RGPD : la protection des données personnelles ne se limite pas toujours à l’UE !

Le Règlement général relatif à la protection des données (RGPD) soulève beaucoup de question chez les entrepreneurs européens. Son entrée en vigueur prévue pour le 25 mai 2018 oblige toutes les entreprises à s’y conformer dès lors qu’elles traitent des données personnelles. 

L’une des questions capitales concerne le champ d’application territorial de ce Règlement. Voici un point synthétique des informations à connaître. 

 

Le RGPD peut s’appliquer aux traitements “hors UE”

Le RGPD concerne la protection des données personnelles traitées par tous les responsables de traitement et tous les sous-traitants dont l’activité de leur établissement situé en Union européenne consiste à traiter ce type de données. Cette précision, prévue par l’article 3, point 1 du RGPD, indique qu’il n’est pas important que le traitement en lui-même ait lieu en dehors de l’Union européenne. 

En effet, ce qui compte véritablement, c’est que l’établissement du responsable de traitement ou du sous-traitant, dont l’activité est le traitement des données personnelles, soit situé sur le territoire de l’UE. 

Tous les responsables de traitement et sous-traitant qui traitent des données personnelles en dehors de l’UE doivent donc être vigilants : ils n’échappent pas au RGPD à partir du moment où leur établissement est dans l’Union. 

 

Le RGPD peut s’appliquer aux responsables de traitement “hors UE”

Le point numéro 2 de l’article 3 du RGPD précise que le Règlement s’applique aussi aux traitements de données personnelles effectuées par des responsables de traitement ou des sous-traitants établis hors de l’Union européenne dans certains cas. 

Si le traitement réalisé est relatif à des personnes résidant sur le territoire de l’UE leur propose une offre de biens ou de services, le RGPD trouve à s’appliquer. 

Il en va de même si le traitement vise à suivre le comportement de ces personnes dès lors que ce comportement a lieu sur le territoire de l’UE. 

Les responsables de traitement et sous-traitants établis en dehors de l’Union européenne sont donc loin de pouvoir échapper au RGPD. 

Pour illustrer ce cas de figure, nous pouvons évoquer les entreprises établies en Suisse qui proposent un service nécessitant un traitement de données aux résidents de l’UE. Bien que l’entreprise et le responsable de traitement soient en Suisse, donc en dehors de l’Union européenne, le RGPD doit s’appliquer. 

 

Veillez à désigner un représentant basé en UE

Les responsables de traitement et les sous-traitants qui sont situés en dehors de l’UE et qui effectue un traitement de données personnelles entrant dans le cadre de l’article 3, point 2 du RGPD, doivent impérativement désigner un représentant situé en Union européenne. 

Cette obligation découle de l’article 27 du RGPD et ne doit pas être oubliée. Un formalisme est à respecter car cette désignation doit être faite par écrit. 

On comprend donc bien que le fait de délocaliser le traitement, ou le responsable de traitement ou le sous-traitant, en dehors de l’UE ne permet pas d’échapper au RGPD à partir du moment où ce traitement vise des individus présents sur le territoire de l’Union. 

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer
Lire plus

L’Insee nous dit tout sur les seniors en perte d’autonomie à l’horizon 2070

La courbe démographique en France ne cesse de marquer le vieillissement de la population, entrainant par la même occasion l'augmentation du nombre de seniors en situation de perte d'autonomie. L'Insee et la Drees publient une étude commune qui montre que cette croissance sera forte jusqu'aux années 2045-2050 avant une stagnation à l'horizon des années 2070. ...

L’examen du PLFSS 2026 reporté au lundi 27 octobre

Le projet de loi de financement de la sécurité sociale pour 2026 (PLFSS 2026) devait être examiné en commission des affaires sociales à partir du jeudi 23 octobre 2025. Mais une lettre rectificative concernant l'insertion de la suspension de la réforme des retraites dans le texte impose de revenir à zéro. Le tout nouveau PLFSS 2026 doit donc être réexaminé en conseil des ministres et redéposé à l'Assemblée nationale. Conséquence directe : tout le processus est à...