Le Comité Européen de Protection des Données (en anglais EDPB) a enfin publié un projet (en anglais) de lignes directrices « draft guidelines » sur l’article 3 du Règlement Général sur la Protection des Données (RGPD). Ce projet est soumis à consultation jusqu’au 18 janvier 2019.
Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent. Nous vous présentons les points qui nous semblent les plus importants dans le cadre de cette consultation.
L’article 3 du RGPD définit le champ d’application territorial du règlement en fonction de deux critères principaux :
- Critère de l’« établissement », conformément à l’article 3, paragraphe 1
- Critère du « ciblage » (en anglais « targeting »), conformément à l’article 3, paragraphe 2
1. Critère de l’« établissement »
a. Définitions large de l’établissement
La mauvaise nouvelle pour les sociétés établies en dehors de l’UE est que le projet de lignes directrices continue de faire référence à l’interprétation très large donnée par la Cour de justice de l’Union européenne (CJUE) en application de la directive 95/46, afin de déterminer s’il existe ou non un établissement dans l’UE. Et ce, alors même qu’entre-temps, le RGPD a introduit le critère du « ciblage » qui a le même objectif que celui de cette jurisprudence.
b. Application distributive entre responsable de traitement et sous-traitant
L’EDPB souligne qu’il est important de considérer séparément l’établissement du responsable de traitement et celui du sous-traitant. Ce qui signifie que :
- En cas de traitement effectué par un responsable de traitement dans l’UE utilisant un sous-traitant non soumis au RGPD
Le sous-traitant ne sera pas, de ce seul fait, soumis au RGPD. Il sera en revanche indirectement soumis à certaines obligations imposées par le responsable du traitement régi par le RGPD, en vertu des dispositions contractuelles prévues à l’article 28.
- En cas de traitement des données effectué « dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant»
À moins que d’autres facteurs n’entrent en ligne de compte, un responsable de traitement non UE, ne sera pas assujetti au RGPD simplement parce qu’il choisit d’utiliser un sous-traitant dans l’UE.
En revanche, dans ce cas, le sous-traitant UE aura des difficultés à respecter ses obligations en matière de transfert international en ce qui concerne les relations avec son client responsable de traitement hors UE.
De plus, l’EDPB insiste sur le fait que le territoire de l’UE ne peut pas être utilisé comme un « paradis des données », par exemple pour une activité impliquant un problème d’éthique ou une violation des règles de l’ordre public européennes ou nationales.
2. Le critère du « ciblage »
C’est l’une des nouveautés introduites par le RGPD en vue de traiter les activités en ligne qui ne pouvaient pas être couvertes en vertu de la réglementation antérieure (la directive 95/46).
Selon ce critère, le RGPD s’applique aux organismes qui n’ont pas d’établissement dans l’UE mais: a) offrent des biens ou des services à des personnes concernées dans l’Union, qu’un paiement soit exigé d’elles ou non; ou b) procèdent au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Sur le critère du « ciblage » les lignes directrices soulèvent plusieurs problèmes, les plus importants étant (i) le risque potentiel pour les représentants qu’il faut nommer dans l’UE, et (ii) le manque d’éclaircissements sur les transferts internationaux vers l’organisation concernée hors de l’UE.
a. La (douloureuse) question du représentant
Conformément au considérant 80 et à l’article 27, paragraphe 5, la désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.
L’EDPB souligne cependant que le concept même de représentant a été introduit précisément dans le but de garantir l’application du RGPD à l’égard du responsable du traitement ou du sous-traitant hors UE. L’intention était donc de permettre aux autorités de contrôle d’engager des poursuites à l’encontre d’un représentant de la même manière que contre les responsables du traitement ou les sous-traitants. Cela inclut la possibilité d’imposer des amendes et des pénalités administratives au représentant et de le tenir pour responsable. C’est clairement une très mauvaise nouvelle pour les entreprises qui ne sont pas établies dans l’UE, car elles peuvent avoir du mal à trouver des personnes prêtes à assumer le rôle et les risques associés. Elles devront peut-être envisager de créer un établissement dans l’UE.
En tout état de cause on peut, dans le cadre de la consultation en cours, demander à l’EDPB une clarification sur la portée exacte de cette affirmation.
b. L’absence de position sur le transfert international initial
De nombreux débats ont eu lieu sur le point de savoir si les responsables du traitement ou sous-traitants hors UE, relevant du paragraphe 2 de l’article 3 du RGPD, devraient appliquer les mesures prévues au chapitre V (relatif aux transferts internationaux de données) du fait qu’ils traitent hors UE des données personnelles de personnes situées dans l’Union.
Certains estiment que, dans la mesure où le RGPD s’applique à ces responsables du traitement ou sous-traitant hors UE, compte tenu du niveau de protection qu’ils sont tenus d’assurer du fait de cette application directe, cela ne nécessiterait aucune mesure supplémentaire pour le flux de données entrant en provenance de l’UE.
Dans le cas où les responsables du traitement ou sous-traitants hors UE, doivent mettre en œuvre les mesures du chapitre V, cela pourrait s’avérer très compliqué pour ceux qui ne se trouvent pas dans un pays considéré comme adéquat (y compris aux États-Unis dans le cadre du Privacy Shield), et qui ne pourraient invoquer les exceptions de l’article 49, dans la mesure où ils n’auraient pas non plus de partenaire avec lequel conclure les clauses contractuelles types de l’UE.
Ici aussi, il nous semble qu’il faille que l’EDPB se positionne, même si nous pensons qu’il n’y a peut-être pas de consensus en son sein sur ce sujet.
3. Critères supplémentaires
Outre les deux critères majeurs exposés ci-dessus, le RGPD comprend aussi d’autres règles concernant le champ d’application territorial :
- Les États membres peuvent prévoir des dérogations locales sur certains points, ainsi que des critères locaux concernant le champ d’application territorial desdites dérogations. Ceci est notamment le cas en France, dans la Loi Informatique et Libertés.
- Le RGPD s’applique au traitement en un lieu où le droit d’un État membre s’applique en vertu du droit international public.
Ces questions représentent bien évidemment des enjeux importants pour les entreprises qui cherchent à déterminer si le RGPD leur est applicable ; mais elles sont tout aussi importantes pour les entreprises devant respecter le RGPD dans leurs relations d’affaires avec des partenaires hors UE.
Contact : stephanie.faber@squirepb.com