Expert du droit > RGPD > Article 3 du RGPD : Champ d’application territorial

Article 3 du RGPD : Champ d’application territorial

Comprendre l’article 3

Cet article définit le champ d’application territorial du règlement général sur la protection des données : qui est concerné par le RGPD et dans quelles mesures. 3 situations sont évoquées :

le traitement des données est effectué dans le cadre des activités d’un établissement, d’un responsable de traitement ou d’un sous-traitant situé sur le territoire de l’Union
les personnes concernées par le traitement de leurs données sont sur le territoire de l’Union si les activités liées au traitement se rapportent une offre de biens et services pour des personnes de l’Union ou un suivi du comportement de personnes situées sur le territoire de l’Union
si le droit d’un Etat membre est applicable

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Trouver un DPO

Vous êtes à la recherche d'un "Data protection officer" ?

Cliquez ici

Article 3 du RGPD

« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées: a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public. »

Jurisprudence

L’article 3 est souvent évoqué par la CNIL pour invoquer sa compétence et l’applicabilité du RGPD dans des affaires comportant un élément d’extranéité. Comme par exemple dans cette décision de mise en demeure rendue en 2021 : décision MED-2021-134 du 26 novembre 2021. En l’espèce, la CNIL a déterminé que des données de citoyens européens étaient en cause et que ce traitement était lié au suivi du comportement des personnes ; ainsi le RGPD trouvait à s’appliquer.

Inscrivez-vous à notre newsletter RGPD

👉 Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

La procédure ordinaire

Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

La procédure simplifiée

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce