Expert du droit > RGPD > RGPD – Qui est concerné
RGPD – Qui est concerné par le règlement européen sur la protection des données ?
Le règlement européen sur la protection des données (RGPD) concerne la plupart des entreprises, mais aussi les associations et les organismes publics. Dans ce guide pratique, nous répondons à une question fréquente à propos du RGPD : Qui est concerné ? Nous allons essayer d’éclaircir toutes les zones d’ombre pour que vous puissiez trouver les réponses à vos questions.
Sommaire :
Qui est concerné par le RGPD ? L’essentiel à savoir en 1 minute
La règle est simple : le RGPD s’applique à toute entreprise qui collecte, stocke ou utilise des données personnelles sur des résidents de l’Union européenne, que l’entreprise soit située dans l’Union européen ou en dehors de l’Union européenne. Précisons que cela s’applique également aux associations et aux organismes publics.
Le lieu d’implantation de l’entreprise n’est pas pris en compte. Cela signifie que :
- Une entreprise implantée dans un pays de l’UE mais ne faisant pas de traitements sur des données personnelles de résidents européens n’est pas concernée par le RGPD.
- A l’inverse, une entreprise située en dehors de l’UE mais faisant du traitement de données personnelles sur des résidents européens est concerné.
Le RGPD ne concerne donc pas que les entreprises européennes. Les GAFAM sont pleinement visés par le RGPD : Google, Amazon, Facebook, Apple, Microsoft…En ce sens, l’application du RGPD est « extraterritoriale ».
Vous déduirez de tout ce qui précède que presque toutes les entreprises, associations, organismes publics ou administrations sont concernés par le RGPD. Et ce quelle que soit la taille. Le RGPD concerne aussi bien les TPE que les grands groupes, les PME que les ETI. Une entreprise individuelle qui fait du traitement de données personnelles sur des résidents européens est concernée. Les hôpitaux et les ministères sont concernés aussi bien que les petits commerces et les salons de coiffure.
, Zoom sur les notions de « données à caractère personnel » et de « traitement »
Le RGPD concerne les entreprises faisant du traitement de données à caractère personnel ou DCP. L’article 4 du RGPD donne une définition des « DCP » : « Toute information se rapportant à une personne physique identifiée ou identifiable ». En d’autres termes, une donnée personnelle c’est un élément permettant de reconnaître, d’identifier une personne physique. Un nom, un prénom, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, une adresse, une adresse IP, un identifiant… Tous ces éléments et tant d’autres qui appartiennent à une personne physique sont considérés comme des données à caractère personnel. Et toute entreprise qui possède de telles données (qu’elles soient relatives au personnel, à des partenaires, des prestataires, des clients, des utilisateurs…) possède de facto des données personnelles et est soumise au RGPD.
Comme on peut le constater, le règlement européen a une conception très large de la notion de « données personnelles », mais a également une conception large de la notion de « traitement ». Le traitement de données désigne toute activité consistant à collecter, stocker, modifier ou utiliser des données. Autrement dit : même si vous n’utilisez pas les données personnelles que vous collectez et stockez, vous êtes pleinement concerné par le RGPD. Dès lors que ces données sont stockées dans votre système d’information, une base de données ou un tableau Excel, vous êtes considéré comme faisant du « traitement de données à caractère personnel ».
Découvrez notre guide complet sur la mise en conformité RGPD.
Quelques précisions sur le périmètre d’application du RGPD
Voici 4 précisions importantes sur la question.
La notion de « résidents européens »
Le RGPD encadre le traitement des données personnelles rattachées aux « résidents européens » ou citoyens européens. Cela veut dire que :
- Le RGPD s’applique aux DCP rattachées à des citoyens européens vivant à l’étranger.
- Le RGPD s’applique aussi aux DCP rattachées à des personnes étrangères mais résidents dans un des pays de l’Union européenne.
Le RGPD ne concerne donc pas que les personnes ayant la nationalité de l’un des pays de l’Union européenne.
Clients, fournisseurs, salariés…
Le RGPD ne vise pas uniquement les données clients, mais toutes les données à caractère personnel stockées par votre entreprise et qui sont rattachées à des résidents européens. C’est-à-dire, en définitive, tous vos contacts : vos clients, vos utilisateurs, vos fournisseurs, vos salariés, vos prospects, vos candidats…
Le cas particulier du B2B
Si vous êtes une entreprise B2B, vos clients sont des entreprises. Il y a deux éléments de précision à apporter concernant les entreprises B2B.
Premièrement, les données relatives à l’entité « entreprise » ne sont pas des données personnelles. Par exemple : numéro de SIRET, chiffre d’affaires, effectif salarié…En revanche, les données relatives aux contacts que vous avez dans l’entreprise cliente sont des données personnelles et à ce titre relevant du RGPD. Par exemple : le nom, le prénom, la fonction, le numéro de téléphone, l’email de vos contacts B2B.
Le RGPD n’encadre que le traitement des données rattachées à des « personnes physiques ».
Il faut néanmoins ajouter, et c’est le deuxième point, que le RGPD semble moins strict concernant le traitement des données B2B, que ce soit concernant le recueil du consentement au moment de la collecte ou le stockage des données. Le texte du RGPD n’est pas clair sur ce point. Les entreprises jouent encore sur le flou juridique qui entoure le cas particulier des données B2B. Mais attention, les dernières évolutions laissent à penser que les règles concernant les données B2B vont se durcir dans les prochaines années.
Les traitements qui ne sont pas concernés par le RGPD
Les données à caractère personnel sur des individus ne résidant pas dans l’UE ou n’ayant pas la citoyenneté européenne ne sont pas concernées par le RGPD. En dehors de ce cas évident, il existe quelques exceptions :
- Les traitements réalisés dans un cadre strictement privé n’entrent pas dans le périmètre du RGPD. Exemple : Une personne qui crée un annuaire de ses contacts privés, que ce soit au format papier, Excel ou dans le téléphone. Cela vous semblera sans doute évident, mais mieux vaut le préciser !
- Les traitements réalisés dans le cadre de la protection de libertés et de droits fondamentaux.
- Les traitements réalisés dans le cadre d’activités mises en place pour la prévention d’infraction pénale.
La problématique de la sous-traitance
Prenons un exemple. Vous êtes une entreprise et vous utilisez un outil de web analytics pour mesurer les performances de votre site internet ou de votre ecommerce. Il y a donc des traitements qui sont réalisés (et automatisés) par et dans cet outil. Dans ce cas, d’un point de vue juridique, le traitement des données est externalisé à un sous-traitant qui est l’éditeur de la solution de web analytics. En tant qu’entreprise utilisatrice de cette solution :
- Il vous appartient de vérifier si le prestataire propose un outil qui respecte les règles du RGPD.
- Vous êtes co-responsable avec le sous-traitant en cas de non-conformité des traitements.
Vérifier si votre organisme est concerné
Dans leur majorité, les grandes entreprises ont pris le virage du RGPD et sont à jour. Il n’en est pas de même des petites entreprises et autres entreprises individuelles. Beaucoup d’entre elles n’ont encore pris aucunes mesures. Certaines PME n’ont toujours pas réalisé leur mue RGPD.
Vous êtes une entreprise, une association ou tout autre organisme et vous cherchez à savoir si vous êtes concerné par le RGPD ? Nous vous invitons dans ce cas à contacter l’un de nos experts en remplissant le formulaire disponible sur le site Mon Expert du Droit. Celui-ci pourra répondre à toutes vos interrogations, réaliser un audit de vos données, vous dire si vous êtes concerné et, le cas échéant, vous accompagner dans la structuration de votre projet de mise en conformité RGPD.
Rappelons que les sanctions en cas de non-conformité RGPD sont lourdes et que l’autorité de contrôle (en France, la CNIL) est bien moins tolérante qu’en 2018. L’amende peut atteindre jusqu’à 20 millions d’euros. Il ne faut donc pas jouer avec le feu. Si vous avez des doutes ou que vous n’avez pas l’expertise nécessaire, n’hésitez pas à demander conseil auprès d’un juriste expert RGPD.
Menu RGPD : Guide complet
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €