Champ d'application territorial

Règlement général sur la protection des données · UE 2016/679

1. Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2. Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a)	à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou

b)	au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

3. Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 3 piège surtout les groupes internationaux et les editeurs SaaS qui pensent échapper au RGPD parce que leur siege est a Singapour, New York ou Londres post-Brexit. La CNPD et la CNIL appliquent une lecture extensive du critère de ciblage (targeting) issue des lignes directrices EDPB 3/2018 : il suffit d'une langue, d'une devise, d'un nom de domaine en .lu ou .fr, ou d'un pixel de tracking pour déclencher l'applicabilite territoriale. La conséquence immediate, et la plus oubliee, c'est l'obligation de désigner un représentant UE au sens de l'article 27, dont l'absence est sanctionnée de maniere autonome.

Les trois portes d'entree du RGPD a memoriser

Critère de l'établissement (art. 3.1) : une filiale, un bureau de représentation, voire un commercial unique stable au Luxembourg suffit, même si le traitement physique a lieu en Inde ou aux Etats-Unis. La CJUE (Weltimmo, Google Spain) interprete établissement de maniere tres souple, en dehors de toute notion de personnalite juridique.
Critère du ciblage (art. 3.2.a) : offre de biens ou services a des personnes situees dans l'UE. Indices retenus par l'EDPB : langue locale, devise locale, livraison vers l'UE, références clients UE, campagnes Google Ads géociblées, mention d'un numéro de TVA intracommunautaire.
Critère du monitoring (art. 3.2.b) : suivi comportemental via cookies analytics, fingerprinting, pixels Meta, Hotjar, retargeting programmatique, géolocalisation IP. Un simple Google Analytics 4 deploye sans desactivation des signaux EU déclenche l'article 3.
Critère derive : article 27 : tout responsable hors UE relevant de l'article 3.2 doit désigner par ecrit un représentant UE, sauf exceptions limitatives (traitement occasionnel, sans données sensibles, faible risque). Le représentant doit être situe dans un Etat membre ou se trouvent des personnes concernees, et son identité doit figurer dans la politique de confidentialite.

Le piège spécifique luxembourgeois

Les holdings, SOPARFI, family offices et fintechs établis au Luxembourg sous-estiment le critère 3.1 : même si le traitement reel est sous-traite a un prestataire indien ou américain, c'est l'activité de l'établissement luxembourgeois qui déclenche l'applicabilite. A l'inverse, les editeurs SaaS bases hors UE qui demarchent des clients luxembourgeois (CSSF-regulated, professions réglementées) ignorent souvent qu'ils tombent sous l'article 3.2 des le premier prospect cible.

Comment Luxgap automatise ce risque

Notre Luxgap Territorial Reach Scanner determine en 48h, sans questionnaire, si votre organisation est soumise au RGPD au titre de l'article 3.1, 3.2.a ou 3.2.b, et materialise la preuve opposable a la CNPD. L'outil combine un agent IA qui crawle vos sites web publics et applications mobiles, un connecteur Google Analytics, Meta Business, HubSpot et Salesforce pour cartographier vos flux marketing, et une analyse fiscale automatisee de vos factures Odoo, Sage BOB 50 ou Cegid pour détecter les flux UE entrants ou sortants.

Detecte automatiquement les signaux de ciblage UE sur vos proprietes numeriques : langues affichees, devises acceptees, TLD nationaux, mentions legales, livraison géographique, geo-pricing.
Classifie chaque flux selon la grille EDPB 3/2018 et qualifié l'applicabilite RGPD par critère (établissement, ciblage, monitoring) avec niveau de certitude argumente.
Identifié les pixels et trackers tiers (Meta, TikTok, LinkedIn, Hotjar, Clarity) actifs sur vos pages publiques via un snippet JS leger et calcule l'exposition article 3.2.b en temps reel.
Genere automatiquement le mandat de représentant UE article 27 prerempli, et identifié les Etats membres ou la désignation est legalement requise au regard de vos audiences reelles.
Alerte instantanement via Teams ou Slack quand un nouveau site, sous-domaine ou campagne marketing fait basculer une entité hors UE de votre groupe dans le champ de l'article 3.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CNPD ou a la CNIL en cas de contrôle, qui démontré la determination raisonnee de votre statut territorial.

Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos sites et flux marketing reels, avec un scan gratuit sous 48h pour mesurer votre exposition territoriale avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Champ d'application territorial

Ils nous font confiance

Avant de discuter