Article 3 – Champ d’application territorial
1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:
- a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou
- b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.
En savoir plus...
Après le champ d'application matériel (article 2), l'article 3 du RGPD a pour objectif de définir le champ d'application territorial du règlement. Celui-ci est bâti sur la base de deux critères principaux : 1- l'établissement d'un responsable du traitement ou d'un sous-traitant dans l'Union ; ou 2- une activité sur le marché de l'UE en offrant des services ou des biens ou en surveillant le comportement.Lorsque l'un de ces deux critères est rempli, les dispositions pertinentes du RGPD s'appliquent au traitement des données à caractère personnel. Enfin, le troisième paragraphe confirme l'application du RGPD aux activités de traitement auxquelles « le droit d'un État membre s'applique en vertu du droit international public », telles qu'une ambassade d'un État membre de l'UE dans un pays tiers.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
[Traitements mis en œuvre par des établissements]
22. Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l'Union. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'un dispositif stable. La forme juridique retenue pour un tel dispositif, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.
[Applicabilité en cas de ciblage de personnes concernées résident dans l'UE]
23. Afin de garantir qu'une personne physique ne soit pas exclue de la protection à laquelle elle a droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes, qu'un paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que le responsable du traitement ou le sous-traitant envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union. Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union.
[Applicabilité en cas de surveillance de personnes concernées résident dans l'UE]
24. Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s'agit de leur comportement au sein de l'Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit.
[Applicabilité lorsque la loi d'un Etat Membre est applicable]
25. Lorsque le droit d'un État membre s'applique en vertu du droit international public, le présent règlement devrait s'appliquer également à un responsable du traitement qui n'est pas établi dans l'Union, par exemple qui se trouve auprès de la représentation diplomatique ou consulaire d'un État membre.
[Représentant au sein de l'Union]
80. Lorsqu'un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l'Union et que ses activités de traitement sont liées à l'offre de biens ou de services à ces personnes dans l'Union, qu'un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union, il convient que le responsable du traitement ou le sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n'implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et soit peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public. Le représentant devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité de contrôle. Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui lui incombent en vertu du présent règlement. La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du présent règlement. Ce représentant devrait accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du présent règlement. Le représentant désigné devrait faire l'objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant.
[Compétence des autorités de contrôle]
122. Chaque autorité de contrôle devrait être compétente sur le territoire de l'État membre dont elle relève pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement. Cela devrait couvrir, notamment, le traitement dans le cadre d'activités menées par un établissement du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève, le traitement de données à caractère personnel effectué par des autorités publiques ou des organismes privés agissant dans l'intérêt public, le traitement affectant des personnes concernées sur le territoire de l'État membre dont elle relève, ou encore le traitement effectué par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union lorsque ce traitement vise des personnes concernées résidant sur le territoire de l'État membre dont elle relève. Cela devrait comprendre notamment le traitement des réclamations introduites par les personnes concernées, la conduite d'enquêtes sur l'application du présent règlement et la sensibilisation du public aux risques, règles, garanties et droits liés au traitement des données à caractère personnel.
Droit souple
Lignes directrices et recommandations
Références
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.
Quadrature du Net : « Vidéosurveillance algorithmique et biométrie : la CNIL démissionnaire » Après la loi sur les Jeux Olympiques de 2023 qui légitimait la vidéosurveillance algorithmique (VSA) en temps réel, la VSA dite « a posteriori » s’est récemment retrouvée à l’agenda législatif. Nous vous en avons déjà parlé : ce type de logiciel permet […]
Corée du Sud : Arrestation d’un PDG qui équipait secrètement ses récepteurs satellite de fonctions DDoS La police sud-coréenne a annoncé le 28 novembre l’arrestation d’un CEO et de cinq salariés d’une même société, soupçonnés d’avoir modifié 240 000 récepteurs satellite pour les équiper de fonctionnalités d’attaque par déni de service (DDoS). Ce type d’attaques […]
En Italie, pas de photos d’enfants de moins de 14 ans sur les médias sociaux sans le consentement des deux parents Dans sa newsletter du 3 décembre, l’autorité italienne a évoqué avoir mis en garde un père pour avoir publié sur les réseaux sociaux des photos de son enfant de moins de 14 ans sans […]
Télémarketing : le garant de la vie privée sanctionne la chaîne TV « Sky Italia » à une amende de 842 000 euros Dans sa newsletter du 3 décembre, l’autorité italienne a évoqué avoir sanctionné Sky Italia srl (en septembre) pour de nombreuses violations constatées lors d’activités de télémarketing et d’envoi de communications commerciales. L’Autorité, qui est […]
L’EDPB clarifie les règles relatives au partage de données avec les autorités de pays tiers et approuve la certification du sceau de protection des données. Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a publié des lignes directrices sur l’article 48 du RGPD (seulement disponibles en anglais pour […]
Aux États-Unis, Apple poursuivi pour espionnage de ses salariés Un salarié d’Apple a porté plainte contre son employeur devant un tribunal californien. Il accuse la firme d’avoir surveillé illégalement et abusivement ses employés, via leurs appareils et leurs comptes iCloud personnels. Les salariés auraient en outre interdiction de parler de leurs conditions de travail, ainsi […]
Norauto victime d’une cyberattaque, les pièces d’identité de ses clients exposés La société française d’entretien et de réparation automobile a prévenu ses clients que certaines données personnelles gérées par son service location avaient été visées. Des informations sensibles en font partie, comme les numéros de pièce d’identité. La semaine dernière, un cybercriminel revendiquait l’exfiltration de […]
L’association NOYB est désormais habilité à intenter des actions de recours collectif NOYB a annoncé aujourd’hui être désormais agréée en tant qu' »entité qualifiée » pour intenter des actions de recours collectif devant les tribunaux de l’Union européenne. Une telle action en vertu de la directive (UE) 2020/1828 peut être une « injonction » ou une mesure de « réparation ». […]
Ordinateur portable perdu avec des données : l’autorité polonaise sanctionne des scouts à hauteur de 24 555 PLN (environ 5700 euros) Aujourd’hui, le président de l’UODO a imposé une amende de 24 000 555 PLN à la Stołeczna Chorąg ZHP (le Cercle Régional des Scouts de Varsovie) pour n’avoir pas mis en œuvre les mesures techniques […]
Les données des « test d’indépendance et d’impartialité » auxquels sont soumis les juges peuvent-elles être publiées ? L’UODO donne son avis Le premier président de la Cour suprême, Małgorzata Manowska, a demandé au président de l’UODO d’expliquer comment appliquer les dispositions de la loi sur l’accès à l’information publique en tenant compte du droit à la […]
