Le Règlement Général sur la Protection des Données (RGPD) s'applique non seulement à la majorité des entreprises, mais également aux associations et aux organismes publics.
Dans ce guide pratique, nous abordons une question courante concernant le RGPD : Qui est concerné ? Notre objectif est de dissiper toutes les incertitudes afin que vous puissiez obtenir des réponses claires à vos interrogations.
Qui est concerné par le RGPD ?
Le RGPD s'applique à toute entité, qu'il s'agisse d'entreprises, d'associations ou d'organismes publics, qui collecte, stocke ou utilise des données personnelles de résidents de l'Union européenne, peu importe où elle est située.
Voici les points clés :
- Implantation géographique : Toute entité située dans l'UE est concernée par le RGPD, que les données traitées soient ou non dans l'UE.
- Application extraterritoriale : De plus, une entreprise en dehors de l'UE qui traite des données personnelles de résidents européens est concernée quand les traitements permettent le suivi du comportement de ces personnes ou sont liés à une offre de biens ou services à ces personnes dans l'UE. Le RGPD s'applique également aux grandes entreprises internationales comme Google, Amazon, Facebook, Apple et Microsoft (GAFAM), démontrant ainsi sa portée extraterritoriale.
En résumé, presque toutes les entités, quelle que soit leur taille, sont concernées par le RGPD, qu'il s'agisse de TPE, de PME, de grandes entreprises, d'administrations publiques, d'hôpitaux, de petits commerces ou de salons de coiffure, dès lors qu'elles traitent des données personnelles de résidents européens.
Attention ! Le RGPD s'applique aussi aux particuliers dès qu'ils traitent des données personnelles en dehors de leurs activités personnelles ou domestiques. Par exemple, cela concerne les particuliers qui installent des caméras filmant l'extérieur de leur domicile ou qui, dans leur domicile, emploient un salarié.
Données à caractère personnel et traitement, de quoi s'agit-il ?
Le RGPD s'applique aux entreprises qui traitent des données à caractère personnel (DCP).
Selon l'article 4 du RGPD, les Données à caractères personnelles sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
En d'autres termes, une donnée personnelle est tout élément permettant de reconnaître ou d'identifier une personne physique, tels qu'un nom, un prénom, une adresse e-mail, un numéro de téléphone, un numéro de sécurité sociale, une adresse, une adresse IP, un identifiant, etc.
Toute entreprise qui détient de telles données (qu'elles soient relatives au personnel, à des partenaires, des prestataires, des clients, des utilisateurs...) détient donc des données personnelles et est soumise au RGPD.
Le règlement européen adopte une conception très large des notions de « données personnelles » et de « traitement ». Le traitement de données englobe toute activité consistant à collecter, stocker, modifier ou utiliser des données.
Ainsi, même si vous ne faites qu'entreposer les données personnelles que vous collectez, sans les utiliser, vous êtes soumis au RGPD. Dès que ces données sont stockées dans votre système d'information, une base de données ou un tableau Excel, vous êtes considéré comme effectuant un « traitement de données à caractère personnel ».
Quelques précisions sur le périmètre d’application du RGPD
Voici quelques points clés pour mieux comprendre le périmètre d'application du RGPD en entreprise.
Le RGPD ne se limite pas aux données des clients
Le RGPD couvre toutes les données à caractère personnel stockées par votre entreprise et liées à des résidents européens, incluant ainsi vos clients, utilisateurs, fournisseurs, salariés, prospects et candidats
Comprendre la notion de « résidents européens »
Le RGPD régit le traitement des données personnelles des « résidents européens ». Cela signifie que :
- Il s'applique aux données des personnes étrangères résidant dans un des pays de l'Union européenne.
- Le RGPD concerne donc toutes les personnes résidant dans l'UE, indépendamment de leur nationalité.
Le RGPD & les entreprises
Pour les entreprises, les données relatives à l'entité « entreprise » (comme le numéro de SIRET, le chiffre d'affaires, l'effectif salarié) ne sont pas des données personnelles. En revanche, les informations concernant les contacts au sein de l'entreprise cliente (nom, prénom, fonction, numéro de téléphone, e-mail) sont des données personnelles et relèvent du RGPD.
Attention à la sous-traitance
Si vous externalisez le traitement des données, comme en utilisant un outil de web analytics, vous devez :
- Vérifier que le prestataire respecte les règles du RGPD.
- Assumer la responsabilité avec le sous-traitant en cas de non-conformité des traitements.
- Etablissez un contrat avec votre sous-traitant sur les données personnelles.
Qui n'est pas concerné par le RGPD
Le RGPD ne s'applique pas aux données personnelles d'individus ne résidant pas dans l'UE ou n'ayant pas la citoyenneté européenne.
En dehors de ce cas évident, quelques exceptions existent :
- Les traitements réalisés dans un cadre strictement privé, comme la création d'un annuaire personnel de contacts.
- Les traitements réalisés dans le cadre de la prévention d'infractions pénales qui relèvent de la loi nationale (et d'une directive européenne).
Vérifiez si votre organisme est concerné par le RGPD
La plupart des grandes entreprises se sont déjà conformées au RGPD, mais ce n'est pas toujours le cas des petites entreprises et des entreprises individuelles. Nombre d'entre elles n'ont encore pris aucune mesure, et certaines PME n'ont toujours pas entrepris leur mise en conformité RGPD.
Vous êtes une entreprise, une association ou tout autre type d'organisme et vous souhaitez savoir si le RGPD vous concerne ? Nous vous invitons à contacter l'un de nos experts ! Ils pourront répondre à toutes vos questions, réaliser un audit de vos données, déterminer si vous êtes concerné et, le cas échéant, vous accompagner dans votre démarche de mise en conformité RGPD.
Rappelons que les sanctions en cas de non-conformité au RGPD sont sévères et que l'autorité de contrôle (en France, la CNIL) est désormais bien moins tolérante. Les amendes peuvent atteindre jusqu'à 20 millions d'euros.
Photo de Martin Sanchez sur Unsplash