CONTACT

Le projet de lignes directrices du CEPD sur le champ d’application territorial du RGPD 

14 janvier 2019 | Derriennic Associés|

Un nouveau projet de lignes directrices du Comité Européen à la Protection des Données (« CEPD ») a été publié le 23 novembre dernier sur un sujet majeur : le champ d’application territorial du RGPD.

Pour rappel, le sujet du champ d’application du RGPD est traité à l’article 3 de ce règlement et dépend de deux critères : (i) le critère de « l’établissement » ; (ii) le critère du « ciblage ».

Les lignes directrices proposées par le CEDP visent à mieux appréhender l’application de ces critères, en donnant notamment des exemples pratiques.

Nous vous livrons dans le présent article un aperçu de quelques points importants de ce projet (lequel fait 23 pages et existe uniquement en version anglaise).

  • S’agissant du critère dit de « l’établissement »

Le CEDP se réfère à la jurisprudence de la CJUE, pour donner une interprétation large de ce critère.

Aussi, le CEPD indique que les sous-traitants situés dans l’UE doivent bien respecter le RGPD, quand bien même le responsable de traitement est situé hors UE ou ne traite pas de données à caractère personnel relatives à des personnes situées en UE.

Dans cette hypothèse particulière, les exigences de l’article 28 du RGPD doivent bien être reprises dans le contrat du sous-traitant à l’exception de celles relatives à l’aide apportée au responsable de traitement afin qu’il soit conforme au RGPD (ce qui n’est pas véritablement clair).

  • S’agissant du critère dit du « ciblage »

Le CEPD rejoint à nouveau l’interprétation donnée par la CJUE, à savoir la notion de site internet dirigé vers des personnes de l’UE et propose des éléments supplémentaires pour pouvoir retenir l’existence d’un tel « ciblage » :

  • l’offre ou le service concernés désignent nommément un Etat membre de l’UE ;
  • une adresse courriel ou un numéro de téléphone de l’UE sont indiqués ;
  • un nom de domaine type « .eu » est utilisé ;

Le CEPD précise également que le représentant au sein de l’UE, qui doit être désigné par le responsable de traitement/le sous-traitant qui répond au critère du ciblage (cf. article 27 du RGPD), ne peut être le DPO externalisé et peut être sanctionné comme le responsable de traitement ou le sous-traitant, en cas de manquement aux obligations visées dans le RGPD. Le statut d’un tel représentant est donc lourd de conséquence

Ces lignes directrices ont été soumises à consultation publique jusqu’au 18 janvier prochain.

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo