Le Comité Européen de Protection des Données (CEPD ; en anglais EDPB) a enfin publié la version finale  (pour l’instant en anglais) de ses lignes directrices sur l’article 3 du Règlement Général sur la Protection des Données (RGPD)[1].  Ceci est une mise à jour de notre précédent article sur le projet de lignes directrices.

Les entreprises françaises ont intérêt à pouvoir déterminer si le RGPD s’applique ou non à leur partenaire situé en dehors de l’UE et les conséquences qui s’en suivent. Nous vous présentons ici les points qui nous semblent les plus importants à ce sujet.

L’article 3 du RGPD définit le champ d’application territorial du règlement en fonction de deux critères principaux :

  • critère de l’« établissement », conformément à l’article 3, paragraphe 1 ;
  • critère du « ciblage » (en anglais « targeting »), conformément à l’article 3, paragraphe 2.

Critère de l’« établissement »

  1. le principe

L’article 3 (1) prévoit que le RGPD « s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

Certaines entreprises ont tendance à oublier que, lorsque le critère d’établissement est appliqué, le RGPD s’applique au traitement de données, même lorsque ce traitement a lieu en dehors de l’UE. D’où l’importance de déterminer dans quel cas le critère d’établissement s’applique.

  1. Définitions larges de l’établissement

La mauvaise nouvelle pour les sociétés établies en dehors de l’UE est que la version finale des lignes directrices continue de faire référence à l’interprétation très large donnée par la Cour de justice de l’Union européenne (CJUE) en application de la directive 95/46, afin de déterminer s’il existe ou non un établissement dans l’UE. Et ce, alors même qu’entre-temps, le RGPD a introduit le critère du « ciblage » qui a le même objectif que celui de cette jurisprudence.

Cette jurisprudence interprète largement  :

  • ce qui constitue un « établissement » et
  • ce qui constitue un traitement de données effectué « dans le cadre des activités » d’un établissement. Il est fait référence aux activités « inextricablement liées » aux activités d’un établissement local dans un État membre (par exemple, lorsque cet établissement exerce des activités de prospection et de commercialisation), ce qui déclenche l’applicabilité du droit de l’Union même si cet établissement local ne participe pas lui-même au traitement de données.

Dans la version finale des lignes directrices, le CEPD reconnaît toutefois que :

  • « la simple présence d’un employé dans l’UE ne suffit pas en tant que telle pour déclencher l’application du RGPD, car pour que le traitement en question entre dans le champ d’application du RGPD, il doit également s’effectuer dans le cadre des activités de l’employé basé dans l’UE ».
  • « Certaines activités commerciales exercées par une entité non-UE dans un État membre peuvent être si éloignées du traitement de données personnelles par cette entité, que l’existence de l’activité commerciale dans l’UE ne serait pas suffisante pour considérer que le RGPD s’applique audit traitement des données par l’entité non-UE ».
  1. Application distributive entre responsable de traitement et sous-traitant

Le CEPD souligne qu’il est important de considérer séparément l’établissement du responsable de traitement et celui du sous-traitant.

  • En cas de traitement effectué par un responsable de traitement dans l’UE utilisant un sous-traitant non soumis au RGPD

Le sous-traitant ne sera pas, de ce seul fait, soumis au RGPD. Il sera en revanche indirectement soumis à certaines obligations imposées par le responsable du traitement régi par le RGPD, en vertu des dispositions contractuelles prévues à l’article 28.

  • En cas de traitement des données effectué « dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant »

À moins que d’autres facteurs n’entrent en ligne de compte, un responsable de traitement non UE, ne sera pas assujetti au RGPD simplement parce qu’il choisit d’utiliser un sous-traitant dans l’UE. En revanche, dans ce cas, le sous-traitant UE doit quand même respecter ses obligations au titre du RGPD. Et il pourra tout particulièrement être difficile de respecter le RGPD en matière de transfert international, en ce qui concerne (i) les relations avec son client responsable de traitement hors UE et (ii) les relations avec les sous-traitants ultérieurs. Le CEPD a reconnu qu’il devait compléter ses lignes directrices en matière de transfert international.

De plus, le CEPD insiste sur le fait que le territoire de l’UE ne peut pas être utilisé comme un « paradis des données », par exemple pour une activité impliquant un problème d’éthique ou une violation des règles de l’ordre public, européennes ou nationales.

Le critère du « ciblage »

C’est l’une des nouveautés introduites par le RGPD en vue de traiter les activités en ligne qui ne pouvaient pas être couvertes en vertu de la réglementation antérieure (la directive 95/46).

Selon ce critère, le RGPD s’applique aux organismes qui n’ont pas d’établissement dans l’UE mais: a) offrent des biens ou des services à des personnes concernées dans l’Union, qu’un paiement soit exigé d’elles ou non; ou b) procèdent au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Sur le critère du « ciblage » les lignes directrices soulèvent plusieurs problèmes, les plus importants étant (i) le risque potentiel pour les représentants qu’il faut nommer dans l’UE, et (ii) le manque d’éclaircissements sur les transferts internationaux vers l’organisation concernée hors de l’UE.

La version définitive des lignes directrices présente davantage d’exemples de ce qui relève ou non de ces critères. Il est important de noter que le RGPD s’applique à l’activité en question et non à l’ensemble des activités de l’entreprise.

Plus important encore, les lignes directrices traitent spécifiquement du cas de l’article 3 (2) s’appliquant à un sous-traitant non établi dans l’UE. Le CEPD considère que « lorsque les activités de traitement effectuées par un responsable du traitement ont trait à l’offre de biens ou de services ou au contrôle du comportement des personnes dans l’Union ( » ciblage « ), tout sous-traitant chargé d’effectuer cette activité de traitement pour le compte du responsable du traitement relève du champ du RGPD en vertu de l’article 3 (2) en ce qui concerne ce traitement ». Cela diffère de la situation sous le critère d’établissement.

  1. La question du représentant

La version finale des Lignes directrices fournit plus de détails sur la nomination d’un représentant et sur les cas dans lesquels les organisations sont dispensées de le nommer. En outre, le CEPD confirme qu’un mandataire ne peut pas en même temps agir en tant que DPO de la même organisation.

La très bonne nouvelle de la version finale des Lignes directrices est qu’elle a changé l’interprétation du rôle et surtout de la responsabilité des représentants.

Conformément au considérant 80 et à l’article 27, paragraphe 5, la désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Le CEPD souligne que le concept de représentant a été introduit dans le but de garantir à la fois (i) la liaison avec les responsables de traitement ou les sous-traitants situés hors de l’UE et (ii) l’application du RGPD à l’encontre desdits responsables de traitement ou des sous-traitants.

Le représentant n’est plus présenté comme co-responsable avec le responsable de traitement ou le sous-traitant qui l’a désigné, et il n’est plus envisagé de lui imposer une sanction ou d’autres mesures pour des manquements par ce responsable de traitement ou sous-traitant. La possibilité de tenir un représentant directement responsable est limitée aux obligations directes visées aux articles 30 et 58 (1) du RGPD.

La désignation du représentant a pour but, en matière de poursuites, de permettre aux autorités d’engager des actions en exécution « par le biais » du représentant désigné par un responsable de traitement ou sous-traitant non établi dans l’UE. Cela inclut la possibilité « d’adresser » (signifier ?) au représentant des amendes et pénalités administratives, infligées au responsable du traitement ou au sous-traitant non établi dans l’UE.

Il sera ainsi beaucoup plus facile de trouver des entreprise prêtes à assumer le rôle de représentant et le risque associé.

Étant donné qu’il n’est plus envisagé de sanctionner le représentant pour violation commise par le responsable du traitement ou sous-traitant hors UE, le CEPD a indiqué qu’il sera nécessaire de développer davantage les mécanismes de coopération internationale afin de permettre une application effective des sanctions.

  1. L’absence de position sur le transfert international initial

De nombreux débats ont eu lieu sur le point de savoir si les responsables du traitement ou sous-traitants hors UE, relevant du paragraphe 2 de l’article 3 du RGPD, devraient appliquer les mesures prévues au chapitre V (relatif aux transferts internationaux de données) du fait qu’ils traitent hors UE des données personnelles de personnes situées dans l’Union.

Certains estiment que, dans la mesure où le RGPD s’applique à ces responsables du traitement ou sous-traitant hors UE, compte tenu du niveau de protection qu’ils sont tenus d’assurer du fait de cette application directe, cela ne nécessiterait aucune mesure supplémentaire pour le flux de données entrant, en provenance de l’UE.

Dans l’hypothèse où les responsables du traitement, ou sous-traitants hors UE, devraient mettre en œuvre les mesures du chapitre V, cela pourrait s’avérer très compliqué pour ceux qui ne se trouvent pas dans un pays considéré comme adéquat (y compris aux États-Unis dans le cadre du Privacy Shield), puisqu’ils ne pourraient invoquer les exceptions de l’article 49, dans la mesure où ils n’auraient pas non plus de partenaire avec lequel conclure les clauses contractuelles types de l’UE.

Ici aussi, il nous semble qu’il faille que le CEPD se positionne, même si nous pensons qu’il n’y a peut-être pas de consensus en son sein sur ce sujet. Le CEPD a reconnu qu’il devait élaborer des lignes directrices sur la question du transfert international.

Critères supplémentaires

Outre les deux critères majeurs exposés ci-dessus, le RGPD comprend aussi d’autres règles concernant le champ d’application territorial :

  • Les États membres peuvent prévoir des dérogations locales sur certains points, ainsi que des critères locaux concernant le champ d’application territorial desdites dérogations. Ceci est notamment le cas en France, dans la Loi Informatique et Libertés.
  • Le RGPD s’applique au traitement en un lieu où le droit d’un État membre s’applique en vertu du droit international public.

Ces questions représentent bien évidemment des enjeux importants pour les entreprises qui cherchent à déterminer si le RGPD leur est applicable ; mais elles sont tout aussi importantes pour les entreprises devant respecter le RGPD dans leurs relations d’affaires avec des partenaires hors UE.

 

[1] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf