Le Règlement général relatif à la protection des données (RGPD) soulève beaucoup de question chez les entrepreneurs européens. Son entrée en vigueur prévue pour le 25 mai 2018 oblige toutes les entreprises à s’y conformer dès lors qu’elles traitent des données personnelles.
L’une des questions capitales concerne le champ d’application territorial de ce Règlement. Voici un point synthétique des informations à connaître.
Le RGPD peut s’appliquer aux traitements “hors UE”
Le RGPD concerne la protection des données personnelles traitées par tous les responsables de traitement et tous les sous-traitants dont l’activité de leur établissement situé en Union européenne consiste à traiter ce type de données. Cette précision, prévue par l’article 3, point 1 du RGPD, indique qu’il n’est pas important que le traitement en lui-même ait lieu en dehors de l’Union européenne.
En effet, ce qui compte véritablement, c’est que l’établissement du responsable de traitement ou du sous-traitant, dont l’activité est le traitement des données personnelles, soit situé sur le territoire de l’UE.
Tous les responsables de traitement et sous-traitant qui traitent des données personnelles en dehors de l’UE doivent donc être vigilants : ils n’échappent pas au RGPD à partir du moment où leur établissement est dans l’Union.
Le RGPD peut s’appliquer aux responsables de traitement “hors UE”
Le point numéro 2 de l’article 3 du RGPD précise que le Règlement s’applique aussi aux traitements de données personnelles effectuées par des responsables de traitement ou des sous-traitants établis hors de l’Union européenne dans certains cas.
Si le traitement réalisé est relatif à des personnes résidant sur le territoire de l’UE leur propose une offre de biens ou de services, le RGPD trouve à s’appliquer.
Il en va de même si le traitement vise à suivre le comportement de ces personnes dès lors que ce comportement a lieu sur le territoire de l’UE.
Les responsables de traitement et sous-traitants établis en dehors de l’Union européenne sont donc loin de pouvoir échapper au RGPD.
Pour illustrer ce cas de figure, nous pouvons évoquer les entreprises établies en Suisse qui proposent un service nécessitant un traitement de données aux résidents de l’UE. Bien que l’entreprise et le responsable de traitement soient en Suisse, donc en dehors de l’Union européenne, le RGPD doit s’appliquer.
Veillez à désigner un représentant basé en UE
Les responsables de traitement et les sous-traitants qui sont situés en dehors de l’UE et qui effectue un traitement de données personnelles entrant dans le cadre de l’article 3, point 2 du RGPD, doivent impérativement désigner un représentant situé en Union européenne.
Cette obligation découle de l’article 27 du RGPD et ne doit pas être oubliée. Un formalisme est à respecter car cette désignation doit être faite par écrit.
On comprend donc bien que le fait de délocaliser le traitement, ou le responsable de traitement ou le sous-traitant, en dehors de l’UE ne permet pas d’échapper au RGPD à partir du moment où ce traitement vise des individus présents sur le territoire de l’Union.
