Skip to content

RGPD : Qui est concerné ?

RGPD : Qui est concerné ?

Rares sont les entreprises et les organismes publics qui ne seront pas touchés par le règlement européen 2016/679 du 27 avril 2016 entrant en vigueur le 25 mai 2018 (le « RGPD »). En effet, dès que l’activité de l’organisme touche à la collecte, au stockage et/ou à l’utilisation de données à caractère personnel de citoyens de l’Union européenne, le règlement s’applique, et ce, que l’entreprise se situe dans l’Union Européenne ou hors Union Européenne.

 

Rappel : l’entrée en vigueur du RGPD fin mai 2018

A partir du 25 mai 2018, un bon nombre d’entreprises et d’organismes publics devront se mettre en conformité au Règlement européen général sur la protection des données (ou « RGPD »).

Les objectifs du RGPD. Le RGPD suit une politique d’unification et d’harmonisation de la pratique des entreprises au sein de l’Union Européenne. Cette politique permet également un meilleur contrôle des citoyens européens de leurs données personnelles.

Le règlement contre donc le phénomène du « Big Data » : les entreprises ont pris l’habitude de stocker énormément de données, alors qu’en pratique, très peu sont réellement utilisées.  Il permet la mise en place d’un stockage intelligent et plus efficace des données à caractère personnel. En effet, le règlement responsabilise et sensibilise les entreprises sur le traitement, la collecte et le stockage des données à caractère personnel des citoyens européens. Le règlement protège les personnes physiques dans le cadre de l’exploitation d’informations relatives à leur identité, notamment par le principe de privacy by design.

Bon à savoir ! Il est important de ne pas voir le RGPD comme une contrainte. Ce nouveau règlement permet à toutes les entreprises concernées d’optimiser les données au sein de l’entreprise. Grâce au règlement, les entreprises feront preuve d’une meilleure organisation et de plus de transparence.

Il est notable de préciser que les entreprises qui se tenaient déjà auparavant aux réglementations nationales de protection des données n’auront pas beaucoup de mal à se mettre en conformité avec le RGPD.

 

La notion de « traitement de données à caractère personnel »

La notion de donnée à caractère personnel

Tous les différents types de données à caractère personnel sont concernés. D’après l’article 5 du RGPD, « Toute information se rapportant à une personne physique identifiée ou identifiable, dénommée la « personne concernée ». ». Une donnée à caractère personnel peut donc être toute information permettant d’identifier une personne physique directement ou indirectement.

Exemple : le nom, l’adresse, la date de naissance ou encore la localisation d’une personne par son adresse IP par exemple.

C’est donc un champ très vaste ! Rares sont les établissements qui ne manipulent pas ce genre de données. Toute entreprise a un recueil des fichiers clients ou du personnel de l’entreprise.

Le traitement de données à caractère personnel

Le recueillement de données personnelles :

On peut parler de traitement de données à caractère personnel dès qu’il y a stockage des données par une entreprise. Il n’est pas nécessaire d’utiliser les données dans l’activité de l’entreprise. Dès qu’il y a stockage, le RGPD s’applique à l’entreprise, qu’importe la forme de stockage ; aussi bien sur un tableau Excel ou dans une base de données.

Ce qui compte c’est la collecte, le traitement ou le stockage des données personnelles d’une personne se trouvant dans l’Union Européenne. La personne peut être un client de l’entreprise, un fournisseur ou même un salarié de celle-ci.

Exemple : On retrouve du traitement de données à caractère personnel même dans le cadre des candidatures. En effet, dès lors que l’entreprise européenne reçoit un CV, il y a collecte de données personnelles sur une personne au sein de l’Union Européenne.

Ainsi le traitement des données à caractère personnel signifie la modification, l’utilisation ou l’enregistrement de données au quotidien dans l’activité d’une entreprise.

Les entreprises traitant des données personnelles :

Le secteur d’activité de l’entreprise n’a pas d’impact sur la mise en conformité du fonctionnement de l’entreprise au RGPD, du moment quelles collectent, stockent ou traitent des données personnelles des citoyens de l’Union Européenne.

Attention donc aux entreprises qui ne pensent pas être touchées par le RGPD étant donné que la collecte de données personnelles n’est pas leur activité principale. Tous les secteurs sont concernés, quelle que soit la taille de l’entreprise.

Ainsi, à partir du moment où l’entreprise manipule des données à caractère personnel d’un citoyen européen, les entreprises suivantes seront dans l’obligation de se conformiser au RGPD :

  • Les petites entreprises comme les grandes
  • Les entreprises en B2C (relation « business to consumer) comme en B2B (relation « business to business »).
  • Les entreprises privées et les organismes publics

Exemple de structures publiques soumises à l’application du RGPD : Les hôpitaux, mairies, et même les ministères ; entre autres l’ensemble du service public.

Bon à savoir ! Ne sont pas touchés par le RGPD :

  • Le traitement de données personnelles dans le cadre de la protection de libertés et de droits fondamentaux, ou relevant d’activités hors Union européenne (exemple : une politique étrangère)
  • Un comportement privé (exemple : une personne créant une liste de ses contacts privés)
  • Des activités prévenant des infractions pénales

 

L’implantation de l’entreprise et le critère du ciblage des citoyens européens dans l’application du RGPD

Toute entreprise qui a une activité en Europe ou qui est établie en Europe doit être conforme au RGPD au plus tard le 25 mai 2018.

L’implantation de l’entreprise au sein de l’Union Européenne

Toute entreprise établie en Europe doit être en conformité avec le RGPE, et ce, quel que soit son secteur d’activité ou sa taille. Une entreprise établie au sein de l’Union européenne devra toujours être en conformité avec le RGPD, même si le traitement des données personnelles est effectué hors Union européenne.

Cela vaut également pour les sous-traitants de l’entreprise. Le traitement des données à caractère personnel n’a pas à être effectué au sein de l’Union européenne. L’entreprise principale doit néanmoins être établie dans l’Union européenne. L’ensemble des entreprises privées et des organismes publics ainsi que les associations appartenant à l’un des 28 Etats Membres de L’Union Européenne et étant implantées en Europe sont donc touchés par l’application du RGPD.

Implantation de l’entreprise hors Union Européenne : le ciblage des citoyens européens

Le critère du ciblage des citoyens européens. Le ciblage des citoyens européens concerne les entreprises qui traitent les données à caractère personnel de citoyens européens en vue de :

  • fournir des biens et services à des personnes présentes sur le territoire de l’Union européenne.
  • suivre le comportement de ses personnes.

Et ce, qu’importe la nationalité de la personne concernée par les données, du moment qu’elle se trouve sur le territoire européen.

Bon à savoir ! L’offre de bien et services de l’entreprise n’a pas besoin d’être payante.

Exemples :

  • Offre de biens et services sur le marché européen par le biais du E-Commerce
  • Suivi du comportement de personnes se trouvant dans l’Union européenne par le biais de mécanismes tels que la géolocalisation

Ainsi, si l’entreprise n’est pas établie dans l’Union Européenne, mais que les activités de traitement sont liées à des offres de biens et services effectuées au sein de l’Union européenne ou que les activités sont liées à des comportements de personnes se trouvant dans l’Union européenne, le RGPD s’applique.

Attention ! Le lieu de stockage des données et le secteur d’activité de l’entreprise n’ont pas d’impact sur l’application du RGPD du moment que la cible de l’entreprise est le territoire européen et les résidents de ce territoire.

 

L’application du RGPD et la co-responsabilité des établissements et de leurs sous-traitants

Les sous-traitants. Le traitement de données à caractère personnel automatisé ou non automatisé d’une entreprise est souvent remis par l’entreprise à des prestataires de services et des sous-traitants. Du fait du principe de co-responsabilité du RGPD, les grosses entreprises faisant appel à des sous-traitants risquent de lourdes sanctions si les sous-traitants ne sont pas à jour dans la protection des données personnes au sein de l’Union Européenne.

Le principe de co-responsabilité. Les entreprises sont responsables du comportement des tiers dont elles chargent le traitement des données personnelles. Elles ont l’obligation de tenir un dossier prouvant la prise en compte des règlementations du RGPD dans l’ensemble du traitement des données personnelles par leurs sous-traitants.

Bon à savoir ! Ces services sont généralement proposés par des « PME » et autres petites entreprises. Les petites entreprises doivent donc absolument se mettre en conformité avec le RGPD. Elles risquent de perdre leurs clients et de ne pas en retrouver si elles ne le font pas.

Rappel ! Le RGPD concerne également les petites entreprises

Que l’entreprise soit une Start-up, une Très Petite Entreprise (TPE), une Petite et Moyenne Entreprise (PME) ou une personne indépendante, elle devra se mettre en conformité avec le RGPD dès qu’elle utilise des données à caractère personnel de citoyens européens.

L’activité principale de la petite entreprise n’a pas d’impact sur l’application ou non du règlement européen. En effet, que son activité principale soit le traitement ou la collecte de données, ou qu’elle n’utilise des données personnelles de clients ou d’employés que de manière ponctuelle et passagère, elle devra être en conformité avec le RGPD.

Attention ! Il ne faut pas sous-estimer le risque de la non-conformité d’une petite entreprise au RGPD. En effet, les petites entreprises peuvent se retrouver en liquidation du fait des sanctions très lourdes du règlement : Les amendes liées à la violation du RGPD peuvent aller jusqu’à 4% du CA mondial de l’entreprise et jusqu’à 20 millions d’euros pour les infractions les plus graves.
A noter : il est important que les données santé dans le cadre du RGPD sont des données considérées comme très sensibles, il faut donc être encore plus vigilant si on manipule ce type de données.

Dernière mise à jour le

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Laisser un commentaire

avatar
  S’abonner  
Notifier de