RGPD : qui est concerné ?
RGPD : qui est concerné ?
Entrepreneur, dirigeant ou salarié : vous vous demandez si votre entreprise est concernée par la mise en conformité au RGPD ?
Plus de 3 ans après son application, faisons aujourd’hui le point sur les critères d’application du Règlement Général sur la Protection des Données.
LE RÔLE DU RGPD
Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen relatif à la protection des personnes physiques à l’égard du traitement de leurs données et à la libre circulation de ces données.
Il a pour but d’harmoniser les législations européennes sur les données personnelles mais aussi de responsabiliser les acteurs et d’encadrer l’utilisation de la data. Il permet de protéger les individus notamment en renforçant leurs droits et la maîtrise de leurs données personnelles.
Le RGPD a été adopté en avril 2016 et il est entré en application le 25 mai 2018. En France, il vient compléter et renforcer les dispositions de la loi informatique et libertés de 1978.
QUI EST CONCERNÉ PAR LE RGPD ?
L’article 2 du RGPD indique que ce règlement s’applique : « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.»
C’est ce qu’on appelle le critère d’application matériel.
Tous les traitements de données personnelles sont concernés qu’ils soient effectués sur papier ou support numérique. Pour en savoir plus sur la notion de traitement de données, rendez-vous sur notre article « Qu’est-ce qu’un traitement de données à caractère personnel ? ».
OÙ S’APPLIQUE LE RGPD ? DANS QUELS PAYS EST-IL APPLICABLE ?
L’article 3 du RGPD prévoit ce qu’on appelle le champ d’application territorial du règlement.
« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »
Le règlement s’impose donc aux organisations situées sur le territoire de l’Union européenne qui traitent des données. Le traitement peut avoir lieu ou non dans l’Union européenne, le RGPD restera applicable si l’organisation est située sur le territoire d’un des pays membres.
Attention, le RGPD va également s’appliquer aux organisations non établies en Union européenne qui proposent des biens et des services ou suivent le comportement de personnes situées sur ce territoire.
Par exemple : une entreprise située aux États-Unis, qui vend des produits en Europe et collecte des données personnelles, sera soumise au RGPD, de la même manière qu’une entreprise de l’Union européenne.
EXCEPTIONS À L’APPLICATION DU RÈGLEMENT
Des exceptions sont toutefois prévues, le RGPD ne s’applique pas aux traitements suivants effectués :
✔️ dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union, par exemple la sécurité nationale ;
✔️ par les États membres dans le cadre d’activités qui relèvent des dispositions spécifiques concernant la politique étrangère et de sécurité commune ;
✔️ par une personne physique dans le cadre d’une activité strictement personnelle ou domestique, par exemple l’organisation d’un évènement entre amis ;
✔️ par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection des menaces pour la sécurité publique et la prévention de telles menaces.
CONCRETEMENT, À QUI S’APPLIQUE LE RGPD ?
Le RGPD s’applique à toutes les organisations qui traitent des données personnelles :
✔️ publiques comme privées ;
✔️ qui effectuent des traitements de données pour leurs propres comptes ou non ;
✔️ peu importe sa taille (de la PME au grand groupe) ;
✔️ peu importe son but lucratif ou non (les associations et les collectivités territoriales sont elles aussi concernées).
Évidemment l’impact pour les entreprises ne sera pas le même selon la nature, le contexte, les finalités et les risques des traitements mis en œuvre.
Toutefois et même pour les TPE des obligations légales sont à respecter et des bonnes pratiques à mettre en œuvre en vertu du RGPD.
Toutes les entreprises auront l’obligation notamment de :
✔️ constituer un registre des traitements de données mis en œuvre ;
✔️ faire le tri dans les données personnelles collectées ;
✔️ respecter l’information et le droit des personnes concernées ;
✔️ sécuriser les données personnelles.
Par ailleurs, les entreprises qui traitent des données pour le compte d’une autre entité soumise au RGPD, devront également respecter le règlement.
Ces organismes sont qualifiés de sous-traitants de données personnelles. Ils auront des obligations spécifiques visant à garantir la protection des données personnelles.