Nous, résidents européens
Dès lors que le RGPD s’applique à une entreprise et à un traitement de données personnelles, peu importe la nationalité et le lieu de résidence des personnes derrière les données, les individus concernés bénéficieront des droits introduits par le RGPD.
Qui est concerné : les citoyens européens
S’agissant d’un texte réglementaire européen, les résidents européens sont les premiers concernés. Le RGPD s’inspire des législations européennes précédentes.
Campagne de lobbying contre le RGPD, campagne d’information des autorités de contrôle (la CNIL en France), mises à jour des conditions générales des entreprises par email ou sur les sites web : tout citoyen européen un tant soit peu informé ou connecté a entendu parler du RGPD et des nouveaux droits qu’il a institués.
En pratique, les règles du RGPD ont vocation à être mobilisées dans tous les secteurs (bancaire, assurantiel, prud’homme, droit de la concurrence), afin de défendre nos droits.
Qui est concerné : les entreprises européennes
Les premières entreprises concernées par le RGPD sont celles qui disposent d’un établissement dans l’Union Européenne. En effet, tous les traitements de données qu’elles peuvent faire qui ont vocation à rester au sein de l’Union Européenne, soit en raison de l’activité même de l’entreprise, soit parce que l’entreprise n’a pas d’établissement en dehors de l’Union Européenne, sont évidemment soumis aux dispositions du RGPD.
Pour que votre entreprise soit concernée par le RGPD, il suffit qu’elle dispose d’un établissement dans l’Union Européenne et que, dans le cadre des activités de cet établissement, un traitement de données personnelles soit mis en œuvre (ce qui est forcément le cas). Les traitements effectués par l’établissement européen sur ses propres serveurs seront donc bien sûr soumis au RGPD.
Mais les traitements mis en œuvre en dehors de l’Union Européenne, sur les serveurs de la maison mère américaine par exemple, seront eux aussi soumis au RGPD s’ils interviennent dans le cadre des activités de l’établissement européen. A titre d’exemple : l’évaluation des performances de salariés utilisée par l’établissement pour l’avancement de son personnel, les traitements relatifs à la publicité ciblée utilisée pour le marketing de l’établissement.
Nous, entreprises du monde entier
L’une des grandes innovations du RGPD est son champ d’application extraterritorial. En effet, le RGPD s’applique potentiellement aux entreprises du monde entier.
A ce titre, si une entreprise située en dehors de l’Union Européenne cible des consommateurs situés dans l’Union Européenne, pour leur offrir des biens ou services, le RGPD s’applique aux traitements des données de ces consommateurs. Ici, les données doivent spécifiquement concerner des résidents européens pour que le RGPD s’applique. Il s’agit de même si une entreprise suit le comportement de personnes se trouvant dans l’Union européenne. Le RGPD s’applique aux traitements des données des personnes concernées dans la mesure où le comportement a lieu dans l’Union européenne.
La volonté du responsable de traitement d’offrir des biens ou de proposer des services dans l’Union européenne peut être déduite en se référant à plusieurs critères dont : la langue, les modalités de livraison ou encore la mention de numéros de téléphone spécifiques à joindre à partir d’un pays de l’Union 1.
Cette extraterritorialité marque l’importance prise par la protection des données personnelles pour le législateur européen, qui a souhaité éviter que des entreprises étrangères puissent contourner le RGPD.
C’est d’ailleurs cette « extraterritorialité » de l’application du RGPD qui a conduit la société Google LLC, localisée aux États-Unis, à être sanctionnée par la CNIL à hauteur de 150 millions d’euros 2.
Cette notion de ciblage est toutefois délicate et il faudrait veiller à effectuer une analyse au cas par cas. Ainsi, comme précisé par le CEPD dans ses lignes directrices 3/2018 relatives au champ d’application territorial du RGPD, le traitement effectué des données des collaborateurs se trouvant dans l’Union Européenne pour assurer le paiement des salaires ne peut concerner une offre de biens ou de services et n’est donc pas soumis au RGPD 3.
Afin de faciliter les rapports entres les autorités européennes de protection des données personnelles et les entreprises étrangères soumises aux RGPD, ces dernières sont dans l’obligation de désigner un représentant dans l’Union européenne.
Ainsi, on peut résumer la réponse à la question « RGPD qui est concerné ? » de la manière suivante :
- Tous les citoyens européens, chacun étant sujet à des traitements de ses données personnelles de par ses activités.
- Les établissements dans l’Union Européenne qui se doivent d’assurer l’éthique de ces traitements et de la sécurité des données.
- Les établissements étrangers proposant des services à des personnes se trouvant dans l’Union Européenne.
Sources
1 CEPD, lignes directrices relatives au champ d’application territorial du RGPD.
2 Sanction de Google par la CNIL à hauteur de 150 millions d’euros.
3 CEPD, lignes directrices sur le champ d’application territorial du RGPD.