Vous avez une société installée en France ou ailleurs en Europe ? Vous traitez des données personnelles ? Même si vos clients sont situés hors de l’Union européenne, le RGPD peut s’appliquer à vous. Le critère d’établissement est l’un des piliers du champ d’application territorial du règlement. Il détermine dans quelles situations une entreprise, même étrangère, doit se conformer aux règles européennes. Découvrez comment ce critère fonctionne, pourquoi il concerne autant les multinationales que les PME, et ce que cela implique concrètement pour votre conformité.
1) Comprendre le critère d’établissement : un fondement territorial élargi
Le Règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. Il est venu remplacer la directive 95/46/CE de 1995, dont les règles étaient parfois trop limitées face aux enjeux du numérique. L’un des apports majeurs du RGPD réside dans l’élargissement de son champ d’application territorial, pour garantir une meilleure protection des données, quel que soit le lieu du responsable du traitement.
Le critère d’établissement est désormais central. Il signifie que le RGPD s’applique à toute entreprise, organisation ou acteur économique qui dispose d’un établissement sur le territoire de l’Union européenne, dès lors que celui-ci intervient dans un traitement de données personnelles. Peu importe que les personnes concernées se trouvent en Europe ou non.
La logique est simple : si vous avez une base en Europe et que vous traitez des données, vous êtes concerné. Cela permet d’éviter que des entreprises étrangères échappent au RGPD simplement parce qu’elles sont techniquement localisées ailleurs. L’objectif est de protéger les personnes, pas les systèmes.
2) Que signifie “établissement” au sens du RGPD ?
Le RGPD ne donne pas de définition rigide de l’établissement. Il adopte une approche fonctionnelle. Un établissement, c’est une présence stable et réelle dans un pays membre de l’Union. Cela peut être :
-
une filiale ;
-
une succursale ;
-
un bureau de représentation ;
-
un employé isolé, s’il joue un rôle actif dans l’activité de traitement.
La personnalité juridique de l’entité n’a aucune importance. Il n’est pas nécessaire d’avoir un siège social ou une structure indépendante. La taille de l’établissement n’est pas non plus un critère. Même une petite entité, avec des moyens humains ou techniques limités, peut suffire à entraîner l’application du RGPD.
Le Comité européen de la protection des données (CEPD), autorité de référence en matière d’interprétation du RGPD, a précisé que le lien entre l’établissement et le traitement n’a pas besoin d’être direct. Il suffit que l’établissement facilite, soutienne ou soit économiquement lié au traitement en question.
Ce principe a été validé par la Cour de justice de l’Union européenne dans plusieurs arrêts, notamment l’affaire Google Spain. La Cour a jugé que même si le traitement était effectué hors de l’Union, il était concerné par le RGPD dès lors qu’un établissement en Europe assurait la monétisation de l’activité (par exemple, via la vente de publicité ciblée).
3) Un critère qui s’applique aussi aux sous-traitants
On pense souvent à tort que seules les grandes entreprises sont concernées par le RGPD. Pourtant, ce critère d’établissement s’applique aussi aux sous-traitants. Si une entreprise sous-traite des traitements de données personnelles à une autre entité située dans l’Union européenne, cette dernière est directement soumise au RGPD, même si le donneur d’ordre est situé hors UE.
Un sous-traitant européen devra donc mettre en œuvre les obligations du RGPD : sécurité des données, traçabilité, information des personnes concernées, etc. Il devra également conclure un contrat spécifique avec le responsable du traitement, intégrant les clauses prévues par le RGPD.
Ce point est important pour toutes les structures françaises qui travaillent pour le compte d’entreprises étrangères. Le critère d’établissement joue ici un rôle de porte d’entrée vers l’application du règlement européen. Il impose aux sous-traitants de respecter l’ensemble des obligations du RGPD, et ce, même si le traitement ne cible pas spécifiquement des citoyens européens.
Le RGPD sert de boussole pour relever ces défis. Les bonnes pratiques incluent la formation des agents, la mise en place de politiques internes claires et la réalisation d’analyses d’impact (PIA) pour les projets à haut risque. L’aide d’un cabinet spécialisé, comme Deshoulières Avocats, peut être précieuse pour déminer les sujets complexes et sécuriser juridiquement les démarches.
4) L’établissement principal et les traitements transfrontaliers
Le RGPD introduit aussi la notion d’établissement principal, applicable dans les cas de traitement transfrontalier. Cela concerne une entreprise qui a plusieurs établissements dans différents pays européens, et dont les traitements affectent des personnes dans plusieurs États membres.
L’intérêt de cette notion est de désigner une seule autorité de contrôle compétente, qu’on appelle l’autorité chef de file. Cette autorité sera chargée de superviser le traitement, de recevoir les plaintes et d’éventuellement prononcer des sanctions. En France, cette autorité est la CNIL.
Mais attention, l’établissement principal n’est pas simplement le plus gros ou celui où le siège est situé. Il s’agit de celui où les décisions sur les finalités et les moyens des traitements sont effectivement prises. Il faut donc mener une analyse précise, au cas par cas.
Si vous êtes sous-traitant, l’établissement principal est celui qui exécute la plus grande partie des activités de traitement. Cette localisation a un impact direct sur votre stratégie de conformité. Elle influence aussi la relation que vous aurez avec les autorités de protection.
5) En pratique : comment savoir si vous êtes concerné ?
Voici quelques situations typiques qui déclenchent l’application du RGPD selon le critère d’établissement :
Vous êtes une start-up canadienne avec un bureau marketing à Paris. Vous utilisez ce bureau pour gérer vos campagnes de publicité. Le RGPD s’applique car l’établissement européen contribue à l’activité de traitement.
Vous êtes une société suisse qui externalise la gestion de ses clients à un call-center en Belgique. Le RGPD s’applique, même si les clients sont suisses, car le traitement est effectué depuis un établissement situé dans l’UE.
Vous êtes une société américaine, et vous traitez les données de vos utilisateurs depuis un serveur en Irlande, sans entité locale. Le RGPD ne s’applique pas ici via l’établissement, mais pourrait s’appliquer via le critère de l’activité dirigée (autre fondement du RGPD).
En résumé, le simple fait d’avoir une implantation stable dans l’Union suffit, dès lors qu’elle joue un rôle, même indirect, dans le traitement des données. Vous n’avez pas besoin d’être « basé » juridiquement en Europe. Votre présence physique et votre activité réelle suffisent.
6) Ce que vous devez faire si vous êtes concerné
Si vous entrez dans le champ d’application du RGPD via le critère d’établissement, vous devez respecter un certain nombre d’obligations. Il s’agit notamment de :
-
Documenter vos traitements de données à travers un registre.
-
Informer clairement les personnes concernées, notamment par une politique de confidentialité.
-
Respecter les principes de sécurité, de minimisation et de limitation.
-
Permettre l’exercice des droits : accès, rectification, opposition, portabilité, etc.
-
Notifier les violations de données dans un délai de 72 heures.
-
Nommer un délégué à la protection des données (DPO) si nécessaire.
Vous devrez aussi être prêt à coopérer avec l’autorité compétente, en cas de contrôle ou de plainte. Cela implique une bonne organisation interne, et souvent l’appui de professionnels spécialisés en conformité RGPD, tels que Deshoulières Avocats.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
