconise une conception souple de la notion d’établissement qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée (Cf. CJUE, 1er octobre 2015, C-230/14, pt. 29) ;
-
D’autre part, le traitement doit être effectué dans le cadre des activités de cet établissement sur le territoire d’un État membre. La Cour de justice de l’Union précise qu’eu égard à l’objectif de la Directive d’assurer une protection efficace des libertés et droits des personnes physiques, l’expression « dans le cadre des activités d’un établissement » ne doit pas recevoir une interprétation restrictive. Selon la Cour de justice de l’Union, le traitement de données à caractère personnel ne doit pas être effectué «par» l’établissement concerné lui-même, mais uniquement qu’il le soit «dans le cadre des activités» de celui-ci (CJUE, arrêt du 13 mai 2014, Google Spain et Google, C-131/12, point 53).
La Directive contenait en outre deux critères d’application extraterritoriale du droit européen lorsque le responsable n’avait pas d’établissement sur le territoire de l’Union. En l’absence d’établissement du responsable dans l’Union, la Directive restait applicable :
- Lorsque le responsable recourait, à des fins de traitement, à des moyens qui sont localisés sur le territoire de l’Union, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union. La notion de moyen de traitement n’a malheureusement pas fait l’objet d’aucune définition légale, elle a donné lieu à de vastes débats jurisprudentiels et doctrinaux. À titre d’exemple, le Groupe Article 29 est d’avis que des cookies ou des barrières javascript constituent des moyens de traitement ; selon la CNIL l’utilisation de Google cars sur le territoire français constitue des moyens de traitement (CNIL, Délibération n° 2011-035 du 17 mars 2011)). Dans ce cas, le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre.
- lorsque la loi nationale du responsable du traitement s’appliquait, en vertu du droit international public. Cette hypothèse vise notamment les ambassades, qui doivent respecter le droit européen, malgré l’absence d’établissement dans l’Union.
France
Le législateur français a rendu la loi Informatique et Libertés applicable aux traitements dont le responsable est établi sur le territoire français. L’établissement sur le territoire français implique que le responsable y exerce une activité dans le cadre d’une installation, quelle que soit sa forme juridique (cfr. art. 5, I, 1°). A titre subsidiaire, le responsable établi hors de la France doit également se conformer à la loi Informatique et Libertés dès l’instant où il recourt à des « moyens de traitement » situés sur le territoire français (cfr. art. 5, I, 2°).
Concernant le recours à des « moyens de traitement » situés sur le territoire français, la CNIL avait, par exemple, considéré que les traitements effectués par Google inc. dans le cadre de son programme Google Earth relevaient de la loi Informatique et Libertés puisque le traitement recourait à des véhicules situés sur le territoire français collectant des données en partie personnelles.
Le législateur français obligeait enfin le responsable qui n’a pas d’établissement sur le territoire à désigner un représentant qui se substitue à lui dans l'accomplissement des obligations prévues par la loi Informatique et Libertés (art. 5, II.).
Difficultés probables ?
L’application extraterritoriale du Règlement était inévitable au vu de l’évolution des technologies et de la toute-puissance de certaines entreprises établies hors de l’Union, offrant des biens et services sur internet et donc ; le cas échéant, à destination d’un public présent sur le territoire européen, dont les données sont récoltées à l’occasion de l’offre et pourront ensuite être traitées hors UE. La Cour de Justice avait déjà admis le principe tout en devant pour se faire écarteler le critère de rattachement de l’établissement stable.
Cette application extraterritoriale conduit à la difficile problématique de l’exécution des décisions qui seraient obtenues à l’encontre d’un Responsable du traitement situé hors de l’Union, outre peut-être la fermeture de l’accès à son site quand cela est techniquement possible.
Le Règlement ne donne cependant pas de critère de rattachement des multiples lois nationales qui seront prises en vertu du Règlement (par exemple pour implémenter une exception à l’un ou l’autre principe de protection). Faudra-t-il reprendre l’ancien critère ou reviendra-t-il à chaque État membre d’appliquer son droit international privé pour le déterminer, ce qui ne pourra que poser difficultés ?
Groupe 29
Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un
responsable du traitement ou d’un sous-traitant (5 avril 2017)
(Approuvées par le CEPD)
Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.
Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.
L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.
Lien
Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) (12 November 2019)
Through a common interpretation by data protection authorities in the EU, these guidelines seek to ensure a consistent application of the GDPR when assessing whether particular processing by a controller or a processor falls within the scope of the new EU legal framework. In these guidelines, the EDPB sets out and clarifies the criteria for determining the application of the territorial scope of the GDPR. Such a common interpretation is also essential for controllers and processors, both within and outside the EU, so that they may assess whether they need to comply with the GDPR for a given processing activity.
As controllers or processors not established in the EU but engaging in processing activities falling within Article 3(2) are required to designate a representative in the Union, these guidelines will also provide clarification on the process for the designation of this representative under Article 27 and its responsibilities and obligations. As a general principle, the EDPB asserts that where the processing of personal data falls within the territorial scope of the GDPR, all provisions of the Regulation apply to such processing. These guidelines will specify the various scenarios that may arise, depending on the type of processing activities, the entity carrying out these processing activities or the location of such entities, and will detail the provisions applicable to each situation. It is therefore essential that controllers and processors, especially those offering goods and services at international level, undertake a careful and in concreto assessment of their processing activities, in order to determine whether the related processing of personal data falls under the scope of the GDPR.
The EDPB underlines that the application of Article 3 aims at determining whether a particular processing activity, rather than a person (legal or natural), falls within the scope of the GDPR.
Consequently, certain processing of personal data by a controller or processor might fall within the scope of the Regulation, while other processing of personal data by that same controller or processor might not, depending on the processing activity.
Lien
Jurisprudence de la CJUE
Affaire C-131/12 (13 mai 2014)
1) L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).
2) L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.
3) Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.
4) Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.
Conclusions de l'Avocat général
Arrêt rendu
Affaire C-230/14 (1 octobre 2015)
1) L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.
Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.
En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.
2) Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.
3) La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).
Conclusions de l'Avocat général
Arrêt rendu
Affaire C-191/15 (28 juillet 2016)
1) Le règlement (CE) no 593/2008 du Parlement européen et du Conseil, du 17 juin 2008, sur la loi applicable aux obligations contractuelles (Rome I) et le règlement (CE) no 864/2007 du Parlement européen et du Conseil, du 11 juillet 2007, sur la loi applicable aux obligations non contractuelles (« Rome II »), doivent être interprétés en ce sens que, sans préjudice de l’article 1er, paragraphe 3, de chacun de ces règlements, la loi applicable à une action en cessation au sens de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs, dirigée contre l’utilisation de clauses contractuelles prétendument illicites par une entreprise établie dans un État membre qui conclut des contrats par voie de commerce électronique avec des consommateurs résidant dans d’autres États membres et, notamment, dans l’État du for, doit être déterminée conformément à l’article 6, paragraphe 1, du règlement no 864/2007, alors que la loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement no 593/2008, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective.
2) L’article 3, paragraphe 1, de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doit être interprété en ce sens qu’une clause des conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur, est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, en vertu de l’article 6, paragraphe 2, du règlement no 593/2008, de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause, ce qu’il appartient à la juridiction nationale de vérifier à la lumière de toutes les circonstances pertinentes.
3) L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre. Il appartient à la juridiction nationale d’apprécier si tel est le cas.
Conclusions de l'Avocat général
Arrêt rendu
C-210/16 (5 juin 2018)
1 ) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.
2 ) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.
Conclusions de l'avocat général
Arrêt rendu