Un résident belge (personne concernée) recevait des courriels de marketing direct d’un responsable du traitement basé aux États-Unis dont l’activité consistait à organiser des conférences dans différents pays, y compris en Europe. Le 23 février 2023, il a demandé au responsable du traitement de supprimer ses données en vertu de l’article 17, paragraphe 1, du RGPD, mais le responsable du traitement n’a pas donné suite. Le 28 mars 2023, la personne concernée a déposé une plainte auprès de l’autorité de protection des données belge (APD ; Autorité de protection des données ou Gegevensbeschermingsautoriteit).

Dans une décision APD/GBA – 87/2023 du 27.06.2023 (https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_87/2023&mtc=today), l’APD considère, concernant spécifiquement le champ d’application extraterritorial du RGPD, ce qui suit :

Rappelons que l’art. 3 par. 2 RGPD prévoit que

« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:

1. à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
2. au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. « 

L’autorité de protection des données a vérifié si le RGPD était applicable.

Étant donné que le responsable du traitement était basé en dehors de l’UE, conformément à l’article 3, paragraphe 2, du RGPD, deux conditions cumulatives devaient être remplies pour que le RGPD soit applicable : le traitement devait concerner une personne concernée qui se trouvait dans l’Union et l’activité de traitement était liée à l’offre de biens ou de services à ces personnes concernées ou au suivi de leur comportement dans la mesure où ce dernier a lieu dans l’UE.

En l’espèce, l’APD a considéré que l’activité de traitement en question était liée à l’offre de biens et de services à une personne concernée dans l’UE. En effet, certaines conférences organisées par le responsable du traitement se déroulaient en Europe et le responsable du traitement avait une politique en matière de RGPD. Ces éléments impliquaient, selon l’APD, que le responsable du traitement avait l’intention d’offrir activement ces services au sein de l’UE.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)