LE RGPD : l’extraterritorialité est bien sa marque de fabrique

22 avril 2021

Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne concernant le traitement des données à caractère personnel. Il est en application depuis le 25 mai 2018. C’est un règlement européen et donc, contrairement à une directive, Il s’applique de droit sans aucune transposition dans les droits nationaux des pays de l’Union. Le RGPD s’applique à toute entreprise traitant des données privées de personnes sur le territoire de l’Union (résidents ou non) mais il s’étend également aux données traitées hors du territoire européen dans certaines conditions. Il est donc tout à fait novateur et constitue un premier pas vers la souveraineté européenne de la gestion des données personnelles dans le cadre de leurs activités marchandes par exemple. Ce texte va cependant plus loin que certains peuvent le penser et il est en train de révolutionner la manière dont les multinationales du numérique doivent désormais gérer le flux des données personnelles qu’elles collectent. En effet, le champ d’application du RGPD inclut le principe d’extraterritorialité. Si l’’article 3 du Règlement s’applique aux responsables de traitement des données et à leurs sous-traitants établis dans l’UE, Il s’applique également sous certaines conditions à ceux établis hors de l’EU. Pour que le RGPD s’applique, deux critères à retenir :
  • le lieu d’établissement du responsable du traitement des données et/ou celui de son sous-traitant et/ou
  • Celui du lieu de situation des personnes concernées par le traitement.
En conséquence, si le responsable du traitement et/ou ses sous-traitants sont établis dans l’UE, alors le règlement s’applique de plein droit que le traitement ait lieu ou non dans l’UE. Si le responsable du traitement des données et/ou ses sous-traitants sont établis hors de l’UE mais que leur activité concerne « l’offre de biens ou de services ou la surveillance des comportements »de personnes sur le territoire européen, alors le règlement s’applique également.

Sans aucune discussion possible, les entreprises qui ne sont pas implantées dans l’UE peuvent donc relever du champ d’application du RGPD si elles proposent des biens ou des services à des particuliers dans l’UE.

On peut donc en déduire que toute personne se trouvant sur le territoire de l’UE dont les données personnelles sont traitées, est protégée par le RGPD. En revanche une personne qui se trouve hors de l’UE n’est pus protégée par le RGPD, à moins que ses données personnelles ne soient traitées par une société exerçant sur le sol européen. Le RGPD s’applique donc bien dans l’UE et en dehors de l’UE, les instances européennes tirant profit du principe de l’extraterritorialité ce qui était pour l’instant l’apanage des USA. L’Europe ne s’est pas cependant autorisée à pouvoir fouiller les données de citoyens non européens, résidents hors de l’Union.

Benjamin Martin-Tardivat

Associé fondateur du Cabinet d’avocats WITETIC, Benjamin Martin-Tardivat accompagne les entreprises et les créateurs depuis plus de 20 ans dans la gestion de leur patrimoine immatériel que ce soit en matière de propriété intellectuelle (stratégies, audits, protections, valorisations, défense, …) ou en matière de compliance (mise en conformité RGPD). Spécialisé dans la protection des données personnelles, il intervient comme Data Protection Officer (« DPO ») auprès de nombreuses sociétés et associations françaises et étrangères. Il forme étudiants, créateurs d’entreprises et administrations afin de les sensibiliser aux problématiques du droit d’auteur, de la propriété industrielle et de la protection des données dans la société de l’information et l’impact des nouvelles technologies et de l’IA dans ces domaines.

Colette Bouckaert

Directrice de Cabinet de Jean-Marie Cavada dans l’exercice de son mandat de Député européen pendant dix ans, Colette Bouckaert a mis à profit son expertise juridique en matière de droit de la propriété intellectuelle, acquise au cours de sa carrière de juriste pour assister et accompagner ce dernier dans l’ensemble des travaux qu’il a menés dans la Commission des Affaires juridiques et celle de la Culture et de l’éducation..

L’Institut

À la fois enjeu de nos sociétés démocratiques et ingrédient stratégique pour les acteurs économiques, les données numériques sont au coeur des grands questionnements autour du monde digital. La gouvernance des données ne peut plus s’en remettre au hasard des initiatives isolées ou aux simples lois du marché : elle doit être, à différents niveaux, régulée, organisée, codifiée. Si le règlement européen RGPD constitue une avancée majeure reconnue bien au-delà des frontières de l’UE, il ne suffira pas.

Initiative de juristes, chercheurs, universitaires, ONG, acteurs de l’écosystème numérique et personnalités publiques, l’Institut des Droits Fondamentaux Numériques est né de cette importance et de l’urgence d’une réelle gouvernance des données, protectrice à la fois des droits des individus (citoyens, consommateurs), et de ceux des entreprises et organisations.

Plus d’articles

Artificial Intelligence Act : l’Union européenne invente la pyramide des risques de l’Intelligence Artificielle (IA)

Artificial Intelligence Act : l’Union européenne invente la pyramide des risques de l’Intelligence Artificielle (IA)

Alexandra Bensamoun
L’intelligence artificielle (IA) n’est plus une science réservée aux informaticiens. Le temps est venu, pour les juristes d’aujourd’hui, de s’en emparer pour construire la législation de demain. En effet, la croissance rapide de la technologie, notamment du fait de l’augmentation des capacités de calcul et de stockage, des progrès en algorithmie …

lire plus
L’arrêt French Data Network du Conseil d’Etat : l’art d’une réponse contournée à des questions fondamentales

L’arrêt French Data Network du Conseil d’Etat : l’art d’une réponse contournée à des questions fondamentales

Henri Labayle
Rares sont les jurisprudences qui donnent lieu à des appréciations aussi contrastées que celles provoquées par l’arrêt rendu en Assemblée le 21 avril 2021, French Data Network (FNA pour la commodité de l’écriture). « Frexit sécuritaire » ou « Frexit juridictionnel » pour certains ou, à tout le moins, devenu « gardien de la sécurité » pour d’autres, le même arrêt traduirait en réalité un « dialogue des juges en trompe l’œil » …

lire plus

Contactez-nous

Adresse

179, boulevard Haussmann 75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux