Les critères d’application du RGPD

À quelques mois de la mise en application du Règlement Général sur la Protection des Données (RGPD), certaines organisations se posent encore la question de savoir si elles sont oui ou non soumises à ce nouveau règlement. Cela peut sembler bête, mais il ne faut pas l’oublier, le RGPD est règlement relativement complexe. Pour répondre à la précédente interrogation, il faut dire que tout le monde est presque concerné par le RGPD. On s’en rendra vite compte après une petite analyse des critères d’application de ce nouveau règlement.

La mise en œuvre de traitements de données à caractère personnel

Le règlement européen sur la protection des données aura tout d’abord vocation à s’appliquer dès qu’un traitement de données à caractère personnel (habitudes de consommation, informations relatives à la santé, données de localisation…) est en cause. Et ce, que le traitement soit automatisé ou non. Pour rappel, on entend par traitement de données personnelles « toute opération ou ensemble d’opérations effectuées avec l’aide d’un procédé automatisé, ou non, s’appliquant à des données ou un ensemble de données à caractère personnel. »

Déjà à partir de ces quelques notions, il est difficile d’imaginer quel type d’entreprise ne serait pas soumis au RGPD. Et pour cause, le simple fait de manipuler les données à caractère personnel des salariés soumet l’entreprise au RGPD. Malgré tout, certains traitements font figure d’exceptions : les traitements effectués dans le cadre d’une activité personnelle ou domestique, les traitements réalisés par les autorités judiciaires pour prévenir des infractions ou pour identifier le suspect d’un délit ou d’un crime, et enfin, les traitements réalisés dans le cadre d’une activité n’entrant pas dans le champ d’application du droit européen (sécurité nationale).

Application au responsable du traitement et au sous-traitant

Le RGPD impose diverses obligations aux organismes ayant la qualité de responsable de traitement. Le responsable de traitement est toute personne (physique ou morale, publique ou privée) qui détermine les objectifs et les moyens du traitement.

Après, contrairement aux anciennes lois portant sur la protection des données, le RGPD impose également des obligations aux personnes ayant la qualité de sous-traitant. C’est-à-dire aux personnes effectuant un traitement pour le compte d’un responsable de traitement.

Enfin, le lien géographique avec l’Union européenne

Le RPGD s’appliquera également à partir du moment où un lien entre le territoire de l’UE et le traitement sera mis en évidence. Pratiquement, le RGPD s’applique aux organismes qui sont localisés dans le territoire de l’UE et qui réalisent des traitements de données de données personnelles (responsable de traitement ou sous-traitant). Peu importe si le traitement est réalisé sur le territoire de l’UE ou non.

Le RGPD s’appliquera également si les données traitées appartiennent à des citoyens européens même si le responsable de traitement ou le sous-traitant ne sont pas établis dans l’UE. Bref, si l’on prend en considération les critères précédents, il n’est pas faux de dire que le RGPD s’applique à la majorité des entreprises. Si vous venez de prendre conscience que votre entreprise est soumise au RGPD, pas de panique, même si le nouveau règlement s’appliquera le 25 mai 2018, il n’est pas encore trop tard pour commencer l’opération de mise en conformité.