Les traitements mis en œuvre doivent donc présenter l'une de ces caractéristiques. Les entreprises ou organismes étrangers qui collectent des données sur des personnes situées en Europe (par exemple par l'intermédiaire d'un site web) rentrent donc potentiellement dans le périmètre d'application du RGPD. Le considérant 23 précise qu'« afin de déterminer si un (...) responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l'Union, il y a lieu d'établir s'il est clair que [cet organisme] envisage d'offrir des services à des personnes concernées dans un ou plusieurs États membres de l'Union ». Selon le législateur, la simple accessibilité du site internet, d'une adresse électronique ou d'autres coordonnées ou « l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi ne suffit pas pour établir cette intention ». Il convient de prendre en compte des facteurs comme « l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union ». C'est donc l'intention du responsable du traitement ou du sous-traitant qu'il faut établir sur la base d'un faisceau d'indices. Le CEPD a publié, en octobre 2019, des lignes directrices sur l'application territoriale du RGPD détaillant des critères à prendre en compte. Il s'agit notamment de : - la nature internationale de l'activité de l'organisme concerné (comme les activités touristiques) ; - la mention d'itinéraires à partir d'autres États pour se rendre au lieu d'établissement de l'organisme en question ; - l'utilisation d'une langue ou d'une monnaie autres que celles utilisées dans l'État dans lequel l'organisme est établi ; - la mention de coordonnées téléphoniques avec l'indication d'un préfixe international ; - l'utilisation d'un nom de domaine de premier niveau autre que celui de l'État où le commerçant est établi ; - la mention d'une clientèle internationale composée de clients domiciliés dans des États membres, etc. C'est la même démarche qui devra être utilisée pour déterminer si le responsable du traitement ou le sous-traitant entend suivre le comportement de personnes situées en Europe. A priori, ce cas vise plutôt le suivi de personnes physiques sur internet par l'intermédiaire de dispositifs de tracking (RGPD, considérant 24). À noter que le critère d'applicabilité territoriale du RGPD n'est pas lié à une notion de citoyenneté ou de résidence mais au fait d'être sur le territoire européen (ainsi un Américain à Paris bénéficiera de cette protection). RGPD : la protection des données à caractère personnel