Le RGPD ou Règlement Général pour la Protection des Données, adopté en 2016 et entré en vigueur le 25 mai 2018, est le règlement européen qui encadre la collecte et le traitement des données personnelles.

Qui est concerné par le RGPD ? Vous êtes dirigeant d’entreprise, de TPE ou de PME, consultant ou juriste d’entreprise, et vous vous demandez si le RGPD concerne votre structure ? Nous vous éclairons sur les différents critères d’application du RGPD, en fonction des types d’entreprises visées, de l’activité de l’entreprise mais aussi les subtilités de “niveau d’exposition” au RGPD. Comprendre ce qui vous concerne précisément est la première étape pour vous mettre en conformité avec le RGPD.

Qui est concerné ? Les entreprises visées par le RGPD

Le RGPD précise son champ d’application et donc les entreprises qui sont concernées par le règlement. Le premier critère d’application est celui de la nature de l’entreprise, indépendamment de l’activité de celle-ci. Vous allez le voir, ce critère est extrêmement large, et de nombreuses entreprises européennes sont donc susceptibles de recevoir des sanctions en raison du RGPD.

Les organisations européennes
Le premier type d’entreprises concernées par le RGPD comprend les entreprises européennes, c’est-à-dire celles qui sont établies sur le territoire. Le critère d’établissement ne revient pas exactement à parler de l’adresse du siège social. Sans trop entrer dans le détail des subtilités juridiques, il s’agit de l’existence d’un établissement stable et permanent.

Les organisations qui ciblent des résidents européens
Encore plus large, le deuxième critère pouvant faire entrer une organisation dans le spectre du RGPD est le fait de cibler des résidents européens. Autrement dit, dès que vos clients ou utilisateurs sont européens, vous êtes dans le champ d’application du RGPD. D’où la décision d’un certain nombre d’acteurs numériques américains qui ont décidé en 2018 de fermer leur activité en Europe pour éviter de se plier au RGPD, par exemple.

Vous le voyez, le RGPD ne concerne par un type d’entreprise particulier, ni une taille de structure, ni un secteur d’activité défini. Notamment, il est important de préciser qu’il n’est pas nécessaire d’avoir le statut d’entreprise commercial pour être concerné par le RGPD. Ainsi, le RGPD concerne les associations, les entreprises publiques, etc.

Qui est concerné ? Le critère du traitement des données

Le deuxième grand critère est celui du traitement des données par l’entreprise ou organisation visée par le RGPD. Sans revenir sur une définition du traitement des données au sens du RGPD, précisons que cette activité de traitement renvoie par exemple à la collecte, au stockage ou encore à l’utilisation des données, par exemple pour construire des segments marketing.

De même, la notion de données personnelles est précisément définie par le RGPD. Il peut s’agir de données sur vos salariés, ou encore d’informations sur vos utilisateurs qui peuvent permettre, y compris en les associant entre eux, d’identifier une personne. Par exemple, on retrouve dans cette catégorie les pseudos, une adresse email, un numéro de téléphone, des informations sur les habitudes de consommation, particularités physiques…

Vous le voyez, le RGPD déploie un champ d’application extrêmement large. Premièrement, toutes les tailles d’entreprises sont concernées. Ainsi, une PME doit être en conformité avec le RGPD. Il n’y a pas non plus de limitation dans le secteur d’activité de l’entreprise. Enfin, vous remarquez que la notion de traitement des données est extrêmement large et renvoie à des réalités très diverses.

Il faut enfin préciser que cette notion de traitement ne concerne pas seulement une utilisation des données en interne. Ainsi, si vous effectuez une opération de traitement des données pour le compte d’un tiers, vous entrez dans le champ du RGPD. C’est le cas des sous-traitants visés par le RGPD et sur lesquels pèsent des obligations particulières. Réciproquement, l’entreprise donneuse d’ordres doit également suivre certaines bonnes pratiques lorsqu’elle recourt aux services d’un sous-traitant.

Les différents niveaux d’exposition au RGPD

Si un très grand nombre d’entreprises européennes et mondiales sont concernées par le RGPD, toutes n’ont pas le même “niveau d’exposition” au règlement. En pratique, certaines activités ou cas exigent une attention particulière.

De rares exceptions

D’abord, certaines rares activités sont exclues du champ d’application du RGPD. C’est le cas :
● des activités privées (les personnes physiques agissant dans le cadre de leur vie privée n’ont pas à être en conformité avec le RGPD) ;
● des activités visant à protéger les droits fondamentaux ;
● de certaines activités mises en place pour prévenir des infractions pénales.

Un DPO, pour qui ?

Outre ces cas très spécifiques, d’autres cas sont à mettre en lumière. D’une part, certaines entreprises doivent nommer un DPO, responsable RGPD au sein de l’entreprise. C’est le cas si elles sont des personnes publiques, si elles traitent des données sensibles au sens du RGPD ou bien si elles opèrent un traitement des données à grande échelle.

Le traitement des données sensibles

Le RGPD définit les données sensibles comme celles concernant par exemple l’état de santé, les origines ethniques, les préférences sexuelles, ou encore l’appartenance religieuse, syndicale, des utilisateurs. En cas de traitement de ce type de données, les entreprises doivent mettre en place des niveaux de sécurité supplémentaires, et conduire une “analyse d’impact” sur le traitement des données et leur protection.

Le registre des activités de traitement

Les entreprises concernées par le RGPD doivent, en principe, tenir un registre des activités de traitement précisant plusieurs éléments sur les données : qui y a accès, comment elles sont utilisées, comment elles sont protégées, etc.

Les entreprises de moins de 250 salariés sont exonérés de la tenue d’un tel registre d’activité.

Vous l’avez compris, le RGPD concerne de très nombreuses organisations et entreprises. Heureusement, la CNIL, gendarme du RGPD, peut vous accompagner et vous informer dans vos efforts de mise en conformité. Enfin, gardez à l’esprit que des outils de sécurisation des données comme Seald peuvent vous aider à protéger les données personnelles traitées par votre entreprise !

Better Seald than sorry.

Testez Seald avec votre équipe !