Imprimer

Le champ d’application du GDPR : à qui et à quoi s’applique-t-il ?



Compétence matérielle

L’article 2 du Règlement 2016/679 (cf. Note 1) dispose que celui-ci « s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

Le champ d’application matériel du Règlement ne diffère pas de celui de la Directive qu’il remplace.

Quatre exemptions sont prévues à l’article 2.2 du Règlement et ainsi le Règlement ne s'applique pas au traitement de données à caractère personnel effectué:

a. dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;

b. par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne;

c. par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;

d. par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Concernant l’exemption du traitement effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique le considérant 18 du Règlement précise que cette activité ne peut avoir aucun lien avec une activité professionnelle ou commerciale.

Le considérant 18 donne ensuite quelques exemples de traitements tels que « l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités ». Néanmoins, le considérant 18 poursuit en nuançant cette exemption en ce que le Règlement « s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques ».


Champ d’application territorial

Le champ territorial du Règlement est volontairement très large afin d’assurer une protection efficace à l’ensemble des personnes concernées présentes dans l’UE.

Le Règlement s’applique lorsque le responsable du traitement ou un sous-traitant a un établissement sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE (cf. Note 2) .

Lorsque le responsable du traitement ou le sous-traitant n’est pas établi sur le territoire de l’UE, le Règlement trouve également à s’appliquer dès le moment où le traitement des données à caractère personnel est relatif à des personnes concernées qui se trouvent sur le territoire de l’UE, et que le traitement est lié à l’offre de biens ou de services à ces personnes, sans qu’un paiement pour ces biens et services soit exigé (cf. Note 3) .

Il en va de même du responsable du traitement ou du sous-traitant non établi sur le territoire dont le traitement viserait au suivi du comportement des personnes concernées se trouvant sur le territoire de l’UE dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE.

Les considérants 22 à 26 du Règlement détaillent certains aspects de l’article 3 du Règlement.

Ainsi au considérant 23 il est précisé que « Alors que la simple accessibilité du site internet du responsable du traitement, d'un sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention, des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d’offrir des biens ou des services à des personnes concernées dans l’Union ».

Pour le dire plus clairement le fait pour un établissement hôtelier établi en Serbie présentant une version française de son site internet sur laquelle il propose la réservation de chambres en euro suffira à faire entrer cet hôtel dans le champ d’application du Règlement.

Enfin lorsque le responsable du traitement ou le sous-traitant n’est pas établi dans l’UE il a pour obligation de désigner par écrit un représentant dans l’Union (cf. Note 4) .


Définitions

Le Chapitre I – Dispositions générales se clôture par 26 définitions (cf. Note 5) parmi lesquelles celle de données à caractère personnel, de traitement, de limitation du traitement, de profilage, de pseudonymisation, de responsable du traitement, de sous-traitant, de consentement ou encore de représentant ou d’entreprise.




Létitia Dumont
Claude Englebert

Avocats | DBB Defenso Avocats
LDumont@dbblaw.eu




Notes:

(1) Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

(2) Article 3.1 du Règlement 2016/679.

(3) Article 3.2 du Règlement 2016/679

(4) Article 27 du Règlement 2016/679

(5) Article 4 du Règlement 2016/679

Imprimer cette fiche (format A4)