Le piège classique
Le considérant 22 etend le RGPD a tout traitement realise dans le cadre des activités d'un établissement dans l'Union, même si le traitement technique a lieu ailleurs. La CNPD et la CNIL sanctionnent régulièrement des groupes qui pensaient échapper au RGPD parce que leurs serveurs ou leur maison-mere etaient aux Etats-Unis : des qu'une filiale, succursale ou bureau de représentation luxembourgeois exerce une activité reelle liée au traitement (commercialisation, support, recrutement), le RGPD s'applique intégralement. L'arret Google Spain (CJUE C-131/12) et l'arret Weltimmo (C-230/14) ont scelle cette lecture extensive.
Le test de l'établissement : 3 critères cumulatifs a documenter
- Dispositif stable : presence physique ou organisationnelle durable, même legere (un seul commercial avec un compte bancaire LU suffit selon Weltimmo).
- Exercice effectif et reel : activité reelle, pas une coquille vide. Un bureau d'adresse postale ne suffit pas, mais une équipe de 2 personnes generant du chiffre d'affaires oui.
- Lien avec le traitement : le traitement doit être realise dans le cadre des activités de cet établissement (lien fonctionnel et economique, pas necessairement technique).
- La forme juridique est indifferente : succursale, filiale, bureau de représentation, joint-venture, peu importe.
- Conséquence directe : un groupe US avec une simple succursale commerciale a Luxembourg devient justiciable de la CNPD pour tous les traitements liés a l'activité européenne, y compris ceux opérés depuis les serveurs californiens.
L'angle mort des groupes internationaux
Le piège le plus frequent : un groupe nomme un DPO global au siège (Londres, New York, Singapour) et oublie de cartographier les établissements UE qui déclenchent l'applicabilite territoriale. Résultat : le registre article 30 ignore des dizaines de traitements pourtant soumis au RGPD, et la CNPD réclamé en contrôle la documentation manquante.
Comment Luxgap automatise ce risque
Notre Luxgap Territorial Scope Mapper elimine l'angle mort de l'applicabilite territoriale en cartographiant automatiquement tous les établissements UE de votre groupe et en qualifiant chaque traitement au regard du considérant 22. L'outil croise vos données RCSL/registres du commerce européens, vos flux comptables consolides (Sage, SAP, Workday), vos contrats de travail Bamboo HR / Personio et vos signatures DNS publiques pour identifier les dispositifs stables que votre direction juridique ignore, sans demander au DPO de remplir un seul tableau Excel.
- Detecte automatiquement chaque établissement UE de votre groupe via les registres officiels (RCSL au Luxembourg, RCS en France, KBO en Belgique, Handelsregister en Allemagne) et les flux de paie consolides.
- Qualifié chaque entité selon les critères Weltimmo et Google Spain : dispositif stable, activité reelle, lien fonctionnel avec le traitement.
- Genere une matrice traitement x établissement qui démontré pourquoi chaque traitement relevé (ou non) du RGPD, avec l'argumentaire juridique pret pour la CNPD.
- Alerte en temps reel des qu'une nouvelle entité UE est creee dans le groupe ou qu'un commercial est embauche dans un nouveau pays, declenchant la mise à jour automatique du périmètre.
- Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CNPD, qui documente le périmètre territorial du RGPD applicable a votre groupe.
- Identifié les cas ou un représentant UE (article 27) est obligatoire pour les entités hors UE qui ciblent le marché européen.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur la structure reelle de votre groupe, avec un audit blanc gratuit sous 48h pour mesurer votre exposition territoriale avant tout engagement.
