Article 3 RGPD êtes-vous concerné même hors de l'UE ?

Votre entreprise, où qu’elle soit dans le monde, est-elle réellement à l’abri du RGPD ? Cette question cruciale trouve sa réponse dans l’article 3, la véritable porte d’entrée de la conformité pour toute activité internationale. Cet article définit le champ d’application territorial du règlement, et sa portée extraterritoriale est l’un de ses aspects les plus puissants et souvent mal interprétés. Une mauvaise évaluation de son applicabilité, un piège dans lequel tombent de nombreuses entreprises non-européennes, expose à des risques juridiques et financiers considérables. Comprendre en profondeur l’article 3 n’est donc pas une simple formalité, mais le point de départ non négociable avant d’aborder toute autre obligation du RGPD. La portée extraterritoriale du RGPD n’est pas un mythe.

Ce guide a été conçu pour transformer cette complexité juridique en un plan d’action clair. Nous allons au-delà de la simple récitation du texte de loi pour décrypter chaque critère d’application : l’établissement dans l’UE, le ciblage de personnes sur le territoire de l’Union, et le suivi de leur comportement. Vous y trouverez des scénarios concrets adaptés aux réalités des entreprises modernes — du fournisseur SaaS à la startup IA, en passant par l’e-commerce international — et un parcours d’évaluation guidé pour déterminer vos obligations de manière fiable et pragmatique. Pour simplifier votre démarche, explorez notre logiciel de conformité RGPD.

Points Clés

• La portée de l’article 3 RGPD est extraterritoriale : une entreprise hors de l’Union Européenne peut être soumise au règlement si elle traite les données de personnes se trouvant dans l’UE.
• Le critère de l’établissement : la présence d’une simple filiale, d’un bureau ou même d’un agent stable dans l’UE peut rendre le RGPD applicable à l’ensemble des traitements de l’entreprise, même ceux effectués hors de l’Union.
• Le critère du ciblage par l’offre : si votre entreprise, même sans établissement en UE, propose des biens ou des services (y compris gratuits) à des personnes dans l’Union, le RGPD s’applique.
• Le critère du suivi de comportement : le RGPD vous concerne si vous analysez ou suivez le comportement de personnes au sein de l’UE, par exemple via des cookies publicitaires, du profilage ou de la géolocalisation.
• L’applicabilité de l’article 3 entraîne des obligations complètes, incluant potentiellement la désignation d’un représentant dans l’UE pour les entreprises qui n’y sont pas établies.

Texte officiel et contexte fondamental de l’article 3 RGPD

Pour toute entreprise internationale, l’analyse de conformité au RGPD commence impérativement par l’article 3. Il s’agit de la porte d’entrée stratégique qui détermine si l’ensemble du règlement vous est applicable. Avant de décortiquer en détail les critères d’établissement, de ciblage ou de suivi du comportement, il est fondamental de se référer au texte juridique brut. C’est de sa formulation précise que découle sa puissante portée extraterritoriale.

Cet article marque une rupture fondamentale avec l’ancienne Directive 95/46/CE. Le critère principal n’est plus seulement l’utilisation de “moyens” de traitement situés sur le sol européen. Le RGPD déplace le centre de gravité vers les personnes elles-mêmes : si le traitement de données concerne des individus se trouvant sur le territoire de l’Union, le règlement peut s’appliquer, où que soit votre entreprise. Pour une meilleure protection des données, explorez notre guide sur la pseudonymisation des données personnelles.

Le texte de loi seul peut sembler abstrait. Pour en saisir toute la portée pratique, il faut se tourner vers les “Considérants” du RGPD. Ces textes explicatifs agissent comme un mode d’emploi rédigé par le législateur. Les Considérants 22, 23 et 24 sont essentiels pour interpréter l’article 3, car ils clarifient les notions clés d’établissement, d’offre et de suivi. Pour une compréhension complète, consultez les lignes directrices du CEPD sur le champ d’application territorial.

L’article 3 est structuré en trois paragraphes distincts, chacun définissant un cas d’application spécifique. Le premier concerne le traitement “dans le cadre des activités d’un établissement” dans l’UE. Le second vise le ciblage de personnes dans l’UE. Le troisième aborde le droit international. Comprendre ces scénarios est la clé pour une auto-évaluation fiable.

L’article 3 est la porte d’entrée de la conformité RGPD : il détermine si le règlement s’applique à vous, où que vous soyez dans le monde.

Le critère de l’établissement : une notion vaste et décisive

Le premier critère d’application territoriale du RGPD, défini à l’article 3.1, repose sur la notion d’« établissement ». Contrairement à une idée reçue, il ne s’agit pas seulement d’une entité juridique enregistrée dans l’Union. Le Considérant 22 précise qu’un établissement suppose l’« exercice effectif et réel d’une activité au moyen d’un dispositif stable ». Cette définition large écarte toute approche formaliste ; la forme juridique, qu’il s’agisse d’une filiale ou d’une simple succursale, n’est pas le facteur déterminant pour l’applicabilité du règlement.

La jurisprudence de la Cour de Justice de l’Union Européenne (CJUE) a largement consolidé cette interprétation extensive. Des arrêts fondateurs, notamment l’affaire Weltimmo, ont établi qu’une activité même minime peut constituer un établissement si elle est exercée via une installation stable. Cela signifie qu’un seul représentant dans un État membre peut suffire, à condition qu’il agisse avec un certain degré de permanence pour l’entreprise. Les lignes directrices du CEPD confirment cette interprétation large de l’établissement.

L’élément crucial est que le traitement des données doit être effectué « dans le cadre des activités » de cet établissement européen. Le RGPD s’applique même si le traitement lui-même a lieu hors de l’Union. Si les activités de la structure européenne sont inextricablement liées au traitement des données par la société mère non-UE, le règlement est déclenché. C’est le cas du marketing ou de la vente.

Prenons l’exemple concret d’une société SaaS américaine qui dispose d’un bureau de vente à Dublin pour le marché européen. Même si ses serveurs et ses équipes de développement sont aux États-Unis, le traitement des données des clients européens démarchés par le bureau de Dublin est effectué dans le cadre des activités de cet établissement. Le RGPD s’applique donc en totalité. Une présence minimale, comme un employé en télétravail en UE, peut aussi être constitutive d’un établissement.

Le critère du ciblage : la portée mondiale du RGPD en action

Le second critère, défini à l’article 3.2, est le véritable pilier de la portée extraterritoriale du RGPD. Il soumet au règlement les entreprises non établies dans l’Union qui traitent les données de personnes se trouvant sur le territoire de l’UE. Cette application est déclenchée par deux types d’activités spécifiques, qui n’exigent aucune présence physique en Europe : l’offre de biens ou de services, et le suivi du comportement des individus au sein de l’Union.

Le premier volet concerne l’offre de biens ou de services (article 3.2.a), même si celle-ci est gratuite. Le Considérant 23 précise que la simple accessibilité d’un site web ne suffit pas. L’intention de cibler le marché de l’UE doit être manifeste. Des facteurs concrets permettent de l’établir, comme l’utilisation d’une langue ou d’une monnaie d’un pays membre, la possibilité de livrer des produits dans l’UE, ou la mention de clients européens. Les lignes directrices du CEPD détaillent ces indicateurs.

Le second volet vise le suivi du comportement des personnes au sein de l’Union (article 3.2.b). Cette notion, explicitée par le Considérant 24, englobe toute forme de traçage d’individus sur internet pour analyser ou prédire leurs préférences, comportements ou habitudes. Cela inclut des techniques très courantes comme l’utilisation de cookies publicitaires, le profilage, ou la géolocalisation. Le CEPD clarifie ce critère en citant des exemples comme les apps de fitness ou les objets connectés.

Imaginons une boutique en ligne canadienne qui propose la livraison en France et affiche ses prix en euros. Elle est soumise au RGPD. De même, une startup américaine qui développe une application de fitness et analyse les données de santé et de localisation de ses utilisateurs européens, même sans leur facturer de service, tombe sous le coup de l’article 3.2.b.

• L’offre de biens ou de services, même gratuits, à des personnes dans l’UE, démontrée par des indices comme la langue, la devise ou les options de livraison.

• Le suivi du comportement d’individus au sein de l’Union, par exemple via des cookies, du profilage publicitaire ou de l’analyse de données de géolocalisation.

L’élément déterminant n’est donc pas la nationalité de la personne concernée, mais sa localisation géographique au moment de l’offre ou du suivi. Si l’un de ces deux critères est rempli, l’entreprise non-UE doit se conformer à l’intégralité du RGPD.

Droit international et obligation de représentation dans l’UE

Le troisième critère, défini à l’article 3.3, est plus spécifique. Il étend le RGPD aux traitements de données effectués dans des lieux où le droit d’un État membre s’applique en vertu du droit international public. Cela concerne par exemple les ambassades ou les consulats d’un pays de l’Union situés hors de l’UE. Il est crucial de noter que ces règles s’appliquent indistinctement au responsable du traitement et au sous-traitant.

Lorsqu’une entreprise non-européenne tombe sous le coup de l’article 3.2 (ciblage ou suivi), une obligation majeure se déclenche : la désignation d’un représentant dans l’UE, conformément à l’article 27. Ce représentant n’est pas responsable du traitement, mais il agit comme un point de contact local obligatoire. Son rôle est de faciliter la communication avec les autorités de contrôle et les personnes concernées, assurant une voie de recours sur le sol européen. Pour des cas de conformité spécifiques hors UE, consultez notre guide sur le RGPD en Suisse.

Cette obligation de nommer un représentant comporte toutefois des exemptions. Elle ne s’applique pas si le traitement est occasionnel, ne concerne pas à grande échelle des données sensibles et ne présente pas de risque pour les droits et libertés des personnes. L’interprétation de ce caractère “occasionnel” est stricte. Pour les entreprises concernées, le représentant doit être établi dans l’un des États membres où se trouvent les personnes ciblées par l’offre ou le suivi.

Votre diagnostic d’applicabilité : un parcours guidé

Pour déterminer si l’article 3 du RGPD vous concerne, suivez ce parcours guidé. Chaque étape vous aidera à évaluer votre situation en fonction des critères clés du règlement. Répondez simplement aux questions pour obtenir une orientation claire sur vos obligations de conformité. Notre solution Legiscope est conçue pour simplifier ce diagnostic.

Étape 1 : Le critère de l’établissement. Votre organisation dispose-t-elle d’une présence stable dans l’UE, comme une filiale, un bureau ou même un agent unique ? Si oui, le traitement de données effectué dans le cadre des activités de cette entité est soumis au RGPD (article 3.1). Vous êtes donc concerné. Si vous n’avez aucune présence de ce type, passez à l’étape 2.

Étape 2 : Le critère du ciblage par l’offre. Même sans établissement, le RGPD peut s’appliquer. Offrez-vous délibérément des biens ou des services (même gratuits) à des personnes se trouvant dans l’Union ? Pour le savoir, examinez ces indices : utilisez-vous une devise comme l’euro, une langue d’un pays membre, proposez-vous la livraison en Europe, ou mentionnez-vous des clients européens ? Si l’un de ces éléments est vrai, votre intention de cibler l’UE est manifeste et le RGPD s’applique via l’article 3.2.a. Sinon, passez à l’étape 3.

Étape 3 : Le critère du suivi de comportement. Si les deux premières étapes sont négatives, analysez cette dernière question : suivez-vous le comportement de personnes lorsqu’elles se trouvent au sein de l’UE ? Cela inclut le profilage publicitaire, l’utilisation de cookies de suivi ou l’analyse de données de géolocalisation. Si c’est le cas, le RGPD s’applique (article 3.2.b). Dans le cas contraire, vous n’êtes probablement pas soumis au règlement.

Plan d’action pour la conformité et veille réglementaire

La simple compréhension de l’article 3 RGPD est insuffisante. Une mise en conformité proactive exige une méthodologie claire. Pour démarrer, il est essentiel de cartographier précisément tous vos flux de données liés à des personnes se trouvant dans l’Union Européenne. Ensuite, évaluez chacune de vos activités de traitement au regard des critères décisifs d’établissement et de ciblage (offre de services ou suivi de comportement) pour poser un diagnostic fiable. Une bonne cartographie du Système d’Information (SI) est essentielle. Optez pour notre logiciel RGPD avec IA pour faciliter cette démarche.

La seconde étape cruciale est la documentation, pilier du principe de responsabilité (« accountability »). Consignez par écrit votre analyse, vos conclusions et leurs justifications, qu’elles mènent ou non à l’application du règlement. Ce dossier de conformité sera votre référence interne et votre preuve en cas de contrôle. Enfin, si l’article 3 RGPD s’applique à votre situation, définissez un plan d’action concret : désignation d’un représentant dans l’UE (article 27), mise à jour de vos contrats de sous-traitance et consultation d’un Délégué à la Protection des Données (DPO). Un registre des traitements automatisé peut simplifier grandement cette tâche. D’autres obligations majeures incluent la tenue d’un registre des activités de traitement et la sécurisation des données.

La conformité est un processus dynamique et non un projet ponctuel. Il est impératif de mettre en place une veille réglementaire pour suivre activement les décisions de la Cour de Justice de l’UE et les lignes directrices du CEPD, qui affinent constamment l’interprétation de l’article 3. Les autorités de contrôle nationales, comme la CNIL, portent une attention croissante aux services numériques, aux fournisseurs de cloud et aux acteurs de l’intelligence artificielle, faisant de la portée extraterritoriale du RGPD un axe prioritaire de leurs futures actions de contrôle. Cette tendance s’inscrit dans un contexte d’intensification des sanctions et de la coopération transfrontalière. Pour des solutions de sécurité avancées, consultez notre article sur la Sécurité des Données avec SSO Data.

Scénarios complexes de l’article 3 RGPD pour entreprises modernes

Les critères d’établissement et de ciblage peuvent sembler clairs, mais les modèles d’affaires modernes créent des zones grises. Une startup SaaS non-UE utilisant des serveurs européens, une entreprise avec des employés en télétravail dans l’Union ou un fabricant d’objets connectés traitant des données mondiales sont autant de cas qui exigent une analyse fine. Cette section décrypte ces scénarios complexes.

• Le fournisseur SaaS non-UE : une entreprise américaine utilise des serveurs en Irlande pour son service, mais ne cible que le marché nord-américain. Si quelques résidents de l’UE s’inscrivent, le RGPD ne s’applique pas automatiquement. Le simple usage de moyens techniques dans l’UE ne suffit pas ; l’intention de cibler ou la présence d’un établissement stable reste le critère décisif.

• L’équipe 100% à distance : une société canadienne sans bureau en Europe emploie un développeur en télétravail stable en Allemagne. Cette présence unique, si elle est permanente, peut être qualifiée d’établissement et soumettre l’entreprise au RGPD via l’article 3.1. Un exemple de startup tech illustre ce cas de figure.

• Le fabricant d’objets connectés (IoT) : une entreprise chinoise vend des montres connectées dans le monde entier, y compris en France. La collecte et l’analyse des données de santé et de localisation des utilisateurs se trouvant en France constituent un “suivi de comportement” clair (article 3.2.b), rendant le RGPD applicable à ce traitement de données.

Ces cas pratiques montrent que l’applicabilité du RGPD ne dépend pas seulement de faits techniques, mais de l’intention et de la nature des liens avec l’Union.

FAQ

Mon site web est accessible en Europe suis je concerné

Non, la simple accessibilité de votre site web, de votre adresse e-mail ou de vos coordonnées depuis l’Union Européenne ne suffit pas à vous soumettre au RGPD. Le critère déterminant est l’« intention de cibler » le marché européen. Le règlement fait une distinction claire entre une présence passive sur internet et une démarche active visant à attirer une clientèle ou des utilisateurs se trouvant sur le territoire de l’Union. Le CEPD a clarifié cette distinction.

Pour établir cette intention, les autorités de contrôle examinent un faisceau d’indices concrets. Par exemple, si vous utilisez une langue ou une monnaie d’un pays membre (comme l’euro), si vous proposez des options de livraison vers l’UE, si vous mentionnez des clients ou des utilisateurs européens dans vos communications, ou si vous menez des campagnes publicitaires visant des pays de l’Union, votre activité sera considérée comme un ciblage et le RGPD s’appliquera.

Le RGPD s’applique t il à mon entreprise B2B non européenne

Oui, le RGPD peut tout à fait s’appliquer, même si vos clients sont des entreprises. Le règlement protège les « personnes physiques », et non les personnes morales. Dans un contexte B2B, vous traitez inévitablement les données personnelles des employés de vos entreprises clientes ou prospects (noms, adresses e-mail professionnelles, numéros de téléphone, fonctions). Si vous offrez des services à des entreprises situées dans l’UE ou si vous suivez le comportement de leurs employés sur votre site, vous tombez sous le coup des critères de l’article 3.2. Assurez-vous de bien gérer le consentement avec Opt In et Opt Out.

Quelles sont les conséquences si mon entreprise est concernée par l’article 3

Si votre entreprise, bien que non établie dans l’UE, répond aux critères de l’article 3.2 (ciblage ou suivi), vous devez vous conformer à l’intégralité des obligations du RGPD. La conséquence la plus immédiate et spécifique est l’obligation de désigner par écrit un représentant dans l’Union, conformément à l’article 27. Ce représentant agit comme votre point de contact local pour les autorités de contrôle et les personnes concernées. D’autres obligations majeures incluent la tenue d’un registre des activités de traitement et la sécurisation des données. Pour vous aider à gérer ces obligations, notre logiciel RGPD avec IA peut vous être précieux.

Conclusion

L’article 3 du RGPD redéfinit les frontières de la conformité. Qu’elle découle d’un établissement, d’une offre de services ciblant l’UE ou du suivi de comportement, son application extraterritoriale est un fait incontournable pour toute entreprise internationale. Analyser rigoureusement son activité au regard de ces critères n’est pas une option, mais le point de départ stratégique pour sécuriser ses traitements de données, éviter de lourdes sanctions et bâtir une relation de confiance durable. Pour une conformité RGPD automatisée, explorez notre solution. Vous trouverez plus d’informations dans notre blog sur la conformité.