Blog Données personnelles

Précisions sur le champ d’application territorial du RGPD : application concrète de la nouvelle rédaction de l’article 3 de la loi Informatique et Libertés

Le Règlement Général sur la Protection des Données (« RGPD ») a vocation à encadrer les traitements de données à caractère personnel des personnes concernées dès lors que le texte leur est applicable. L’article 3 du RGPD en précise le champ d’application territorial.

Le Règlement peut tout d’abord s’appliquer si le critère d’établissement est rempli (c’est-à-dire que le traitement des données à caractère personnel est effectué dans le cadre des activités d’un établissement d’un responsable de traitement ou d’un sous-traitant sur le territoire de l’Union).

Les responsables de traitements et sous-traitants sont également soumis au respect du RGPD dès lors que les traitements sont relatifs à des personnes se trouvant sur le territoire de l’Union (peu important que le responsable de traitement ou le sous-traitant soit établi ou non dans l’Union) lorsque les activités sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union ou au suivi du comportement de ces personnes.

Le Règlement peut enfin s’appliquer au responsable de traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit de l’Etat membre s’applique en vertu du droit international public

C’est cette question de l’applicabilité territoriale du RGPD, qui a été soulevée en 2022 dans le cadre de la procédure menée à l’encontre de la société Lusha par la Commission nationale de l’informatique et des libertés (« CNIL »).

Le 20 décembre 2022, la formation restreinte avait prononcé un non-lieu à l’égard de la société américaine Lusha en considérant que le RGPD ne s’appliquait pas au cas d’espèce.

Cette société commercialisant une extension pour navigateur web (dite extension Lusha) révèle à ses clients les coordonnées professionnelles (numéro de téléphone et adresse électronique) de personnes cibles dont ils visitent le profil sur LinkedIn ou sur la plateforme Salesforces.com.

Dans sa délibération, la CNIL considère que le RGPD n’est pas applicable à Lusha dans la mesure où aucun des trois critères posés par le Règlement n’est rempli en l’espèce.

L’autorité a annoncé avoir à nouveau ouvert, sur la base de nouvelles plaintes, une enquête sur l’extension Lusha. Cette enquête est permise par la nouvelle rédaction de la loi informatique et libertés, issue d’un amendement de la loi SREN [1] en vigueur depuis le 23 mai dernier.

Le texte permet désormais d’appliquer le RGPD aux traitements de données par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’Union européenne lorsque ces traitements visent à faire correspondre des données personnelles avec l’activité d’un individu en ligne [2] .

La CNIL est donc désormais en mesure d’appliquer le RGPD à la société Lusha faisant ainsi une première application de champ territorial modifié du Règlement.