Si l’organisation est établie au sein de l’EEE, alors le traitement des données à caractère personnel relèvera du régime du RGPD, indépendamment du fait que les données concernent des personnes concernées en dehors de l’EEE ou qu’elles aient été collectées/traitées en dehors de l’EEE ou non (Art. 3(1)). En outre, le RGPD s’appliquera également si l’offre de biens et de services, ainsi que la surveillance du comportement ont lieu au sein de l’EEE (Art.3(2)(a) et Art.3(2)(b)), indépendamment du fait que le responsable du traitement des données ou le sous-traitant soient situés au sein de l’EEE. Le RGPD s’applique également au traitement des données à caractère personnel dans des lieux où “le droit des États membres s’applique en vertu du droit international public” (art.3(3)), même si le responsable du traitement des données n’est pas situé dans l’UE.

Si les données sont transférées en dehors de l’EEE, la personne concernée doit également en être informée et ce transfert international de données doit être accompagné d’un mécanisme qui le rende licite (article 14, paragraphe 1, point f)) (voir “Transfert de données à des tiers” dans la partie II, section “Principaux outils et actions”).