Article 3 du RGPD
Champ d'application territorial

Chapitre 1 - Dispositions générales
AccueilArticles RGPD > 
Champ d'application territorial
Contenu de l'article2 - Notre analyseExemple de sanctions

Ce que dit l'Article 3 du RGPD

1.  Le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

2.  Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées:

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

3.  Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Que doit-on comprendre de l'Article 3 du RGPD ?

Des exemples de sanctions dans le cadre de l'Article 3 du RGPD

40000000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Criteo
7631175
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Tim Spa
4900000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Edison Energia Spa
4300000
Autorité portugaise de protection des données (CNPD)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Institut National De Statistique Portugais
750000
Médiateur adjoint pour la protection des données
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Alektum Oy
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia S.p.a.
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
200000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Aéroport De Bruxelles Zaventem
85000
Médiateur adjoint pour la protection des données
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Otavamedia Oy
80000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Spa Du Groupe Planet
50000
Autorité belge de protection des données (APD)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Groupe Roularta Media
50000
Autorité belge de protection des données (APD)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Inconnu
40000
Autorité italienne de protection des données (Garante)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Fca Italie Spa
28400
Autorité nationale hongroise pour la protection des données et la liberté d'information (NAIH)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Magyar Telekom Nyrt.
20000
Autorité belge de protection des données (APD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Laboratoire Médical
20000
Autorité hellénique de protection des données (HDPA)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Banque Nationale De Grèce
20000
Autorité hellénique de protection des données (HDPA)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Dixons Europe Du Sud-est Αεβε-κωτσοβολος
18700
Commission nationale de protection des données (CNPD)
Contexte :
Implication insuffisante du délégué à la protection des données
En cause :
Entreprise
16000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Région De Toscane
10600
Autorité islandaise de protection des données (« Persónuvernd »)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Hei – Voyages Médicaux
10000
Autorité hellénique de protection des données (HDPA)
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Banque Alpha
8500
Médiateur adjoint à la protection des données
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Editeur De Magazines
6000
Autorité lituanienne de protection des données (VDAI)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Pratiques Uab
6000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Convitto Nazionale Statale 'giordano Bruno' Di Maddaloni (internat)
5000
Autorité irlandaise de protection des données
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Coopérative De Crédit Slane Ltée
2900
Autorité nationale roumaine de surveillance du traitement des données à caractère personnel (ANSPDCP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Vodafone Roumanie Sa
2500
Commissaire à la protection des données de Malte
Contexte :
Respect insuffisant des droits des personnes concernées
En cause :
Inconnu
2300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Tribunal De District De Cracovie
2300
Office national polonais de protection des données personnelles (UODO)
Contexte :
Respect insuffisant des obligations de notification des violations de données
En cause :
Tribunal De District De Cracovie
2000
Autorité nationale de contrôle du traitement des données personnelles de Roumanie (ANSPDCP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Iridex Group Salubrizare Srl
Les autres articles du chapitre :
Article 1 RGPD - Objet et objectifs
Article 2 RGPD - Champ d'application matériel
Article 4 RGPD - Définitions
👈 Revenir à l'ensemble des articles du RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025