Points de vue

Les 10 principes du GDPR. #3: L’applicabilité extraterritoriale du GDPR

Expliquer la portée territoriale du GDPR et les cas dans lesquels ses obligations s’étendent hors de l’Union européenne

Avec l’introduction du GDPR, la législation européenne en matière de protection des données deviendra applicable au-delà des frontières de l’Union européenne. Nous vous donnons ici un aperçu des cas dans lesquels des organisations non européennes peuvent entrer dans le champ d’application du GDPR lorsqu’il cible ou surveille des personnes physiques établies en Europe.

Auteur : Alexander Garrelfs

Un environnement tout particulier

Internet est un espace libre de toute frontière au sens conventionnel du terme. C’est l’un de ses principaux avantages en termes d’échange de données, d’achats ou de ventes en ligne, de communication, etc. C’est aussi un défi de taille au regard de l’applicabilité des législations. Du fait de cette absence de frontière qui le caractérise, Internet a longtemps posé des interrogations quant à la possibilité d’appliquer la règlementation européenne relative au traitement des données à caractère personnel dans le cadre de services en ligne.

Avant l’introduction du GDPR, il était difficile de faire respecter les obligations de la législation en matière de protection de la vie privée aux responsables de traitement de données et aux sous-traitants établis hors de l’UE. Cette difficulté était principalement due au fait que l’accent n’était pas mis sur les personnes physiques dont les données étaient traitées au moment où l’applicabilité de la législation a été déterminée. Le seul cas dans lequel la législation s’appliquait à un responsable de traitement en-dehors de l’UE était lorsque ce dernier procédait à leur traitement sur le territoire de l’Union. Néanmoins, le GDPR modifie drastiquement cette notion de portée territoriale.

Délimitation du champ d’application territorial

Toute organisation (à de rares exceptions près) qui traite des données à caractère personnel au sein de l’Union européenne entrera dans le champ d’application du GDPR. Sur ce plan, rien ne change. Mais la portée territoriale a été étendue de façon à ce que les règles de protection des données de l’Union s’appliquent désormais aussi aux responsables de traitement de données établis en-dehors de son territoire. Cette extension impose aux responsables de traitement de données et aux sous-traitants établis hors de l’UE de respecter les obligations en matière de protection des données européennes lorsqu’ils traitent les données de sujets résidant dans l’Union à des fins spécifiques. 

Cibler les citoyens de l’UE

Les entreprises qui ne sont pas implantées dans l’UE peuvent relever du champ d’application du GDPR si elles proposent des biens ou des services à des particuliers ressortissants de l’UE. Imaginons que vous soyez par exemple une boutique en ligne chinoise avec un site web disponible en allemand, en français et en anglais. Vous traitez chaque jour plusieurs commandes de particuliers européens et leur envoyez vos produits. Vous relevez de ce fait du GDPR, alors même que vous ne possédez aucun établissement au sein de l’UE et que vous n’y exercez aucune activité de traitement des données.

Si vous êtes un responsable de traitement des données établi hors de l’UE, comme dans l’exemple ci-dessus, que vous proposiez des services payants ou gratuits n’a aucune importance car le GDPR ne tient pas compte de cet aspect pour déterminer si vous entrez dans son champ d’application. Un prestataire américain proposant gratuitement un service de stockage dématérialisé doit donc respecter toutes les obligations du GDPR s’il propose aussi son service à des utilisateurs résidant dans l’UE.

Surveiller les citoyens de l’UE

Autre cas relevant du champ d’applicabilité du GDPR : des organisations qui ne sont pas implantées dans l’Union Européenne mais qui surveillent le comportement de particuliers ressortissants de l’UE. Celles-ci doivent aussi se conformer aux obligations du GDPR.  Par conséquent, si vous proposez un service de réseau social ouvert aux utilisateurs de l’UE, vous tombez dans le champ d’application du GDPR. Cela vaut aussi pour un développeur d’applications décidant de collecter les données de localisation de citoyens de l’Union à partir de leur smartphones. 

Quelle est votre méthode ?

Le GDPR offrira un degré de protection élevé aux particuliers résidant dans l’Union Européenne dont les données sont traitées par des entreprises établies en dehors de l’UE. Il est important pour les entreprises de déterminer si ces nouvelles obligations les concernent. Si c’est le cas, le mieux sera d’agir pour s’assurer de leur conformité. “Comme on fait son lit, on se couche”, dit le proverbe.

Cela vous a-t-il été utile ?

Sujets connexes