L’article 3 établit quand et où le RGPD s’applique pour protéger. Il est conçu pour protéger les données personnelles des individus au sein de l’Union européenne (UE), même si le traitement des données a lieu en dehors des frontières de l’UE.

Le RGPD s’applique à toute organisation qui possède un établissement, tel qu’une succursale, un bureau, une usine, etc. au sein de l’UE si elle traite les données à caractère personnel d’individus dans l’UE. Cette règle s’applique quel que soit le lieu du traitement effectif des données.

Le RGPD s’applique aux organisations situées en dehors de l’UE dans deux situations spécifiques:

• Si une entreprise non européenne cible des individus dans l’UE en leur proposant des biens ou des services, même gratuits, les règles du RGPD s’appliquent.
• Si une entreprise non européenne suit le comportement en ligne d’individus dans l’U,E par exemple, par le biais de cookies de site web ou de technologies de suivi, les règles du RGPD s’appliquent tant que le comportement se produit dans l’UE.

L’article 3, paragraphe 3, étend la protection du RGPD dans ce scénario. Si une entreprise opère en dehors de l’UE mais dans un lieu où la loi d’un État membre de l’UE s’applique (en raison d’accords internationaux), elle doit tout de même se conformer au RGPD lorsqu’elle traite les données de résidents de l’UE.

Par exemple, si une ambassade des États-Unis en France recueille des données à caractère personnel auprès de citoyens de l’UE pour des demandes de visa ou d’autres services, elle doit se conformer au RGPD pour le traitement de ces données, même si elle est située sur ce qui est considéré comme le territoire des États-Unis à de nombreuses fins.

Les organisations situées en dehors de l’UE doivent se conformer au RGPD comme n’importe quelle autre organisation. Ils doivent désigner un représentant de l’UE, qui doit servir de point de contact avec les autorités et les personnes au sein de l’UE.