Le RGPD est connu pour punir les violations de la confidentialité des données avec des amendes élevées, certaines pénalités étant de l'ordre de centaines de millions d'euros.

Pour éviter les violations et les amendes, il est essentiel de comprendre si votre entreprise entre dans le champ d'application du RGPD.

À qui s'applique le RGPD ?

Bien qu'il s'agisse d'une législation de l'UE, le RGPD s'applique à toute organisation qui collecte et traite des données personnelles de résidents de l'UE.

Plus spécifiquement, le RGPD s'applique :

  • Aux organisations basées dans l'UE : Les organisations basées dans l'UE ou ayant une succursale ou filiale dans l'UE doivent se conformer, peu importe où les données sont stockées ou utilisées.
  • Aux organisations basées hors de l'UE qui offrent des biens/services à des individus dans l'UE : Dans ce cas, peu importe si l'organisation est basée hors de l'UE ou si les biens et services sont offerts gratuitement. Ce qui compte, c'est si l'organisation s'adresse aux clients de l'UE. Par exemple, si une entreprise américaine fournit des services de tutorat à un public cible résidant en France, alors l'entreprise américaine est censée se conformer.
  • Aux organisations basées hors de l'UE qui surveillent le comportement en ligne des individus dans l'UE : Dans ce cas, peu importe si l'organisation est basée hors de l'UE. Si elle suit les cookies ou les adresses IP des personnes visitant leur site web depuis des pays de l'UE, elle doit se conformer au RGPD.

Le RGPD s'applique-t-il aux entreprises américaines ?

Les entreprises qui ne sont pas physiquement situées dans l'UE peuvent toujours entrer dans le champ d'application du RGPD. Cela signifie que les entreprises du monde entier peuvent être tenues de se conformer aux exigences du RGPD — y compris les entreprises américaines.

Exemple

Étant donné que la portée du RGPD est pertinente pour les données personnelles des résidents de l'UE, cette législation peut avoir un impact sur les entreprises du monde entier. Cependant, de nombreuses entreprises sous-estiment sa portée.

Examinons un exemple d'une entreprise qui doit se conformer au RGPD ci-dessous. Cela est basé sur un exemple publié par la Commission Européenne.

Un prestataire de services est basé aux États-Unis. Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. Il cible spécifiquement ses services aux individus de l'UE mais les fournit également à des clients en dehors de l'UE. Le RGPD s'applique-t-il à cette entreprise ?

Oui, car il cible spécifiquement ses services aux individus de l'UE. S'il ne les ciblait pas spécifiquement, il ne serait pas soumis aux règles du RGPD.

Le RGPD s'applique-t-il aux citoyens ou résidents américains ?

Le RGPD ne s'applique pas aux citoyens ou résidents des États-Unis, mais il a inspiré des lois similaires sur la confidentialité des données aux États-Unis, notamment la California Consumer Privacy Act (CCPA).

Comme le RGPD le fait pour les résidents de l'UE, la CCPA donne aux résidents de Californie une plus grande visibilité et un meilleur contrôle sur la façon dont les entreprises collectent et utilisent leurs informations personnelles.

FAQ

Qui est éligible au RGPD ?

Le RGPD s'applique aux entreprises qui traitent des données personnelles dans le cadre des activités de l'une de ses succursales établies dans l'UE, ainsi qu'aux entreprises établies en dehors de l'UE qui offrent des biens/services gratuits ou payants ou surveillent le comportement des individus dans l'UE.

À qui le RGPD ne s'applique-t-il pas ?

Le RGPD ne s'applique pas aux personnes concernées si elles sont décédées ou une personne morale et ne s'applique pas aux personnes qui traitent des données à des fins autres que leur commerce, leur entreprise ou leur profession.

Qui est protégé par le RGPD ?

Les résidents de l'UE sont protégés par le RGPD.