Vous avez une société installée en France ou ailleurs en Europe ? Vous traitez des données personnelles ? Même si vos clients sont situés hors de l’Union européenne, le RGPD peut s’appliquer à vous. Le critère d’établissement est l’un des piliers du champ d’application territorial du règlement. Il détermine dans quelles situations une entreprise, même étrangère, doit se conformer aux règles européennes. Découvrez comment ce critère fonctionne, pourquoi il concerne autant les multinationales que les PME, et ce que cela implique concrètement pour votre conformité.
1) Le critère d’activité dirigée : un pont juridique entre l’UE et le reste du monde
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Il a remplacé la directive 95/46/CE et modifié profondément la portée territoriale du droit européen. Le champ d’application ne s’arrête plus aux frontières physiques de l’Union européenne.
L’article 3, paragraphe 2 du RGPD, prévoit que le règlement s’applique aux entreprises non établies dans l’UE, dès lors qu’elles proposent des biens ou services à des personnes situées dans l’Union, ou qu’elles suivent leur comportement.
Le texte vise donc les sociétés étrangères qui, sans avoir de filiale en Europe, s’adressent clairement à un public européen. L’objectif est de protéger les personnes situées dans l’Union, quels que soient le lieu d’implantation ou la nationalité de l’organisme.
Ce critère ne nécessite pas de structure locale. Il suffit que l’activité démontre une volonté de cibler le marché européen, ou de recueillir des informations sur ses résidents.
2) L’offre de biens ou services : quand une entreprise étrangère vise des résidents européens
Il ne suffit pas que votre site soit accessibles depuis l’Europe pour tomber sous le coup du RGPD. Il faut démontrer une intention réelle de proposer quelque chose aux personnes présentes dans l’Union européenne.
Plusieurs indices permettent de caractériser cette offre :
- L’usage d’une langue locale, comme le français, l’allemand ou l’espagnol, est un signal. Si vous proposez vos contenus dans une ou plusieurs langues utilisées dans l’UE, cela montre un ciblage.
- L’affichage de prix en euros, ou l’intégration de moyens de paiement européens, est également révélateur.
- Vous permettez des livraisons en Europe ? Vous citez des clients situés dans l’UE ? Votre service est spécifiquement accessible aux utilisateurs européens ? Tous ces éléments indiquent une activité dirigée.
Il est important de noter que la gratuité du service ne change rien. Une offre gratuite, comme des conseils ou des outils numériques, peut parfaitement entrer dans le champ du RGPD si elle est destinée à un public européen.
La CNIL a rappelé dans plusieurs décisions que même une application mobile gratuite, mise à disposition en langue française, pouvait suffire à entraîner l’application du règlement.
3) Le suivi de comportement : cookies, traçage et analyse en ligne
Le second volet du critère d’activité dirigée concerne, cette fois, le suivi du comportement. Il s’applique aux entreprises étrangères qui, bien qu’implantées hors de l’Union européenne, analysent les habitudes de navigation ou d’utilisation des personnes se trouvant sur le territoire de l’UE.
Concrètement, ce suivi peut s’effectuer par divers moyens techniques. Par exemple, l’utilisation de cookies, de traceurs, ou encore de pixels espions permet de recueillir des informations sur la navigation des internautes. Ces outils sont, le plus souvent, déployés dans le but d’établir un profil utilisateur. En général, ils croisent des données issues de la navigation, de la géolocalisation ou de l’utilisation d’une application mobile.
Dès lors que les données collectées servent à analyser ou à prédire le comportement d’une personne située dans l’Union, le RGPD entre en jeu. Peu importe, à ce stade, que les données soient stockées en dehors de l’UE. En effet, ce qui compte avant tout, c’est l’objectif du traitement, et non son emplacement technique.
En revanche, une analyse d’audience strictement anonyme, limitée à la production de statistiques générales, ne relève pas nécessairement du suivi tel que défini par le RGPD. Toutefois, dès que les données permettent d’identifier ou de profiler un utilisateur, le règlement devient applicable.
À titre d’exemple, une application mobile développée par une entreprise américaine, proposée en langue française, intégrant des traceurs publicitaires, et destinée à un public situé en France, entre dans le champ du RGPD. Et ce, même si tous les traitements sont effectués depuis l’étranger.
Enfin, la CNIL a précisé que le profilage marketing, qu’il serve à adapter des publicités ou à personnaliser une interface, est bien considéré comme un suivi de comportement. Ce constat s’applique y compris en l’absence de transaction commerciale.
4) Le critère des moyens : une ancienne logique aujourd’hui dépassée
Avant l’entrée en vigueur du RGPD, la directive européenne de 1995 reposait sur un autre fondement territorial : le critère des moyens. Ce dernier s’appliquait aux entreprises non établies en France, dès lors qu’elles utilisaient des moyens de traitement situés sur le territoire français.
Ainsi, la présence d’un serveur hébergé en France, d’un terminal installé localement, ou même le simple dépôt d’un cookie sur l’appareil d’un utilisateur français suffisait à justifier l’application du droit national. À cette époque, le Groupe de l’article 29 ainsi que la CNIL adoptaient une interprétation large de ce critère. Ils y intégraient aussi bien des ressources techniques que des ressources humaines, dès lors que celles-ci contribuaient, même partiellement, à un traitement de données personnelles.
Ce critère a continué de produire des effets de manière transitoire jusqu’au 1er juin 2019. C’est à cette date que l’ordonnance du 12 décembre 2018 a achevé la transposition complète du RGPD dans le droit français. Depuis lors, seul le critère d’activité dirigée s’applique aux entreprises qui ne sont pas établies dans l’Union européenne.
Revenir sur cet historique permet de mieux comprendre l’évolution du droit applicable. Il montre clairement que la France, tout comme l’Union européenne, a toujours cherché à garantir un haut niveau de protection des données personnelles de ses résidents, y compris face à des entreprises étrangères opérant à distance.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
- Règlement (UE) 2016/679 – RGPD
- Loi n° 78-17 du 6 janvier 1978 – Informatique et Libertés
- Ordonnance n° 2018-1125 du 12 décembre 2018
- Directive 95/46/CE – Texte fondateur
- CEPD – Lignes directrices 3/2018
- CNIL – Recommandations sur les applications mobiles
- Groupe de l’article 29 – Avis sur le droit applicable et moteurs de recherche
