L'article 3 du Règlement général sur la protection des données (RGPD) définit le champ d'application territorial du règlement. Il s'agit d'un article fondamental, car il détermine dans quelles situations le RGPD s'applique, y compris en dehors du territoire de l'Union européenne. Par cet article, le législateur européen a voulu garantir une protection effective et uniforme des données personnelles des personnes situées dans l'Union, tout en évitant que des acteurs économiques puissent échapper aux règles en s'établissant hors de l'UE.
L'article 3 consacre ainsi le principe d'application extraterritoriale du RGPD, qui constitue l'une des évolutions majeures par rapport aux textes antérieurs.
Texte officiel de l'article 3 du RGPD
L'article 3 du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016) dispose :
Le présent règlement s'applique au traitement de données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.
Le présent règlement s'applique au traitement de données à caractère personnel de personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées :
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement de ces personnes soit exigé ou non ;
b) au suivi de leur comportement, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement non établi dans l'Union, mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.
Principe d'application fondé sur l'établissement dans l'Union (article 3, paragraphe 1)
Le premier paragraphe pose le principe classique d'application territoriale du RGPD. Dès lors qu'un responsable de traitement ou un sous-traitant est établi sur le territoire de l'Union européenne, le règlement s'applique à l'ensemble des traitements réalisés dans le cadre de ses activités, indépendamment du lieu où le traitement est effectivement effectué.
La notion d'« établissement » doit être interprétée de manière large. Elle ne suppose pas nécessairement une présence juridique formelle, mais une activité réelle et effective exercée de façon stable. Une simple succursale, un bureau commercial ou une filiale peut suffire si elle participe aux activités de traitement.
Ainsi, une entreprise européenne qui externalise le traitement de données hors de l'UE, par exemple via des serveurs situés dans un pays tiers, demeure pleinement soumise au RGPD.
Principe d'application extraterritoriale du RGPD (article 3, paragraphe 2)
Le deuxième paragraphe constitue l'apport majeur de l'article 3. Il prévoit que le RGPD s'applique également aux responsables de traitement ou sous-traitants non établis dans l'Union européenne, dès lors que leurs traitements concernent des personnes situées dans l'Union.
Deux situations sont expressément visées.
La première concerne l'offre de biens ou de services à des personnes situées dans l'Union européenne. Il n'est pas nécessaire que ces services soient payants. L'élément déterminant est l'intention manifeste de cibler des personnes dans l'UE. Cette intention peut être caractérisée par différents indices, tels que l'utilisation d'une langue ou d'une monnaie d'un État membre, la mention de clients européens ou la possibilité de livraison dans l'Union.
La seconde situation concerne le suivi du comportement de personnes situées dans l'Union, dans la mesure où ce comportement a lieu au sein de l'UE. Cela inclut notamment les techniques de suivi en ligne, comme le traçage par cookies, le profilage à des fins publicitaires ou l'analyse des comportements de navigation.
Dans ces deux cas, une entreprise étrangère peut être soumise à l'ensemble des obligations du RGPD, même si elle n'a aucune implantation physique en Europe.
Application du RGPD par le droit international public (article 3, paragraphe 3)
Le troisième paragraphe prévoit une hypothèse plus spécifique. Le RGPD s'applique lorsque le traitement est effectué par un responsable de traitement non établi dans l'Union, mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.
Cette disposition vise notamment les ambassades, consulats, représentations diplomatiques ou certains navires et aéronefs placés sous la juridiction d'un État membre. Elle garantit que la protection des données personnelles s'applique également dans ces contextes particuliers.
Analyse juridique et portée de l'article 3
L'article 3 du RGPD marque une rupture avec les approches strictement territoriales antérieures. Il repose sur une logique de protection des personnes, plutôt que sur le seul lieu d'établissement des acteurs économiques. Ce choix permet d'assurer une protection effective des données personnelles des personnes situées dans l'Union, face à des acteurs mondialisés.
Il s'agit d'un article à forte portée interprétative. Les autorités de contrôle, dont la CNIL, ainsi que les juridictions, s'y réfèrent pour déterminer si une organisation entre ou non dans le champ d'application du RGPD avant d'examiner le respect des obligations matérielles du règlement.
Conséquences pratiques pour les entreprises
Pour les organisations, l'article 3 implique une vigilance accrue. Une entreprise non européenne peut être soumise au RGPD sans en avoir pleinement conscience, notamment lorsqu'elle exploite un site internet accessible en Europe ou utilise des outils de suivi des utilisateurs européens.
Lorsque le RGPD s'applique en vertu de l'article 3, les entreprises doivent respecter l'ensemble des obligations prévues par le règlement, y compris la désignation éventuelle d'un représentant dans l'Union européenne (article 27), la mise en place de mesures de sécurité appropriées et le respect des droits des personnes concernées.
Jurisprudence et lignes directrices
La jurisprudence relative à l'article 3 s'est principalement développée autour de la notion de ciblage et de suivi du comportement. Les lignes directrices du Comité européen de la protection des données (CEPD), notamment les lignes directrices 3/2018 sur le champ d'application territorial du RGPD, jouent un rôle central dans l'interprétation de cet article. Elles précisent les critères permettant de caractériser une offre de biens ou de services ou un suivi du comportement.
La CNIL s'appuie également sur ces lignes directrices pour ses contrôles et recommandations, en insistant sur l'analyse concrète des activités de traitement plutôt que sur la localisation formelle de l'entreprise.
Recommandations des autorités de protection des données
La CNIL et le CEPD recommandent aux organisations de procéder à une analyse préalable de leur champ d'application RGPD. Cette analyse doit intégrer les critères de l'article 3 afin de déterminer si le règlement s'applique et, le cas échéant, quelles obligations en découlent.
L'article 3 doit être lu en cohérence avec les considérants 22 à 25 du RGPD, ainsi qu'avec l'article 8 de la Charte des droits fondamentaux de l'Union européenne et l'article 16 du Traité sur le fonctionnement de l'Union européenne, qui consacrent la protection des données comme un droit fondamental autonome.
L'article 3 du RGPD définit le périmètre territorial du règlement et constitue l'un des piliers de son efficacité. En étendant l'application du RGPD au-delà des frontières de l'Union européenne, il garantit un haut niveau de protection des données personnelles pour toute personne située dans l'UE. Pour les entreprises, cet article impose une réflexion approfondie sur leurs activités de traitement et leur exposition au RGPD, sous peine de non-conformité et de sanctions.