Le Règlement Général sur la Protection des Données (« RGPD »)[1] impose à toute entreprise, n’ayant pas d’établissement sur le territoire de l’Union européenne, mais visant ce marché[2], d’y désigner un représentant, allant en cela au-delà du droit canadien relatif à la protection de la vie privée, et ce, afin que les autorités de contrôle et les individus aient un point de contact facilement accessible[3].
Mais, en pratique, cette obligation ne s’applique pas à toutes les entreprises : logiquement, les grandes entreprises ont des établissements partout dans le monde, incluant au sein de l’Union Européenne. À ce titre, elles n’ont pas besoin de désigner un représentant en Europe. En revanche, les petites et moyennes entreprises sont particulièrement sujettes à cette obligation puisqu’elles n’ont pas forcément d’établissements au sein de l’Union.
Si cette obligation n’est pas la plus connue, rappelons que le RGPD, pour une telle violation, prévoit tout de même une amende pouvant aller jusqu’à 10 000 000 € ou 2% du chiffre d’affaires annuel mondial[4].
C’est ce qui s’est produit pour la première fois aux Pays-Bas le 12 mai 2021 alors que l’autorité de contrôle de protection des données néerlandaise, l’Autoriteit Persoonsgegevens[5], a imposé une amende de 525 000 euros (soit environ 776 300 dollars canadiens) à Locate Family, une société vraisemblablement canadienne[6] n’ayant aucun établissement sur le territoire européen.
En effet, selon l’autorité néerlandaise, en raison de l’absence de représentant en Europe, toute personne souhaitant faire supprimer ses données du site ne pouvait pas le faire avec aisance. À cette amende déjà élevée, l’autorité néerlandaise ajoute 20,000 euros toutes les deux semaines jusqu’à la désignation du représentant, avec un maximum de 120,000 euros.
C’est cette absence de représentant dans l’UE qui constitue le fondement de l’amende infligée.
La décision de l’autorité néerlandaise rappelle ainsi deux aspects importants du RGPD.
Premier rappel : l’application extraterritoriale du RGPD
En vertu de son article 3, le RGPD s’applique à toute entité qui traite des données à caractère personnel et dont l’un de ses établissements est situé sur le territoire de l’Union Européenne et ce, quel que soit le lieu où les données sont traitées[7].
Ensuite, ce même article prévoit aussi que le règlement peut s’appliquer à toute entité qui, bien qu’elle ne soit pas située sur le territoire de l’Union européenne, vise (ou cible) le marché européen en (i) surveillant (ou en suivant) le comportement des individus situés sur le territoire de l’Union européenne ou (ii) offrant des biens/services (payants ou gratuits) aux particuliers situés dans l’UE. C’est cette seconde hypothèse qui nous intéresse en l’espèce.
En effet, si la société Locate Family n’a pas d’établissement en Europe, elle vise effectivement le marché européen[8] en y offrant des services au sens de l’article 3(2) du RGPD.
Afin de déterminer si une entité offre des biens ou des services aux personnes concernées qui se trouvent dans l’UE, le RGPD prévoit qu’« il y a lieu d’établir s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir des services à des personnes concernées dans un ou plusieurs États membres de l’Union »[9].
En d’autres termes, pour que le RGPD trouve application , deux conditions cumulatives doivent être remplies : (i) une offre de biens ou de services (ii) à destination de personnes situées sur le territoire européen. Il est précisé de surcroit que l’appréciation de la localisation des individus doit se faire au moment où l’offre de biens ou de services a lieu[10].
C’est bien la situation dans laquelle se trouve Locate Family.
De fait, selon son site internet[11], elle se destine à aider des individus à retrouver des personnes qui ont été perdues de vue, grâce à une liste nominative de plus de 350 millions de personnes dans le monde, laquelle est publiée et librement accessible sur le site. Les données des personnes établies dans l’Union européenne sont partagées avec la page Twitter du site, où sont affichées les demandes de recherche de personnes et le pays d'origine de la demande. Il ne fait donc pas de doute qu’elle vise le marché de l’Union européenne.
Une fois l’application du RGPD à Locate Family confirmée, il convient d’aller plus loin et de s’arrêter à l’article 27.
Second rappel : l’obligation de désigner un représentant dans l’Union Européenne
« Lorsque l’article 3, paragraphe 2, s’applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l’Union ». (RGPD, art. 27(1))
Parce qu’elle n’est pas située au sein de l’Union, Locate Family aurait dû y désigner un représentant. Or, elle ne l’a pas fait.
Reste à savoir si Locate Family aurait pu se prévaloir des exceptions à l’obligation de désigner un représentant au sein de l’Union Européenne. Il convient de rappeler que l’article 27 du RGPD dispose que la désignation d’un représentant n’est pas applicable :
- à un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou
- à une autorité publique ou à un organisme public.
N’étant ni une autorité publique ni un organisme public et le traitement des renseignement personnels de résidents de l’Union européenne n’étant pas occasionnel, c’est-à-dire que l’activité de traitement « n’est pas effectuée régulièrement et qu’elle a lieu en dehors du cours normal des affaires ou des activités du responsable du traitement ou du sous-traitant »[12], Locate Family ne peut donc se prévaloir des exceptions à l’obligation de désigner un représentant.
Tout ceci a un impact important sur les personnes dont les coordonnées apparaissent sur Locatefamily.com. Les personnes qui ne savent pas que leurs coordonnées ont été rendues publiques pourraient être surprises par des visiteurs non invités à leur porte et elles devraient pouvoir avec un point de contact facilement accessible.
C’est dans ce contexte que l’amende de 525 000 euros a été imposée, conformément aux règles néerlandaises applicables en matière de pénalités. En effet, le Règlement relatif à la politique en matière de pénalités de 2019, classe les infractions en plusieurs catégories, allant de 1 à 3, avec, pour chaque catégorie, une fourchette d’amende. L’absence de désignation d’un représentant entre dans la catégorie 3. Pour cette catégorie, une fourchette d’amendes allant de 300 000 à 750 000 euros avec une amende de base de 525 000 euros est prévue.
Plus précisément, l’autorité doit partir de l’amende de base qui est augmentée ou réduite, dans les limite de la fourchette, au regard des facteurs suivants :
- la nature, la gravité et la durée de l’infraction, ainsi que le nombre de personnes affectées et l’étendue de celles qu’elles ont subies dommages;
- la nature intentionnelle ou négligente de l’infraction;
- les mesures prises par le responsable du traitement pour réduire le préjudice subi ;
- le degré de responsabilité du responsable de traitement compte tenu des mesures techniques et organisationnelles qu’il a prise;
- les infractions antérieures commises par le responsable du traitement;
- la coopération entre le responsable de traitement et l’autorité de contrôle pour remédier à l’infraction et en limiter les éventuels effets négatifs;
- les catégories de données à caractère personnel visées par l’infraction;
- la manière dont l’autorité de contrôle a été informée de l’infraction;
- le respect des mesures prises par l’autorité de contrôle, dans la mesure où elles existaient auparavant en ce qui concerne le responsable du traitement;
- l’adhésion à des codes de conduite approuvés ou des mécanismes de certification; et,
- tout autre facteur aggravant ou atténuant applicable aux circonstances de l’affaire, comme les profits financiers réalisés ou évités
Le site internet pose également d’autres problèmes liés au RGPD, notamment au regard de la politique de confidentialité qui ne semble pas conforme à l’article 13 du RGPD. Toutefois, la décision néerlandaise semble très claire : l’amende élevée est uniquement liée au fait que LocateFamily.com n’a pas désigné de représentant.
Aussi, toute entreprise, canadienne ou non, faisant affaire en Europe, devrait nommer un représentant si elle n’y a pas d’établissement. Cette obligation est simple à mettre en œuvre et Fasken est là pour vous aider.
[2] RGPD, art. 3(2).
[3] RGPD, art. 27; voir également Comité européen à la protection des données, Lignes directrices 3/2018 relatives au champ d’application territorial du RGPD.
[4] RGPD, art. 83(4) a.
[5] https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-imposes-fine-%E2%82%AC525000-locatefamilycom
[6] Il n’est pas possible, à partir du site web, de déterminer la société qui se cache derrière. Cependant, d’après la réponse minimale que l’autorité néerlandaise de protection des données a reçue des opérateurs du site web et l'orientation nord-américaine apparente - les informations recueillies suggèrent que le site pourrait être basé au Canada.
[7] RGPD, art. 3 (1).
[8] RGPD, art. 3(2). Voir également Comité européen à la protection des données, Lignes directrices 3/2018 relatives au champ d’application territorial du RGPD.
[9] RGPD, consid. 23.