RGPD : à qui s’applique-t-il ?

Le Règlement général de protection des données (RGPD) ou GDPR (General Data Protection Regulation) en anglais, applicable depuis le 25 mai 2018, s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Ainsi, il permet une harmonisation de la législation sur l’ensemble du territoire de l’Union européenne. De fait, il implique une gestion encadrée des données personnelles des individus avec lesquels les organisations interagissent dans leurs activités.
Quel est le champ d’application RGPD ? Qui est concerné ?

Le mode d’identification des concernés

Le RGPD s’applique dès lors q’un organisme traite ou collecte des données personnelles. Ces données peuvent permettre une identification directe ou indirecte :

• L’identification directe : l’organisme détient des informations permettant d’identifier directement une personne : un nom ou un prénom.
• L’identification indirecte : l’organisme détient des informations permettant d’identifier indirectement une personne : un numéro d’identification (exemple : un code adhérent), une adresse, un numéro de téléphone, une adresse IP, ou encore un ou plusieurs éléments renvoyant à son « identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Ainsi, à partir du moment où un organisme détient ne serait-ce qu’une seule de ces informations, il est concerné par le RGPD et ce, même si la collecte, la gestion et le traitement des données ne font pas partie de son activité principale. Aussi, concernant le champ d’application de la législation, le secteur d’activité de l’entreprise importe peu. Il convient alors de traiter les données personnelles conformément aux dispositions prévues par la loi européenne.

Le champ d’application territorial

Les organismes

Le GDPR s’applique à tout organisme, public ou privé, quelle que soit sa taille, dès lors qu’il est amené à traiter des données personnelles. Ce règlement européen concerne toutes les activités et ne se limite pas à un territoire.

Les organismes de l’UE

Le règlement s’applique à tout organisme implanté sur le territoire de l’Union Européenne. Ainsi, dès lors que l’organisme est domicilié dans n’importe quel territoire de l’Europe, il est concerné par le GDPR. De fait, même s’il détient uniquement des données personnelles d’usagers hors UE, la législation en matière de contrôle des données est applicable. Par exemple, une entreprise installée en France mais qui exporte ses produits pour des clients en Chine doit être en conformité avec le règlement.

Les organismes hors UE

La conformité au GDPR est obligatoire pour tout organisme si son activité cible des résidents européens. Ainsi, même si l’organisme est domicilié en dehors de l’Europe, puisque les données personnelles traitées concernent des usagers européens, le règlement s’applique. Par exemple, une entreprise installée au Japon, qui livre des produits à des clients français, doit être en conformité avec la législation sur le traitement des données.

Les sous-traitants

Le règlement européen définit le sous-traitant comme la « personne physique ou morale, l’autorité publique ou tout organisme » qui traite ou collecte des données personnelles pour le compte d’un responsable de traitement (personne physique ou morale, autorité publique ou organisme) dans la cadre d’un service ou d’une prestation. Les profils de sous-traitants sont divers : intégrateurs de logiciels informatiques, prestataires de services informatiques, sociétés de sécurité informatique, agences de communication et marketing. Ainsi, que le sous-traitant agisse seul ou avec d’autres sous-traitants, dès lors qu’il y a traitement des données personnelles, le sous-traitant est soumis à la réglementation en vigueur. Il doit donc tenir un registre de traitement des données pour chaque client.
Dans la mesure où le sous-traitant peut être sanctionné en cas de manquement, il convient de se rapprocher d’un expert juridique afin de mieux appréhender les obligations qui lui incombent.

Les entreprises

Quelle que soit la taille de l’entreprise, le respect du RGPD est obligatoire. Qu’elles traitent, stockent, ou analysent des données personnelles, dès lors qu’elles sont des responsables du traitement, elles doivent appliquer la réglementation en vigueur. Si elles traitent des données personnelles pour d’autres organismes, publics ou privés, en tant que sous-traitant, elles doivent également être conformes au règlement. Il existe néanmoins un allègement prévu par l’article 30 pour les entreprises de moins de 250 personnes : la tenue d’un registre de traitement des données n’est alors pas obligatoire. Cet article comporte cependant des restrictions. Elles devront donc appliquer le règlement si le traitement qu’elles effectuent répond à l’une au moins des conditions supplétives énoncées ci-dessous :

• « est susceptible de comporter un risque pour les droits et des libertés des personnes concernées »
• « n’est pas occasionnel ». Autrement dit, des actes tels que la paie sont considérés comme récurrents. Auquel cas, la réglementation s’applique.
• « porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1 », c’est-à-dire des données concernant l’origine raciale et ethnique, sur la santé, les convictions politiques ou religieuses, etc.
• porte « sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 »

Il est recommandé de se rapprocher des services d’un expert juridique afin de déterminer si l’entreprise bénéficie ou non de cet allègement.

Les associations

De la même façon que les entreprises ou les autres organismes, dès lors qu’elles collectent, stockent ou traitent des données personnelles ou sous-traitent, elles doivent appliquer la réglementation en vigueur.

Ainsi, entreprises, organismes publics ou privés, implantés dans ou hors UE, dès lors qu’il y a traitement de données personnelles de résidents de l’UE, tous entrent dans le champ d’application RGPD. Au vu des mesures et sanctions encourues, il convient de s’assurer de la conformité du traitement des données. En cas de doute, il est recommandé de se rapprocher d’un expert juridique.