Nous, résidents européens
Dès lors que le RGPD s’applique à une entreprise et à un traitement de données personnelles, peu importe la nationalité et le lieu de résidence des personnes derrière les données. Elle bénéficiera des droits que lui confère le RGPD. Cependant, les résidents européens sont concernés à plus d’un titre.
Découvrez-en plus sur les droits accordés aux individus, européens ou non
RGPD qui est concerné : les citoyens européens
S’agissant d’un texte réglementaire européen, les résidents européens sont les premiers concernés. Le RGPD s’inspire des législations européennes précédentes.
Campagne de lobbying contre le RGPD, campagne d’information des autorités de contrôle (la CNIL en France), mises à jour des conditions générales des entreprises par email ou sur les sites web : tout citoyen européen un tant soit peu informé ou connecté a entendu parler du RGPD et des nouveaux droits qu’il a institués.
En pratique, les règles du RGPD ont vocation à être mobilisées dans tous les secteurs (bancaire, assurantiel, prud’homme, droit de la concurrence), afin de défendre nos droits.
RGPD qui est concerné : les entreprises européennes
Les premières entreprises concernées par le RGPD sont les celles qui disposent d’un établissement dans l’Union Européenne. En effet, tous les traitements de données qu’elles peuvent faire qui ont vocation à rester au sein de l’Union Européenne, soit en raison de l’activité même de l’entreprise, soit parce que l’entreprise n’a pas d’établissement en dehors de l’Union Européenne, seront évidemment soumis aux dispositions du RGPD.
Pour que votre entreprise soit concernée par le RGPD, il suffit qu’elle dispose d’un établissement dans l’Union Européenne et que, dans le cadre des activités de cet établissement, un traitement de données personnel soit mis en œuvre (ce qui est forcément le cas). Les traitements effectués par l’établissement européen sur ses propres serveurs seront donc bien sûr soumis au RGPD.
Mais les traitements mis en œuvre en dehors de l’Union Européenne, sur les serveurs de la maison mère américaine par exemple, seront eux aussi soumis au RGPD s’ils interviennent dans le cadre des activités de l’établissement européen. Pour exemples : l’évaluation des performances de salariés utilisée par l’établissement pour l’avancement de son personnel, les traitements relatifs à la publicité ciblée utilisée pour le marketing de l’établissement.
Lorsque l’établissement est membre d’un groupe d’entreprises, les règles du RGPD viennent s’adapter :
- il est possible de désigner un DPO responsable pour l’ensemble du groupe
Nous, entreprises du monde entier
L’une des grandes innovations du RGPD est son champ d’application extraterritorial. En effet, le RGPD s’applique potentiellement aux entreprises du monde entier.
A ce titre, si une entreprise située en dehors de l’Union Européenne cible des consommateurs situés dans l’Union Européenne, pour leur offrir des biens ou services, le RGPD s’applique aux traitements des données de ces consommateurs. Ici, les données doivent spécifiquement concerner des résidents européens pour que le RGPD s’applique.
La jurisprudence viendra préciser le critère du ciblage des consommateurs européens, qui pourra consister dans la langue utilisée, les territoires de livraison, les devises utilisées.
Cette extraterritorialité marque l’importance prise par la protection des données personnelles pour le législateur européen, qui a souhaité éviter que des entreprises étrangères puissent contourner le RGPD.
C’est d’ailleurs cette « extraterritorialité » de l’application du RGPD qui a conduit la société Google LLC, localisée aux États-Unis, à être sanctionnée par la CNIL à hauteur de 50 millions d’euros.
Afin de faciliter les rapports entres les autorités européennes de protection des données personnelles et les entreprises étrangères soumises aux RGPD, ces dernières sont dans l’obligation de désigner un représentant dans l’Union européenne.
Ainsi, on peut résumer la réponse à la question « RGPD qui est concerné ? » de la manière suivante :
- Tous les citoyens européens, chacun étant sujet à des traitements de ses données personnelles de par ses activités
- Les établissements dans l’Union Européenne qui se doivent d’assurer l’éthique de ces traitements et de la sécurité des données
- Les établissements étrangers proposant des services