Fiche 2: PME / TPE dois-je appliquer le RGPD ? (Champ d’application du RGPD)

Comment savoir si le RGPD s’applique à moi?

Les questions qui sont ces derniers mois sur toutes les lèvres, que l’on soit patron de petite ou de grande entreprise, professionnel libéral, artisan, sans salariés ou avec plusieurs centaines de salariés sont toujours les même:

Est-ce que le RGPD s’applique à moi ?

Dans quel cadre suis-je soumis au RGPD ?

Puis-je éviter d’appliquer le RGPD ?

La réponse est extrêmement simple :  99% des organismes sont soumis au RGPD!

Avant d’entrer dans le détail du champ d’application du RGPD, il est important de rappeler quelques définitions clés (pour plus de définitions : voir la fiche LEXIQUE RGPD – à venir):

 

Données à caractère personnel (DCP) 

Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement par référence à :

  • Un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne
  •  Ou un plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Ex d’identification directe : nom, prénom, vidéosurveillance, photographie, etc.

Ex d’identification indirecte : n° de colis, n° de CB, adresse IP, empreinte digitale, données comportementales (domotique)

Responsable de Traitement (RT)

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ;

 

Il s’agit donc de celui qui détermine le contenu, la structure, les finalités, les moyens et les règles de gestion des données.

 

 

 

 

 

Traitement :

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel, telles que :

–        La collecte, l’enregistrement ;

–        l’organisation, la structuration, la conservation ;

–        l’adaptation ou la modification ;

–  l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition ;

–        le rapprochement ou l’interconnexion ;

–        la limitation, l’effacement ou la destruction.

 

Sous-traitant (ST)

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

 

 

 

 

 

 

 

Quel est le champ d’application matériel du RGPD?

L’article 2 du RGPD précise que :

« Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

Le RGPD ne modifie donc pas la nature des traitements concernés, puisque l’on fait toujours référence aux données à caractère personnel.

Néanmoins, il y a cela de nouveau que tous les traitements de données sont concernés, qu’ils soient établis sur un support informatique, aussi bien que sur un support papier.

Ainsi, le fait de ne pas informatiser son traitement ne permet plus d’échapper à l’obligation de respecter les règles applicables à la protection des données à caractère personnel.

Il est nécessaire de préciser que sont considérées comme des données personnelles notamment des adresses emails professionnelles. En effet, une entreprise qui aurait dans un fichier un listing contenant uniquement les adresses emails professionnelles de ses salariés effectue bien un traitement de données à caractère personnel.

En pratique il est plus aisé de retenir que le RGPD s’applique à tout traitement de données effectué par un organisme qu’il soit du secteur privé aussi bien que du secteur public.

Cela exclut donc les traitements de données effectués à des fins purement domestiques et personnelles : par exemple le répertoire téléphonique personnel d’un particulier est bien un traitement de données à caractère personnel mais n’est pas concerné par le RGPD.

 

Quel est le champ d’application territorial du RGPD ?

En vertu de l’article 3 du RGPD :

« 1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.»

 

Le RGPD a vocation à s’appliquer à tout traitement de données pouvant être rattaché à l’Union Européenne, peu importe ainsi la taille de l’entreprise, son activité ou encore son lieu d’implantation.

Le RGPD est dès lors applicable dans les deux hypothèses suivantes :

  • Hypothèse 1 : lorsque le Responsable de Traitement se trouve sur le territoire de l’UE,
  • Hypothèse 2 : lorsque le traitement cible une personne se trouvant sur le territoire de l’UE (la personne n’a pas à résider au sens juridique du terme sur le territoire de l’UE)

De cette manière les Etats membres de l’UE se sont assurés de pouvoir protéger leurs citoyens mais aussi leurs entreprises face aux pratiques abusives des grands groupes de l’internet, notamment américains.

Ainsi dès lors que ces Groupes, tels que Google, Facebook, Amazone, adressent des offres commerciales, ou de services à des personnes se trouvant sur le territoire de l’UE, ils doivent se plier aux règles fixées par le RGPD i.e. offrir toutes les garanties quant au respect des données à caractère privées collectées, ou à tout le moins traitées, au risque de se voir appliquer des sanctions financières extrêmement lourdes.

Il est donc devenu parfaitement inutile de faire héberger son système d’information en dehors des frontières de l’UE, pour tenter de contourner l’application du RGPD.

En conclusion,  le RGPD s’applique à tous, mais pas d’inquiétudes!

Les règles à mettre en œuvres varient en fonction de la taille de l’entreprise, du type de traitement effectué (données sensibles ou non), du volume traité de telle sorte que chaque entreprise, organisme, ou professionnel peut amorcer une démarche de mise en conformité à son propre niveau.

Pour plus de renseignements ou pour un accompagnement sur votre mise en conformité, n’hésitez pas à nous contacter :

CONTACTEZ NOUS