Le piège classique
L'article 3 est sous-estimé par les startups et les filiales luxembourgeoises de groupes hors UE. La CNPD et l'EDPB (lignes directrices 3/2018) sanctionnent régulièrement des entités américaines ou asiatiques qui pensaient échapper au RGPD parce que leurs serveurs sont a Singapour ou en Californie. Or des qu'un site web cible des clients luxembourgeois (langue française, prix en euros, livraison UE) ou que des cookies de tracking suivent des visiteurs européens, le RGPD s'applique intégralement, y compris l'obligation de désigner un représentant UE au sens de l'article 27.
Les 4 déclencheurs de l'extraterritorialité a tester
- Critère de l'établissement (art. 3.1) : même un commercial unique, un bureau de représentation ou une filiale marketing au Luxembourg suffit a déclencher l'application a toute l'activité mondiale du groupe, peu importe ou les serveurs hébergent les données.
- Offre de biens ou services (art. 3.2.a) : indices retenus par la CNPD et l'EDPB : langue, devise, nom de domaine (.lu, .eu), moyens de paiement SEPA, mention de livraison vers l'UE, références clients européens, campagnes Google Ads géociblées.
- Suivi comportemental (art. 3.2.b) : cookies analytiques, pixels Meta, fingerprinting, profilage publicitaire, A/B testing, heatmaps Hotjar visant des utilisateurs en UE. Même un site purement informatif déclenche le RGPD si Google Analytics traque des visiteurs luxembourgeois.
- Droit d'un Etat membre (art. 3.3) : ambassades, navires battant pavillon luxembourgeois, plateformes offshore. Cas rare mais piège classique pour le secteur maritime et diplomatique.
Le test 'représentant UE' : la zone rouge
Si vous etes un editeur SaaS hors UE et que vos clients incluent ne serait-ce qu'un utilisateur européen régulier, vous devez : (1) désigner par ecrit un représentant UE au sens de l'article 27, (2) publier ses coordonnees dans la politique de confidentialite, (3) tenir un registre des traitements article 30 accessible a la CNPD sur demande. L'absence de représentant est une infraction autonome sanctionnable jusqu'a 10 M EUR ou 2% du CA mondial.
Comment Luxgap automatise ce risque
Notre outil Luxgap Territorial Scope Analyzer evalue automatiquement votre exposition extraterritoriale au RGPD a partir d'un snippet JavaScript installe sur votre site et d'un connecteur a votre CRM (HubSpot, Salesforce, Pipedrive, Odoo). Il detecte les déclencheurs article 3 en temps reel : langues affichees, devises proposees, géolocalisation des visiteurs (via IP anonymisee), trackers actifs, origine des leads commerciaux. Module Targeting Detector qui classe chaque signal sur une echelle d'exposition, et module EU Representative Finder qui propose une mise en relation avec un représentant article 27 au Luxembourg.
- Scan automatise des cookies, pixels et SDK tiers presents sur votre site
- Cartographie des flux de leads UE entrant dans votre CRM
- Rapport PDF 'Article 3 - exposition par marche' avec score sur 100
- Generation automatique de la clause 'représentant UE' a inserer dans la privacy policy
- Alerte mensuelle si un nouveau pays UE depasse le seuil de ciblage manifeste
- Registre article 30 pre-rempli pour les responsables hors UE
Disponible en SaaS (3 plans : Starter pour 1 domaine, Pro jusqu'a 10 domaines, Enterprise illimite multi-marques), ou inclus dans le mandat DPO externe Luxgap avec service de représentant article 27. Demandez un scan gratuit de votre exposition extraterritoriale en 48h via notre snippet JS.
