RGPD qui est concerné ? Entreprises dans l'UE - MOOC CNIL 2019

Nous, résidents européens

Dès lors que le RGPD s’applique à une entreprise et à un traitement de données personnelles, il importe peu que les personnes derrière les données soient de telle ou telle nationalité, ou qu’elle réside dans tel ou tel pays. Elle bénéficiera des droits que lui confère le RGPD. Cependant, les résidents européens sont concernés à plus d’un titre.

RGPD qui est concerné : les citoyens européens

S’agissant d’un texte réglementaire européen, les résidents européens ont été informés de son adoption bien en amont. Le RGPD s’inspire des législations européennes précédentes.

Campagne de lobbying contre le RGPD, campagne d’information des autorités de contrôle (la CNIL en France), mises à jour des conditions générales des entreprises par email ou sur les site web : tout citoyen européen un tant soit peu informé ou connecté a entendu parler du RGPD et des nouveaux droits qu’il institue.

A moyen termes, les règles du RGPD seront mobilisées dans d’autres secteurs pour défendre nos droits : bancaire, assurantiel, prud’homme, droit de la concurrence.

RGPD qui est concerné : les entreprises européennes

Les premières entreprises concernées par le RGPD sont les entreprises disposant d’un établissement dans l’Union Européenne. Dès lors, tous les traitements de données qui ont vocation à rester locaux, soit en raison de l’activité même de l’entreprise, soit parce que l’entreprise n’est implantée que dans l’Union Européenne, concernera les européens au premier chef.

Pour que votre entreprise soit concernée par le RGPD, il suffit qu’elle dispose d’un établissement dans l’Union Européenne et que, dans le cadre des activités de cet établissement, un traitement de données personnel soit mis en œuvre. Les traitements effectués par l’établissement européen sur ses propres serveurs seront donc bien sûr soumis au RGPD.

Mais les traitements mis en œuvre en dehors de l’Union Européenne, sur les serveurs de la maison mère américaine par exemple, le seront aussi s’ils interviennent dans le cadre des activités de l’établissement européen. Pour exemples : l’évaluation des performances de salariés utilisée par l’établissement pour l’avancement de son personnel, les traitements relatifs à la publicité ciblée utilisé pour le marketing de l’établissement.

Lorsque l’établissement est membre d’un groupe d’entreprises, les règles du RGPD viennent s’adapter :

  • il est possible de désigner un DPO responsable pour l’ensemble du groupe
RGPD qui est concerné ? Entreprises hors de l'UE - MOOC CNIL 2019

Nous, entreprises du monde entier

Innovation du RGPD, son champ d’application est extraterritorial : le RGPD s’applique potentiellement aux entreprises du monde entier.

En effet, si une entreprise située en dehors de l’Union Européenne cible des consommateurs situés dans l’Union Européenne, pour leur offrir des biens ou services, le RGPD s’applique aux traitements des données de ces consommateurs. Ici, les données doivent spécifiquement concerner des résidents européens pour que le RGPD s’applique.

RGPD qui est concerné ? Les entreprises du monde entier

La jurisprudence viendra préciser le critère du ciblage des consommateurs européens, qui pourra consister dans la langue utilisée, les territoires de livraison, les devises utilisées.

Cette extraterritorialité marque l’importance prise par la protection des données personnelles pour le législateur européen, qui a souhaité éviter que des entreprises étrangères puissent contourner le RGPD. 

C’est d’ailleurs cette «extraterritorialité» de l’application du RGPD qui a conduit la société Google LLC, localisée aux États-Unis, à être sanctionnée par la CNIL à hauteur de 50 millions d’euros.

Afin de faciliter les rapports entres les autorités européennes de protection des données personnelles et les entreprises étrangères soumises aux RGPD, ces dernières sont dans l’obligation de désigner un représentant dans l’Union européenne.

 

Ainsi, on peut résumer la réponse à la question « RGPD qui est concerné ? » de la manière suivante : 

  • Tous les citoyens européens, chacun étant sujet à des traitements de ses données personnelles de part ses activités
  • Les établissement dans l’Union Européenne qui se doivent d’assurer l’éthique de ces traitements et de la sécurité des données
  • Les établissement étrangers proposant des services
RGPD qui est concerné ? - MOOC CNIL 2019

Votre entreprise est concernée, n'attendez plus pour vous mettre en conformité

Découvrez DATA LEGAL DRIVE