EDPB : lignes directrices sur l’application territoriale du RGPD

EDPBLe Comité européen à la protection des données (EDPB) vient de publier son projet de lignes directrices relatives à l’application territoriale du RGPD. Soumis à consultation jusqu’au 18 janvier 2019, le projet apporte un éclairage sur les critères listés à l’article 3 du RGPD.

Pour mémoire, le RGPD est applicable au traitement des données effectué dans le cadre des activités d’un établissement, d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union (art. 3 (1)).

Dans l’hypothèse où le responsable du traitement ou le sous-traitant ne serait pas établi au sein de l’UE, il peut être tenu d’appliquer les dispositions du RGPD dans l’hypothèse où cet organisme mettrait en œuvre un traitement lié à l’offre de biens ou de services à des personnes dans l’UE ou si ce traitement est lié au suivi du comportement de ces personnes (art. 3).

Ce projet de lignes directrices vient préciser utilement certains points et propose des exemples concrets permettant d’illustrer des situations dans lesquelles le RGPD viendrait à s’appliquer ou non. Vous trouverez résumés ci-dessous les points saillants de ce projet.

Les entreprises établies en Europe

L’EDPB souligne que l’article 3 concerne non seulement les responsables du traitement mais également des sous-traitants établis sur le territoire de l’UE, ce qui a pour effet d’élargir le périmètre des organismes assujettis à la réglementation. En outre, cela pourrait conduire à des situations dans lesquelles un sous-traitant serait tenu d’appliquer le RGPD concernant les opérations de traitement auxquelles il procède alors même que le responsable de ces traitements ne serait pas soumis à cette réglementation, car non établi sur le territoire de l’UE ou que les opérations ne viseraient pas des personnes s’y trouvant. Situation quelque peu paradoxale….

Dans ces hypothèses, les lignes directrices rappellent que le sous-traitant doit respecter les dispositions qui lui incombent en application du RGPD, notamment désigner un DPO ou tenir un registre des activités de traitement. En ce qui concerne les dispositions devant figurer dans le contrat, conformément à l’article 28 du Règlement, l’EDPB précise que le contrat doit comporter les clauses figurant à l’article 28, à l’exception de celles relatives à l’assistance du responsable du traitement et visant à permettre à ce dernier de respecter les dispositions du RGPD.

Dans la mesure où le responsable du traitement n’est pas soumis à cette obligation, cette exception apparaît relever du bon sens. Il serait cependant souhaitable que le CEPD liste avec précision les clauses qui relèvent de cette catégorie, afin de lever toute ambiguïté. En effet, dans la mesure où le sous-traitant est soumis au RGPD, il semblerait délicat de considérer qu’il n’est pas tenu d’alerter le responsable du traitement, dans l’hypothèse où celui-ci lui communiquerait des instructions illicites.

Les organismes non établis en Europe et le one stop shop

L’EDPB rappelle que les organismes non établis au sein de l’Union européenne mais tenus d’appliquer le RGPD ne peuvent pas bénéficier du mécanisme du one stop shop et désigner une autorité chef de file. Si une telle interprétation apparaît logique à la lecture du texte, on peut, cette fois, regretter une absence de paragrammatisme.

En effet, réussir à faire appliquer le RGPD a des entreprises non établies au sein de l’Union européenne apparaît relativement complexe, comme l’illustre le cas du Washington Post, averti par l’ICO pour sa politique de cookies payants. Dès lors, envisager que ces organismes puissent répondre aux exigences de plusieurs régulateurs, voire des 28, apparaît quelque peu utopique.

Les critères de ciblage des personnes concernées en Europe

L’EDPB revient sur l’interprétation de la notion d’offre de biens ou de services à destination de personnes se trouvant au sein de l’UE. Il précise que cette notion est cohérente avec celle de la CJCU relative au site internet « dirigé vers ». Le tribunal a retenu que pour déterminer si un opérateur entendait diriger son activité vers le domicile d’un consommateur dans un autre état membre, il devait avoir manifesté son intention d’établir des relations commerciales avec ces consommateurs.

En l’espèce, l’EDPB complète la liste des critères permettant, sur la base d’un faisceau d’indices, de déterminer si une entreprise entend fournir des biens et des services à des personnes situées en Europe. On peut, notamment, citer le fait qu’un pays membre de l’UE soit nommément désigné dans l’offre ou le service offert, l’existence d’une adresse mail ou d’un numéro de téléphone dans l’UE, l’utilisation d’un nom de domaine de premier niveau comme « .eu » ou la mention d’une clientèle internationale composée de clients domiciliés dans divers Etats membres de l’UE, etc.

Le rôle et la responsabilité du représentant

L’EDPB considère que la fonction de représentant au sein de l’UE est incompatible avec celle de DPO, notamment avec l’exigence d’indépendance attachée à la fonction de DPO. Il apparaît, en effet, que le représentant doit agir au nom et pour le compte du responsable du traitement ou du sous-traitant l’ayant mandaté et sur ses instructions. Enfin, l’EDPB indique clairement que l’objectif de l’introduction du représentant dans la réglementation était de permettre de sanctionner ces entreprises. Il considère, dès lors, que le représentant est susceptible de se voir condamné de la même manière.

Aurélie Banck
Département Conformité RGPD Banques et Assurances

(1) EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)