RGPD: attention à l’application indirecte !
Par Anne Cousin, 17 mai 2019
L’article 3 du RGPD définit son champ l’application territoriale.
Bref et complexe, ce texte soulève de nombreuses difficultés d’interprétation. Les lignes directrices de l’ex G29 (devenu le CEPD) ont permis de clarifier un certain nombre de points, notamment celui de son application « indirecte ».
Le premier critère d’application du texte est l’existence d’un établissement du responsable du traitement ou du sous-traitant sur le territoire de l’Union Européenne.
En conséquence, si le sous-traitant est dépourvu de tout établissement sur ce territoire, il ne sera pas soumis aux dispositions du RGPD.
Toutefois, les services qu’il fournit à ses clients responsables du traitement qui s’y trouvent au contraire établis, seront nécessairement, conformément à son article 28, encadrés par un contrat spécifique. Or, ce contrat fait peser sur le sous-traitant un certain nombre d’obligations, telle que celle de ne traiter les données que sur instruction documentée du responsable du traitement. Un sous-traitant indien sans présence dans le territoire de l’Union Européenne sera donc indirectement soumis au RGPD si ses clients y sont établis.
Si le responsable du traitement ne dispose pas d’une présence sur le territoire de l’Union Européenne mais recourt à des sous-traitants qui y sont situés, il ne sera pas de ce simple fait soumis aux dispositions du Règlement. Les lignes directrices de l’EDPB ont précisé fort heureusement que la présence dans le territoire de l’Union Européenne du seul
sous-traitant ne suffisait pas à soumettre le responsable du traitement aux dispositions du Règlement.
Néanmoins, le sous-traitant soumis au Règlement sera tenu de respecter les obligations spécifiques découlant pour lui de ce texte. L’exécution de ces obligations aura naturellement des conséquences directes sur le responsable du traitement établi par exemple au Canada. Notamment, le sous-traitant devra impérativement lui notifier l’existence de violation de données dont il aurait connaissance dans le cadre de sa mission.
On le voit donc, le champ d’application du RGPD est loin de se confondre avec les limites territoriales de l’Union Européenne !