Si vous exploitez une entreprise en ligne, vous avez dû vous demander au moins une fois : " Le RGPD s'applique-t-il à mon entreprise? ".
La loi la plus célèbre de l'Union européenne affecte de nombreuses entreprises du monde entier, quel que soit leur lieu de création ou la provenance de leurs utilisateurs.
L'Espace économique européen (EEE) et les pays candidats à l'UE ont également aligné leur législation nationale sur cette loi. De nombreux autres pays ont suivi ses normes, notamment le Brésil, les Émirats arabes unis, la Thaïlande et la Chine.
Le non-respect de la loi entraîne des problèmes avec les autorités de surveillance et de lourdes pénalités RGPD que vous voulez éviter. C'est pourquoi vous devez en apprendre davantage sur le RGPD, et savoir s'il s'applique à votre entreprise est un bon point de départ.
Le RGPD s'applique-t-il à votre entreprise?
Pour déterminer si vous devez vous inquiéter de la loi européenne sur la protection des données, il faut d'abord expliquer le champ d'application de la loi. Le RGPD a un champ d'application matériel et territorial.
RGPD: Champ d'application matériel
Le RGPD s'applique au traitement des données personnelles des individus. Les données personnelles sont toutes les informations qui pourraient identifier une personne physique, directement ou indirectement. Cela inclut les noms personnels, les adresses électroniques, les numéros de téléphone, les données biométriques et les identifiants en ligne tels que les adresses IP, le comportement de navigation, etc.
En outre, le RGPD ne couvre pas les données personnelles utilisées pour des activités personnelles ou domestiques, comme lorsque des amis échangent des numéros de téléphone.
En supposant que vous traitiez des données personnelles à des fins commerciales, ces données entrent dans le champ d'application du RGPD. La loi peut s'appliquer si votre entreprise entre également dans son champ d'application territorial.
RGPD: Champ d'application territorial
Le RGPD s'applique aux personnes et aux entreprises:
- D'un État membre de l'UE. Cela inclut toutes les entreprises constituées en société dans l'UE ainsi que les personnes d'un pays de l'UE.
- Qui contrôle et/ou traite les données personnelles des citoyens de l'UE. Tant que les personnes concernées se trouvent dans l'Union européenne, peu importe d'où viennent le contrôleur de données et le processeur de données. Le règlement général sur la protection des données (RGPD) s'applique aux entreprises situées en dehors de l'UE qui proposent des biens et des services (payants ou gratuits) ou à celles qui surveillent le comportement des individus dans la région. Cela inclut toutes les entreprises étrangères qui collectent et traitent les données des citoyens de l'UE. Par exemple, une entreprise américaine de médias sociaux qui collecte et traite les données personnelles de citoyens de l'UE doit se conformer au RGPD lorsqu'elle traite leurs données.
En termes simples:
- Si vous êtes une entreprise de l'UE, le RGPD s'applique à vous à tout moment, et...
- Si vous êtes une entreprise non européenne, le RGPD s'applique lorsque vous interagissez avec des résidents de l'UE.
Pour le mettre dans un contexte spécifique:
- Entreprise de l'UE + utilisateurs de l'UE = le RGPD s'applique à tout moment.
- Entreprise de l'UE + utilisateurs hors UE = le RGPD s'applique à tout moment.
- Entreprises de l'UE + utilisateurs de l'UE et de pays tiers = le RGPD s'applique à tout moment.
- Entreprises non européennes + utilisateurs de l'UE = le RGPD s'applique à tout moment.
- Entreprise non européenne + utilisateurs non européens = le RGPD ne s'applique pas.
- Entreprise non européenne + utilisateurs européens et non européens = le RGPD s'applique uniquement au traitement des données des utilisateurs européens.
Si vous apprenez mieux par des exemples, en voici quelques-uns:
- Un magasin de commerce électronique allemand vend des vêtements dans l'UE et aux États-Unis. L'Allemagne est un État membre de l'UE, le RGPD s'applique donc au traitement des données par toutes les entreprises allemandes. Par conséquent, le RGPD s'applique à tout moment.
- Un hôtel en Turquie fait de la publicité sur les médias sociaux pour les citoyens turcs et européens. Le RGPD ne s'applique pas à la collecte et au traitement des données des citoyens turcs, mais il s'applique au traitement des données des résidents de l'UE.
- Un magasin de commerce électronique du Brésil vend des produits uniquement à des clients américains et canadiens. Le RGPD ne s'applique pas car aucun d'entre eux n'est originaire de l'UE.
- Une société SAAS française vend des logiciels exclusivement aux États-Unis. Le RGPD s'applique à tout moment car il s'applique au traitement des données par les entreprises françaises. Le fait que tous les utilisateurs soient américains ne fait aucune différence.
Là encore, le RGPD s'applique si au moins une personne dans la relation de traitement des données vient d'Europe.
Le RGPD s'applique-t-il aux petites et moyennes entreprises ?
Oui, il s'applique dès lors que vous répondez aux exigences du RGPD mentionnées ci-dessus. Le RGPD ne fait pas de différence en fonction de la taille de l'entreprise. Il s'applique au traitement des données personnelles, et non au traitement des affaires.
Certaines obligations du RGPD ne s'appliquent qu'aux entreprises d'une certaine taille ou aux entreprises ayant des activités de traitement de données spécifiques, mais en général, la conformité au RGPD est une exigence pour tous.
Par exemple, les entreprises de moins de 250 employés n'ont pas besoin de tenir des registres de leurs activités de traitement, sauf si le traitement des données personnelles est une activité régulière, menace les données personnelles, menace les droits et libertés des individus, concerne des données sensibles ou concerne des casiers judiciaires.
De même, les PME ne seront tenues de désigner un délégué à la protection des données (DPD) que si le traitement constitue leur activité principale et qu'il menace spécifiquement les droits et libertés des personnes (comme la surveillance des personnes ou le traitement de données sensibles ou de casiers judiciaires) à grande échelle.
En savoir plus sur la façon de rendre votre entreprise conforme au RGPD.
Le RGPD s'applique-t-il aux entreprises britanniques ?
Le Royaume-Uni n'est pas un pays de l'UE ; par conséquent, le RGPD n'est pas applicable au Royaume-Uni. Cependant, les entreprises britanniques doivent tout de même s'y conformer lorsqu'elles traitent les données personnelles de citoyens de l'UE. Le RGPD s'applique à toute entreprise dans le monde entier lorsqu'elle collecte et traite des données concernant des citoyens de l'UE. Cela inclut les entreprises basées au Royaume-Uni.
En outre, les entreprises britanniques doivent se conformer à la loi britannique RGPD. Cette loi a été introduite pour aligner les exigences en matière de protection des données pour les entreprises du Royaume-Uni et de l'UE après le Brexit. Jetez un œil à cette checklist du RGPD britannique pour les entreprises.
Il n'y a pratiquement aucune différence entre le RGPD et le RGPD britannique ; par conséquent, si vous vous conformez au RGPD, vous êtes susceptible de respecter les lois britanniques sur la confidentialité des données.
Le RGPD s'applique-t-il aux entreprises américaines ?
Le RGPD s'applique aux entreprises américaines qui traitent les données personnelles des citoyens de l'UE. Il s'applique à vous même si vous traitez des données pour au moins un citoyen de l'UE.
Toutefois, il ne s'applique qu'à votre relation avec l'utilisateur de l'UE. Vous devez respecter leurs droits en matière de confidentialité des données, mais cela ne vous oblige pas à suivre le RGPD lorsque vous traitez des données de citoyens américains. Lorsqu'une entreprise américaine traite les données de citoyens américains ou de citoyens non européens, le RGPD ne s'applique pas à eux.
Comment se conformer au règlement général sur la protection des données de l'UE?
La mise en conformité avec le RGPD nécessite quelques efforts de la part des entreprises, mais elle est plus facile que beaucoup ne le pensent. Tout se résume à mettre en œuvre les principes de base du RGPD dans vos pratiques de confidentialité, à honorer les demandes des personnes concernées et à mettre en place des garanties de sécurité des données pour protéger les données des clients. C'est l'essentiel du travail que vous devez faire pour éviter les problèmes avec les autorités de protection des données.
