Le RGPD : qui est concerné ?

Où s'applique le RGPD ? Quels traitements de données sont concernés par le RGPD ?

Le RGPD est un texte juridique qui peut être difficile à comprendre lorsqu'on n'est pas initié au langage juridique ou aux termes utilisés. Il est d'autant plus complexe qu'il s'agit d'un seul et même texte à destination d'organisations très hétérogènes, travaillant dans des secteurs d'activités bien divers et pour des finalités très différentes.

Pourtant, une bonne compréhension de ce règlement et de ses objectifs est indispensable à une bonne interprétation de ce texte et afin de mettre en place les mesures adaptées.

Nous vous proposons dans ce deuxième article de blog d’examiner plus en détail les articles 2 et 3 du Chapitre 1 du RGPD concernant les champs d'applications matériel et territorial de ce règlement.

Si vous ne l'avez pas encore lu, retrouvez ici le premier article de cette série qui visait à vulgariser l'article 1er du Chapitre 1 du RGPD : "Objet et objectifs".

La protection des données personnelles est devenue un enjeu majeur de notre société, notamment en raison de la libre circulation de ces données due à la mondialisation (comme nous l'avons expliqué dans le précédent article de blog).

Dans cet article, approfondissons le sujet du champ d’application matériel prévue dans l’article 2 du RGPD, mais également le champ d’application territorial prévu dans l’article 3. Il est important de bien comprendre le champ d'application du RGPD, qu’il soit territorial ou matériel, afin de déterminer précisément la portée de cette protection des données personnelles ainsi que les obligations des entreprises et organisations qui vont traiter de ces données.

Les articles 2 et 3 sont complémentaires et ont pour principaux objectifs de renforcer la confiance des citoyens européens dans le traitement de leurs données personnelles ainsi que de favoriser la libre circulation des données au sein de l'Union européenne.

Le champ d’application matériel du RGPD

Avant d'entrer dans le vif du sujet, je vais expliquer en quelques mots à quoi correspond le champ d’application matériel du RGPD. Le champ d'application matériel, expliqué simplement c'est "quels traitements de données sont concernés par le RGPD ?" (et du coup lesquels ne le sont pas).

Quels traitements de données sont concernés par le RGPD ?

Un traitement de données est défini par la CNIL comme étant « une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé ». Cela englobe donc « la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission ou diffusion ou toute autre forme de mise à disposition, et le rapprochement » des données.

Bien comprendre la définition d'un traitement de données personnelle est donc une première étape essentielle pour déterminer si le RGPD s'applique ou non. Si votre organisation collecte, enregistre, conserve, etc. des données personnelles, elle effectue des traitements de données personnelles qui doivent donc être conformes au RGPD.

Le champ d’application matériel, tel que défini dans l’article 2, est large. En effet ce dernier englobe à la fois les traitements de données « automatisés en tout ou en partie » (ce qui inclut donc l'utilisation de logiciels ou d'algorithmes pour effectuer les traitements) et à la fois les traitements de données « non automatisés » ou manuels (ainsi les fichiers papiers sont également concernés par le RGPD). Ainsi, le simple fait de collecter une adresse email, de qualifier un prospect dans une base CRM etc. sont autant de traitements de données personnelles. Il y a donc de grandes chances pour que votre organisation effectue également des traitements de données personnelles !

Techniquement, le RGPD s’applique à tous les traitements de données personnelles sauf exception.

Les exceptions à l’application du RGPD

Les traitements de données personnelles non concernés par le RGPD sont les traitements de données personnelles effectués par des personnes physiques dans le cadre d'une activité exclusivement personnelle ou domestique.

Exemple : vous rédigez une liste d'invités pour l'organisation d'un évènement familiale, d'un mariage ou d'un baptême.

Globalement, tous les traitements de données personnelles réalisés dans le cadre d'une activité professionnelle doivent être conformes au RGPD.

Le champ d'application matériel : un premier élément de réponse seulement

Il est important de noter que la seule application du champ d’application matériel n’est pas une condition suffisante pour être soumis au RGPD. Ainsi, vous pouvez parfaitement traiter des données personnelles dans le cadre de votre activité professionnelle et ne pas être soumis au RGPD.

Car en effet, une deuxième condition cumulative doit apparaître : celle du champ d’application territoriale.

Le champ d’application territorial du RGPD

Le champ d’application territorial délimite l'espace géographique (ainsi que la population qui y est rattachée) concerné par le RGPD.

Le champ d'application territorial du RGPD : seulement pour les entreprises européennes ?

L’article 3 prévoit que le champ d’application territorial s'applique à toutes les organisations qui traitent des données personnelles de personnes résidants dans l'Union européenne, et ce indépendamment du lieu où le traitement de données est effectué. Ainsi, une entreprise Américaine et basée aux États-Unis est soumise au RGPD dès lors que son activité cible directement (ou indirectement) des résidents européens.

Ainsi, toute organisations externes à l’Union européenne, et souhaitant s'implanter en Europe ou vendre aux citoyens européens n'auront d'autre choix que de se conformer au RGPD si elles souhaitent y parvenir.

Le RGPD est un règlement européen certes, mais il ne s'applique pas uniquement aux entreprises européennes ou aux entreprises implantées sur le territoire de l'Union Européenne : il s'applique à toutes les organisation qui traitent des données personnelles de citoyens européens, et ce où qu'ils soient basés dans le monde. Lorsque l'activité d'une organisation nécessite le traitement des données personnelles de résidents européens, alors il est nécessaire de se conformer au RGPD.

Le RGPD : une obligation pour les sous-traitants également

L’une des particularités du RGPD est que ce règlement s'applique également aux sous-traitants et non pas uniquement aux responsables de traitements (responsable des traitements de données personnelles). Car en effet, certaines entreprises peuvent sous-traiter certains traitements de données (sous-traiter la collecte, l'analyse, le croisement, le stockage des données, etc.).

Ainsi, que vous soyez directement responsable des traitements de données ou que vous soyez un sous-traitant (c'est-à-dire que vous réalisez des traitements de données pour le compte d'un tiers) vous êtes tenus de respecter le RGPD.

Le RGPD et la protection des données personnelles : une préoccupation européenne seulement ?

Beaucoup estiment encore que le RGPD ne concerne que l’Union européenne, et pourtant il est devenu presque impossible d’échapper à cette législation notamment en raison de la mondialisation des échanges et des activités mais également en raison de l’avancée technologique.

En effet, un site internet d'une entreprise américaine peut parfaitement être visité depuis la France : ainsi le citoyens français (et donc européen) est potentiellement concerné par un dépôt de cookies, par un recueil d'information personnelles, etc.

En termes de loi de protection des données personnelles, le RGPD est le règlement le plus stricte au monde. S'il existe d'autres lois de protection des données personnelles dans le monde le RGPD demeure le règlement le plus protecteur.

Compte tenu de cet élément, les transferts de données entre l'Union Européenne et un pays non-membre de l'U.E. sont très strictement encadrés afin de protéger les données personnelles des citoyens européens, même lorsque celles-ci sortent du territoire de l'U.E.

Mais nous verrons cela plus en détail dans un prochain article !

Ainsi, de nombreux pays non-membres de l’Union européenne réfléchissent à la création d'une législation de protection des données personnelles au niveau de sécurité au moins équivalent ou similaire à celui apporté par RGPD, afin de pouvoir continuer de commercer avec les pays de l'Union Européenne.

Articles complémentaires :

• Le RGPD : objet et objectifs

• Le RGPD et les principes relatifs au traitement de données à caractère personnel

• Licéité des traitements de données à caractère personnel : les différentes bases légales

• Registre des traitements de données : que dit la CNIL ?

• RGPD : Les conditions applicables au consentement et ses exceptions

• Conformité au RGPD et catégories de données à caractère personnel

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur notre prestation de DPO externalisé en temps partagé !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Découvrez-en plus sur nos prestations de services en conformité réglementaire au RGPD !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !