À qui s’applique le RGPD ?

En 2016, le règlement général sur la protection des données (RGPD) a été adopté par l’Union européenne (UE). Son objectif est d’harmoniser les pratiques des entreprises au sein de l’UE. Il est devenu obligatoire dans tous les États membres depuis le 25 mai 2018. Privacy Praxis vous présente les acteurs concernés par le RGPD.

Qui est concerné par le RGPD ?

Le RGPD entre en application dès lorsqu’un organisme traite ou procède à la collecte de données personnelles, que celles-ci assurent une identification directe ou indirecte. Dans le premier cas, l’organisme en question détient des informations (nom ou prénoms par exemple) qui permettent d’identifier directement une personne. L’identification indirecte intervient lorsque l’organisme détient des informations comme une adresse, un numéro de téléphone et autres éléments qui renvoient à l’identité d’une personne.

Dans l’absolu, toute activité qui cible un citoyen européen est soumise au RGPD. Celui-ci s’applique aux structures qui effectuent un traitement de données personnelles qui sont soit établies sur le territoire européen. Même les organismes domiciliés en dehors du Vieux Continent qui livrent des produits ou services à des clients français sont également concernés.

Les entreprises

Pour éviter les sanctions RGPD, les entreprises indépendamment de leur taille et de leurs chiffres d’affaires doivent respecter le RGPD lorsqu’elles stockent, traitent ou analysent des données à caractère personnel de clients européens. Que les interlocuteurs soient des entreprises, des organismes publics, en B2B ou même en B2C, le RGPD s’applique de même.

Les entreprises de moins de 250 personnes bénéficient toutefois d’un allègement prévu dans l’article 30 du texte de loi. Pour celles-ci, la tenue d’un registre de traitement de données n’est pas obligatoire. L’article comporte néanmoins des restrictions. Ces entreprises devront en effet se conformer au RGPD si le traitement qu’elles effectuent répond à l’une des conditions suivantes :

• susceptible de renferme un risque pour les droits des personnes concernées,
• porte sur les catégories particulières de données ciblées dans l’article 9, paragraphe 1 (origine raciale et ethnique, santé, convictions politiques ou religieuses),
• n’est pas occasionnel,
• cible des données à caractère personnelles liées à des condamnations pénales et autres infractions visées à l’article 10.

Il est de ce fait préférable de vous rapprocher en tant qu’entreprise d’un conseiller en protection des données personnelles qui saura déterminer si vous bénéficiez de tels allègements. Ce sera également l’occasion de réaliser un audit RGPD pour votre entreprise.

Les sous-traitants et les associations

Les entreprises qui se chargent du traitement de données personnelles pour d’autres organismes en tant que sous-traitant sont également concernés par le RGPD. À ce propos, le règlement européen définit le sous-traitant comme « la personne physique ou morale, l’autorité publique ou tout organisme qui traite ou collecte des données personnelles pour un responsable de traitement dans le cadre d’une prestation ou d’un service ». Celui-ci peut être une personne physique ou morale, une autorité publique ou un organisme.

Tous les sous-traitants des entreprises établies au sein de l’Union européenne sont concernés par le RGPD. Il en est de même s’ils ne sont pas situés sur le territoire. Le RGPD a en effet prévu un principe de coresponsabilité entre les entreprises et leurs sous-traitants en ce qui concerne les données personnelles. Les associations à l’instar des entreprises sont également concernées par le RGPD lorsqu’elles collectent, stockent ou traitent les données à caractère personnel de clients européens.

Quand est-ce que le RGPD ne s’applique pas ?

Bien que le RGPD s’applique dans la plupart des cas, certaines exceptions sont à noter. Il s’agit entre autres des activités mises en place dans le cadre de la prévention d’infractions pénales ainsi que celles qui protègent les libertés et droits fondamentaux. Les entreprises dans lesquelles le traitement de données ne fait pas partie des activités de base et n’engendre pas de risque pour les personnes ne sont pas soumises à certaines des obligations du RGPD. De même, une entreprise établie en dehors de l’UE qui ne fournit pas spécifiquement des services à des clients européens n’est pas soumise aux règles du RGPD.

Quelles sont les données à protéger ?

Les données sensibles du RGPD font référence aux données personnelles dont le traitement nécessite des mesures de sécurité supplémentaires. Il s’agit entre autres des données qui relèvent de l’orientation sexuelle des individus, de l’origine raciale ou ethnique, des convictions religieuses, des opinions politiques. Les informations relatives à l’appartenance à des syndicats aux données génétiques et biométriques servant à l’identification des personnes sont également concernées. Pour en savoir plus sur les données sensibles RGPD, il est possible de consulter certains articles de Privacy Praxis, société européenne de conseil en protection des données personnelles et en sécurité de l’information.

Comment se mettre en conformité avec le RGPD ?

Les entreprises et autres organismes concernés par le RGPD peuvent mener certaines actions pour se conformer à cette réglementation. Elles doivent tout d’abord commencer par collecter uniquement les données pertinentes. Il s’agit des informations indispensables à l’atteinte de leurs objectifs. Il est important qu’elles s’assurent de disposer du droit de copier les données des clients.

De même, les entreprises peuvent recenser les données via la création d’un registre. Elles peuvent en profiter pour effectuer un tri. La transparence doit également être de mise envers les personnes dont les informations sont collectées. Il est essentiel que les organismes concernés maîtrisent parfaitement l’utilisation des données collectées. Celles-ci doivent être encadrées et faire l’objet d’un suivi rigoureux.

Une attention particulière doit aussi être accordée à la sécurisation des données pour assurer leur protection. Cela passe notamment par une identification et une bonne gestion des risques. Cela offre la possibilité de prendre les mesures de sécurité adéquates.

Il faut savoir que les organismes qui traitent des données personnelles doivent tenir un registre de leurs activités. Celui-ci doit comporter entre autres les catégories de données traitées, les parties prenantes, le temps de conservation des données, le modèle de sécurité et leur destination.