Un nouveau projet de lignes directrices du Comité Européen à la Protection des Données (« CEPD ») a été publié le 23 novembre dernier sur un sujet majeur : le champ d’application territorial du RGPD.
Pour rappel, le sujet du champ d’application du RGPD est traité à l’article 3 de ce règlement et dépend de deux critères : (i) le critère de « l’établissement » ; (ii) le critère du « ciblage ».
Les lignes directrices proposées par le CEDP visent à mieux appréhender l’application de ces critères, en donnant notamment des exemples pratiques.
Nous vous livrons dans le présent article un aperçu de quelques points importants de ce projet (lequel fait 23 pages et existe uniquement en version anglaise).
- S’agissant du critère dit de « l’établissement »
Le CEDP se réfère à la jurisprudence de la CJUE, pour donner une interprétation large de ce critère.
Aussi, le CEPD indique que les sous-traitants situés dans l’UE doivent bien respecter le RGPD, quand bien même le responsable de traitement est situé hors UE ou ne traite pas de données à caractère personnel relatives à des personnes situées en UE.
Dans cette hypothèse particulière, les exigences de l’article 28 du RGPD doivent bien être reprises dans le contrat du sous-traitant à l’exception de celles relatives à l’aide apportée au responsable de traitement afin qu’il soit conforme au RGPD (ce qui n’est pas véritablement clair).
- S’agissant du critère dit du « ciblage »
Le CEPD rejoint à nouveau l’interprétation donnée par la CJUE, à savoir la notion de site internet dirigé vers des personnes de l’UE et propose des éléments supplémentaires pour pouvoir retenir l’existence d’un tel « ciblage » :
- l’offre ou le service concernés désignent nommément un Etat membre de l’UE ;
- une adresse courriel ou un numéro de téléphone de l’UE sont indiqués ;
- un nom de domaine type « .eu » est utilisé ;
Le CEPD précise également que le représentant au sein de l’UE, qui doit être désigné par le responsable de traitement/le sous-traitant qui répond au critère du ciblage (cf. article 27 du RGPD), ne peut être le DPO externalisé et peut être sanctionné comme le responsable de traitement ou le sous-traitant, en cas de manquement aux obligations visées dans le RGPD. Le statut d’un tel représentant est donc lourd de conséquence
Ces lignes directrices ont été soumises à consultation publique jusqu’au 18 janvier prochain.
