b

Une application extra-territoriale du règlement

< Rapport d'information >

Le règlement s’applique quelle que soit la forme juridique de l’établissement concerné. Son considérant 22 précise, en effet, que : « L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. » (50)

Par ailleurs, le champ d’application territorial du règlement a été élargi pour le mettre en conformité avec la jurisprudence de la Cour de justice de l’Union européenne dans l’arrêt Google c/Espagne rendu le 13 mai 2014. Celle-ci a, en effet, considéré que la directive était territorialement applicable bien que le traitement soit effectué par Google Inc. – dont le siège social est établi à Mountain View – tandis que l’activité de Google Spain, établissement qui a son siège à Madrid, se limitait à la promotion des ventes d’espaces publicitaires. Même si le traitement n’était pas réalisé par l’établissement espagnol, la Cour de justice a relevé qu’il suffisait qu’il soit réalisé « dans le cadre » de ses activités pour se voir appliquer la directive (51).

Ainsi, le règlement s’applique aux entreprises qui ne sont pas établies sur le territoire de l’Union européenne mais qui traitent des données de personnes qui se trouvent sur le territoire de l’Union européenne. En effet, en application des considérants 23 et 24 du règlement, un responsable de traitements ou un sous-traitant qui ne dispose pas d’un établissement au sein de l’Union européenne se verra tout de même soumis au règlement :

lorsque ses activités de traitement sont liées à une offre de biens ou de services à des personnes qui se trouvent sur le territoire de l’Union européenne, qu’un paiement soit exigé ou non.

Le règlement précise que des facteurs tels que « l’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union » (52) peuvent indiquer clairement que le responsable du traitement envisage d’offrir des biens ou des services à des personnes qui se trouvent sur le territoire de l’Union européenne. (53)

lorsque le traitement est lié au suivi du comportement des personnes qui se trouvent sur le territoire de l’Union européenne.

Le règlement indique que sont concernées notamment les techniques de profilage d’une personne physique permettant « notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit ». (54)

En pratique, le droit européen s’appliquera chaque fois qu’un résident européen, quelle que soit sa nationalité, sera directement visé par un traitement de données, y compris par internet et par le biais d’objets connectés (par exemple les montres connectées, les objets mesurant l’activité physique, les appareils domotiques, consoles de jeux connectées), quels que soient la nature et la localisation du support de stockage et de traitement ( 55 ) .

Les responsables de traitement ou les sous-traitants devront désigner par écrit un représentant au sein de l’Union européenne pour assurer leur représentation juridique, même s’ils ne disposent pas d’un établissement ( 56 ). Cette désignation n’exonère en rien le responsable de traitements de sa responsabilité « puisque la désignation d’un représentant est sans préjudice d’actions en justice qui pourraient être intentées contre les responsables du traitement et sous-traitant eux-mêmes » (article 27 du règlement).

< Rapport d'information >