Article 3 RGPD : le champ d'application territorial

L’article 3 du RGPD est le verrou qui détermine qui doit appliquer le règlement. C’est aussi celui que le plus grand nombre d’opérateurs interprètent à contresens. Une PME française qui héberge ses données chez un sous-traitant en Inde reste pleinement soumise au RGPD. Une startup américaine sans le moindre bureau en Europe, qui se contente de cibler des consommateurs allemands depuis son site en .com, l’est tout autant — et risque les sanctions de l’article 83 au plafond haut. Dans ma pratique de conseil, je vois deux erreurs symétriques : des entreprises européennes qui croient s’être « extraites » du RGPD parce qu’elles ont délocalisé leurs serveurs, et des opérateurs étrangers persuadés qu’ils sont hors champ parce qu’ils ne sont pas établis dans l’Union. Ces deux lectures sont fausses, et la jurisprudence de la CJUE, notamment les arrêts C-230/14 Weltimmo du 1er octobre 2015 et C-131/12 Google Spain du 13 mai 2014, l’a confirmé sans ambiguïté. Voici le décryptage paragraphe par paragraphe de l’article 3 et les conséquences opérationnelles que j’en tire en mission.

Ce que dit l’article 3 du RGPD

L’article 3 s’intitule « Champ d’application territorial » et se compose de trois paragraphes structurants :

• Art. 3(1) pose le critère de l’établissement : le RGPD s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ;
• Art. 3(2) pose le critère du ciblage (targeting) : le RGPD s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable ou un sous-traitant non établi dans l’Union, lorsque ce traitement est lié soit à (a) l’offre de biens ou de services, qu’un paiement soit exigé ou non, à ces personnes dans l’Union, soit à (b) le suivi du comportement de ces personnes, dans la mesure où ce comportement a lieu au sein de l’Union ;
• Art. 3(3) pose le critère du droit international public : le RGPD s’applique au traitement des données à caractère personnel par un responsable du traitement non établi dans l’Union mais en un lieu où le droit d’un État membre s’applique en vertu du droit international public (ambassades, consulats, navires battant pavillon d’un État membre).

Les considérants 22 à 25 éclairent l’intention du législateur : étendre la protection des personnes situées dans l’Union au-delà des seules entreprises européennes, fermer les angles morts de l’ancienne directive 95/46/CE et neutraliser les stratégies de contournement par délocalisation. Le document de référence pour l’interprétation est constitué par les Lignes directrices 3/2018 du Comité européen de la protection des données (CEPD) sur le champ d’application territorial du RGPD, adoptées le 16 novembre 2018 et révisées en version 2.1 le 12 novembre 2019. Ces lignes directrices commentent les trois critères, donnent des exemples sectoriels et fixent la grille d’analyse que toutes les autorités de contrôle européennes appliquent depuis lors.

Art. 3(1) : le critère de l’établissement et la jurisprudence Weltimmo

Le critère de l’Art. 3(1) repose sur deux notions cumulatives : l’existence d’un établissement dans l’Union, et un lien de rattachement entre les activités de cet établissement et le traitement.

La notion d’établissement n’est pas assimilable à celle de siège social ou de personnalité morale distincte. La CJUE l’a tranché dès l’arrêt C-230/14 Weltimmo du 1er octobre 2015 : un établissement existe dès lors qu’une activité est exercée de manière effective et réelle, même minime, au moyen d’une installation stable dans un État membre. Dans cette affaire, une société slovaque qui exploitait un site d’annonces immobilières destiné au marché hongrois disposait, en Hongrie, d’un seul représentant et d’une boîte aux lettres pour recouvrer ses créances. Cela a suffi à la Cour pour qualifier d’établissement et soumettre l’opérateur au droit hongrois. La Cour a confirmé cette lecture dans l’arrêt C-191/15 Verein für Konsumenteninformation c/ Amazon EU du 28 juillet 2016, en précisant que l’évaluation de la stabilité de l’installation doit s’apprécier au regard de la nature des activités économiques et des prestations de services en cause.

L’arrêt C-131/12 Google Spain du 13 mai 2014 a poussé la lecture encore plus loin : une filiale espagnole de Google, dont l’activité se limitait à commercialiser de l’espace publicitaire pour le compte du moteur de recherche, a été qualifiée d’établissement parce que son activité était « indissociablement liée » à celle du moteur. Le traitement des données du moteur, bien qu’opéré aux États-Unis, a été considéré comme effectué « dans le cadre des activités » de l’établissement espagnol au sens du droit applicable à l’époque, et donc soumis au droit européen. Cette logique a été reprise et étendue par la directive 95/46/CE d’origine, puis reprise textuellement à l’Art. 3(1) du RGPD.

Le second élément — le lien entre établissement et traitement — est lu de manière large par la CJUE et le CEPD. Il n’est pas nécessaire que l’établissement effectue lui-même le traitement, ni qu’il en soit le responsable au sens de l’Art. 4(7). Il suffit que les activités de l’établissement et le traitement soient liés par une relation économique ou opérationnelle suffisamment étroite. Les Lignes directrices 3/2018 du CEPD donnent l’exemple d’un service de cloud étranger commercialisé en Europe par une filiale qui assure la promotion, la facturation et le support : la filiale est un établissement, et le traitement effectué par la maison-mère hors UE tombe sous l’Art. 3(1).

La conséquence la plus contre-intuitive de l’Art. 3(1), explicitement formulée par le texte, est que le lieu physique du traitement n’est pas pertinent. Une entreprise française qui héberge ses données chez un sous-traitant indien, américain ou chinois reste soumise au RGPD au titre de l’établissement français, indépendamment de la localisation des serveurs. Cette précision a fermé une stratégie d’évitement très répandue sous la directive 95/46/CE. Les conséquences en termes de transferts internationaux de données — et donc d’application des articles 44 à 49 — sont structurantes.

Art. 3(2) : le critère du ciblage et l’extraterritorialité du règlement

L’Art. 3(2) est l’innovation majeure du RGPD par rapport à la directive 95/46/CE. Il étend le champ d’application territorial à des opérateurs non établis dans l’Union, dès lors que leur traitement est dirigé vers des personnes situées sur le territoire de l’Union. Cette extension extraterritoriale a été conçue pour neutraliser le forum shopping et garantir une protection effective des résidents européens face aux acteurs globaux du numérique.

Le déclencheur de l’Art. 3(2) repose sur deux conditions cumulatives : il faut d’abord que les personnes concernées se trouvent sur le territoire de l’Union au moment de la collecte ou du suivi (peu importe leur nationalité, leur résidence habituelle ou leur statut juridique — un touriste américain en vacances à Paris est protégé) ; il faut ensuite que le traitement soit lié à l’une des deux activités énumérées à l’Art. 3(2)(a) ou (b).

Le Considérant 23 précise un élément de méthode capital : le simple fait qu’un site web soit accessible depuis l’Union ne suffit pas à caractériser le ciblage. Il faut établir une intention manifeste de servir le marché européen. Plusieurs indices factuels sont retenus par les Lignes directrices 3/2018 du CEPD pour caractériser cette intention : utilisation d’une langue d’un État membre (autre que celle généralement utilisée dans le pays d’établissement du responsable), utilisation d’une devise de l’Union (euro, couronne suédoise), affichage d’un nom de domaine de premier niveau d’un État membre (.fr, .de, .it), livraison de biens vers des États membres, mention de clients ou utilisateurs européens, indications relatives aux frais de port vers l’Union, communications publicitaires ciblant un public européen via les réseaux sociaux ou la presse en ligne, recours à un référenceur SEO pour positionner le site sur des requêtes en langue européenne. Aucun de ces indices n’est à lui seul déterminant — c’est leur faisceau qui caractérise le ciblage.

Art. 3(2)(a) : l’offre de biens et services

L’Art. 3(2)(a) couvre l’offre de biens ou services à des personnes dans l’Union, qu’un paiement soit exigé ou non. Cette précision est essentielle : les services « gratuits » financés par la publicité (réseaux sociaux, applications mobile, services de messagerie) entrent pleinement dans le champ. Le critère ne porte pas sur le modèle économique, mais sur le public cible.

Plusieurs autorités de contrôle européennes ont fait application stricte de ce critère. La CNIL a sanctionné Clearview AI par sa délibération SAN-2022-019 du 20 octobre 2022 (20 millions d’euros), puis par sa délibération SAN-2023-006 du 10 mai 2023 (5,2 millions d’euros d’astreinte), pour le traitement à des fins de reconnaissance faciale d’images publiquement accessibles incluant des résidents français. La société américaine n’avait pas le moindre établissement dans l’Union mais ciblait, par son service, des personnes physiques européennes — l’Art. 3(2)(a) s’appliquait sans difficulté. La même qualification a fondé les sanctions de la Garante italienne (9 mars 2022, 20 millions d’euros), de l’ICO britannique (mai 2022, 7,5 millions de livres sterling) et du Hellenic DPA grec (13 juillet 2022, 20 millions d’euros) à l’encontre du même opérateur. L’AEPD espagnole a sanctionné Glovoapp23 le 10 mai 2022 (2,5 millions d’euros) sur le même fondement pour un traitement de plateforme de livraison opéré sans représentant ni base légale. Le Datatilsynet norvégien a sanctionné Grindr par décision du 13 décembre 2021 (initialement 65 millions de couronnes norvégiennes, ramené à 35 puis 15,5 M NOK après recours).

Art. 3(2)(b) : le suivi du comportement

L’Art. 3(2)(b) couvre le suivi du comportement des personnes dans la mesure où ce comportement a lieu au sein de l’Union. Le considérant 24 précise que cette notion couvre notamment le profilage, en particulier lorsqu’il est utilisé pour prendre des décisions concernant la personne ou pour analyser ou prédire ses préférences, comportements et attitudes.

En pratique, cela englobe une vaste gamme d’activités : analyse comportementale via des cookies tiers, fingerprinting navigateur, géolocalisation continue par application mobile, retargeting publicitaire, adtech et real-time bidding, scoring crédit et insurance, recommandations algorithmiques, analyse vidéo en magasin, people analytics au travail. Toute adtech mondiale qui dépose un pixel ou un SDK sur un site européen tombe sous l’Art. 3(2)(b), même si elle n’a aucun établissement dans l’Union.

La mise en demeure CNIL Google Analytics du 10 février 2022 illustre cette mécanique : le critère du suivi du comportement par cookies analytiques avait pour effet de soumettre Google LLC, hors UE, au RGPD, et de rendre les transferts subséquents subordonnés aux garanties appropriées de l’article 46 — ce qui, faute de mesures supplémentaires, conduisait à un manquement. Les autorités homologues — DSB autrichienne (22 décembre 2021), Garante (23 juin 2022), Datatilsynet danois (21 septembre 2022) — ont rendu des décisions convergentes, fondées sur la combinaison Art. 3(2)(b) + Art. 44-46.

Art. 3(3) : l’application en vertu du droit international public

L’Art. 3(3) couvre l’hypothèse marginale mais non négligeable des traitements opérés par un responsable établi en un lieu où le droit d’un État membre s’applique en vertu du droit international public. Cela vise principalement les ambassades, consulats et missions diplomatiques des États membres situés à l’étranger, ainsi que les navires battant pavillon d’un État membre ou les aéronefs immatriculés dans un État membre.

Le considérant 25 confirme cette lecture. La conséquence pratique est qu’un consulat français à Tokyo, New York ou Singapour traite ses données conformément au RGPD et à la loi Informatique et Libertés du 6 janvier 1978 modifiée. Les agents des missions diplomatiques restent justiciables du RGPD pour les traitements opérés dans le cadre de leur mission. La CNIL est compétente pour contrôler ces traitements en application de l’Art. 8 LIL.

Articulation avec les autres règlements numériques

Le mécanisme de champ d’application territorial du RGPD a été repris, avec des variantes, par les autres règlements numériques européens. Le Digital Services Act (règlement (UE) 2022/2065) applique en son article 2 un critère équivalent à l’Art. 3(2) RGPD pour les services intermédiaires (offre de services, activités dirigées). L’AI Act (règlement (UE) 2024/1689) couvre, dans son article 2, les fournisseurs de systèmes d’IA établis hors UE dont les sorties sont utilisées dans l’Union. Le Data Act (règlement (UE) 2024/1252) et le Data Governance Act (règlement (UE) 2022/868) contiennent des mécanismes analogues.

L’effet pratique est que la qualification de l’Art. 3 RGPD entraîne souvent, en cascade, l’application d’un faisceau de règlements sectoriels avec leurs propres obligations de représentant, de cartographie et de coopération avec les autorités. Pour les opérateurs hors UE, la qualification au titre de l’Art. 3(2) RGPD est donc un signal d’alerte qui doit déclencher une analyse beaucoup plus large que le seul périmètre de la protection des données.

Les conséquences opérationnelles : six obligations qui se déclenchent

L’application de l’Art. 3 a six conséquences opérationnelles que je rappelle systématiquement à mes clients en début de mission.

Premièrement, l’opérateur soumis à l’Art. 3(2) doit désigner un représentant dans l’Union au sens de l’article 27 RGPD, sauf à pouvoir invoquer les exceptions étroites de l’Art. 27(2). C’est l’erreur la plus visible et la plus sanctionnée — toute la saga Clearview repose sur ce manquement.

Deuxièmement, il doit tenir un registre des activités de traitement au sens de l’article 30, incluant les coordonnées du représentant.

Troisièmement, il doit identifier les transferts vers des pays tiers au sens des articles 44 à 49, ce qui suppose une analyse du flux entre l’opérateur (par exemple américain) et ses propres sous-traitants ou destinataires hors UE — y compris ses sous-sous-traitants. Cette obligation a été clairement rappelée par la délibération CNIL SAN-2024-001 Hubside du 31 janvier 2024 (525 000 €), qui sanctionne la cartographie défaillante des sous-traitants ultérieurs.

Quatrièmement, il doit examiner si l’article 37(1) lui impose la désignation d’un DPO (responsable ou sous-traitant dont les activités de base consistent en un suivi régulier et systématique à grande échelle, ou en un traitement à grande échelle de données sensibles).

Cinquièmement, il doit informer les personnes concernées au titre des Art. 13 et 14 — en mentionnant ses coordonnées, celles du représentant, celles du DPO le cas échéant, et le fait que l’opérateur est non-européen.

Sixièmement, il doit organiser sa coopération avec les autorités de contrôle au sens de l’Art. 31, et notamment se préparer à recevoir, via son représentant, les notifications, demandes d’information, convocations et décisions de sanction.

Sanctions et risque contentieux

Le manquement aux obligations résultant de l’Art. 3 expose l’opérateur à l’ensemble du dispositif répressif du RGPD. La sanction administrative au titre de l’Art. 83 peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé, le montant le plus élevé étant retenu, lorsque le manquement porte sur les principes de base, les bases légales, les droits des personnes ou les transferts (Art. 83(5)). Le défaut de désignation du représentant Art. 27 est, lui, sanctionnable au plafond bas de 10 M€ ou 2 % (Art. 83(4)(a)).

À cela s’ajoutent les plaintes administratives au titre de l’article 77 — qui peuvent être déposées simultanément dans plusieurs États membres en l’absence de mécanisme de guichet unique, l’opérateur hors UE ne disposant pas d’établissement principal au sens de l’Art. 4(16) — et les recours juridictionnels au titre de l’article 79, dont la compétence territoriale française devant le tribunal judiciaire est ouverte par l’Art. 79(2) à toute personne concernée résidant sur le territoire.

Enfin, l’action de groupe instituée par la loi n° 2024-364 du 22 avril 2024 et l’article 80 RGPD ouvre une voie collective d’indemnisation devant le tribunal judiciaire de Paris, exposant les opérateurs à grande échelle à des préjudices cumulés potentiellement considérables.

Plan opérationnel : six chantiers pour qualifier et documenter votre champ d’application

Dans ma pratique, je recommande un plan en six chantiers pour traiter méthodiquement la qualification de l’Art. 3.

Premier chantier : cartographie des établissements. Recensez tous vos sites, filiales, succursales, bureaux, agents commerciaux, représentants permanents et installations stables dans chaque État membre. Pour chaque entité, qualifiez la nature de l’activité (effective, réelle, stable) et son lien avec les traitements opérés au siège ou dans le groupe. Cette cartographie est la première ligne de défense contre une requalification surprise par une autorité de contrôle.

Deuxième chantier : qualification des flux entrants. Pour chaque traitement, déterminez si les personnes concernées peuvent se trouver dans l’Union (clientèle B2C, prospects B2B, salariés, candidats, partenaires, internautes, utilisateurs d’applications). Documentez les indices de ciblage (langue, devise, domaine, livraison, publicité). Cette qualification doit alimenter directement le registre Art. 30.

Troisième chantier : arbitrage juridique et stratégique. Si vous êtes opérateur hors UE, déterminez si vous tombez sous l’Art. 3(2) et, dans l’affirmative, si vous pouvez invoquer une exception. Si vous êtes opérateur UE, vérifiez si vous bénéficiez du one-stop-shop via votre établissement principal au sens de l’Art. 4(16). Ces qualifications conditionnent la stratégie contentieuse globale.

Quatrième chantier : mise en conformité documentaire. Désignez le représentant Art. 27 si requis, mettez à jour le registre Art. 30, complétez les mentions Art. 13/14 dans la politique de confidentialité, intégrez les références aux transferts dans la documentation contractuelle (DPA, accords de co-responsabilité Art. 26, clauses contractuelles types).

Cinquième chantier : chaîne de sous-traitance. Cartographiez la totalité de votre chaîne de sous-traitants et sous-sous-traitants, qualifiez les flux internationaux et alignez la documentation contractuelle (clauses Art. 28, garanties Art. 46). Préparez les transfer impact assessments requis depuis l’arrêt C-311/18 Schrems II du 16 juillet 2020 pour tout transfert vers un pays sans décision d’adéquation.

Sixième chantier : gouvernance et veille. Désignez un référent Art. 3 dans la gouvernance de conformité (DPO, juriste, responsable RGPD). Surveillez les évolutions législatives nationales d’application (LIL en France), les lignes directrices CEPD, la jurisprudence CJUE et les sanctions des autorités homologues. La qualification Art. 3 n’est pas figée : un changement de modèle économique, l’ouverture à un nouveau marché, une refonte de la chaîne de sous-traitance peuvent modifier la qualification et déclencher de nouvelles obligations.

C’est le type de cartographie que Legiscope automatise pour ses clients, en croisant les flux de données, les établissements, les destinataires et les pays d’hébergement pour qualifier en continu l’application des trois critères de l’Art. 3.

Ce qu’il faut retenir

• L’Art. 3(1) soumet au RGPD tout traitement effectué dans le cadre des activités d’un établissement situé dans l’Union, indépendamment du lieu physique du traitement. La notion d’établissement est interprétée largement par la CJUE depuis l’arrêt Weltimmo (C-230/14) : une activité réelle et effective, même minime, suffit.
• L’Art. 3(2) étend le champ aux opérateurs non établis dans l’Union qui offrent des biens ou services à des personnes en UE (qu’un paiement soit exigé ou non) ou qui suivent leur comportement. C’est le critère du ciblage — il a fondé les sanctions Clearview AI, Glovoapp, Grindr et la mise en demeure Google Analytics.
• L’Art. 3(3) couvre les ambassades, consulats et navires battant pavillon d’un État membre situés hors UE.
• La qualification au titre de l’Art. 3 entraîne en cascade six obligations : représentant Art. 27, registre Art. 30, qualification des transferts Art. 44-49, désignation éventuelle du DPO Art. 37, mentions Art. 13/14, coopération Art. 31.
• Les Lignes directrices 3/2018 v2.1 du CEPD sont le document de référence d’interprétation. La qualification est fonctionnelle, pas formelle : peu importe le pavillon ou le siège social, ce sont les activités réelles et le ciblage effectif qui déterminent l’application.
• Les sanctions vont jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial au titre de l’Art. 83(5), auxquels s’ajoutent les recours civils Art. 82 et l’action de groupe Art. 80.

FAQ

Une entreprise française qui héberge ses données aux États-Unis reste-t-elle soumise au RGPD ?

Oui, sans aucun doute. L’Art. 3(1) précise expressément que le RGPD s’applique au traitement effectué dans le cadre des activités d’un établissement dans l’Union, « que le traitement ait lieu ou non dans l’Union ». La localisation des serveurs ou du sous-traitant est juridiquement indifférente pour l’application du RGPD. Elle reste en revanche déterminante pour qualifier un transfert au sens de l’article 44 et déclencher les garanties appropriées des articles 45 à 49.

Notre site web .com est accessible depuis l’Europe : sommes-nous soumis au RGPD ?

Pas automatiquement. Le considérant 23 et les Lignes directrices 3/2018 du CEPD précisent que la simple accessibilité ne suffit pas. Il faut établir une intention de cibler des personnes situées dans l’Union, qui se déduit d’un faisceau d’indices (langue, devise, livraison, publicité, mention de clients européens, frais de port, référencement). Si votre site est en anglais, en USD, sans livraison vers l’UE et sans communication ciblée, vous n’êtes vraisemblablement pas dans le champ de l’Art. 3(2). Si l’un ou plusieurs de ces indices sont présents, l’analyse devient plus délicate et appelle une qualification au cas par cas.

Une startup américaine sans bureau en Europe doit-elle désigner un DPO et un représentant ?

Le représentant Art. 27 est obligatoire dès que l’Art. 3(2) s’applique, sauf à pouvoir invoquer les exceptions étroites de l’Art. 27(2) (traitement occasionnel, sans données sensibles à grande échelle, sans risque). Le DPO au sens de l’article 37(1), en revanche, n’est obligatoire que dans trois cas : autorité publique, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles ou pénales. Les deux désignations ne se confondent pas et peuvent être cumulatives ou autonomes selon les cas.

Quel est le risque financier en cas de violation de l’article 3 ?

Le manquement à l’obligation de représentant Art. 27 est sanctionnable au plafond bas de l’Art. 83(4)(a) : 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Les manquements de fond qui en résultent (absence de base légale, défaut d’information, transferts illicites, atteinte aux droits) sont sanctionnables au plafond haut de l’Art. 83(5) : 20 millions d’euros ou 4 % du CA mondial. La saga Clearview AI illustre ces deux niveaux : 20 M€ de sanction, puis 5,2 M€ d’astreinte, et des sanctions équivalentes prononcées en parallèle par la Garante, l’ICO et le DPA grec, sans bénéfice du one-stop-shop. À cela s’ajoutent les indemnisations civiles au titre de l’Art. 82 et les actions de groupe au titre de l’Art. 80.

L’Art. 3 RGPD s’applique-t-il aussi aux sous-traitants ?

Oui. L’Art. 3(1) vise expressément le « responsable du traitement ou un sous-traitant », et l’Art. 3(2) vise pareillement les deux qualifications. Un éditeur SaaS américain qui traite des données pour le compte de clients européens est soumis au RGPD au titre de l’Art. 3(2) (offre de services à des personnes dans l’Union via le service du responsable client). Il doit désigner son propre représentant Art. 27, contracter au titre de l’Art. 28 avec ses clients, et coopérer avec les autorités de contrôle. C’est une lecture que la CNIL a progressivement consolidée et que les Lignes directrices 3/2018 du CEPD valident sans ambiguïté.

---

Recevez chaque semaine mes analyses sur la conformité RGPD, l’AI Act et la régulation européenne du numérique. Inscrivez-vous à la newsletter.