Le RGPD, pour Règlement Général sur la Protection des Données, encadre le traitement des données personnelles dans l’Union Européenne. Découvrez à qui s’applique le RGPD, comment il vous concerne et comment transformer cette obligation légale en outil pour la pérennité de votre activité.
Ce qu’il faut retenir
- Le RGPD s’applique à toute organisation publique ou privée traitant des données de résidents européens, quelle que soit sa taille.
- L’application du RGPD est extraterritoriale : elle concerne aussi les structures hors UE ciblant le marché européen.
- Le cadre légal combine le règlement européen 2016/679 et le droit local de l’état membre (Loi Informatique et Libertés en France).
- La non-conformité expose à des sanctions financières lourdes et à une perte de réputation.
Le cabinet de conseil RGPD Lexagone vous permet d’être en conformité RGPD et donc de garantir la sécurité de votre activité et la confiance de vos clients.
Comprendre ce qu’est le RGPD et son cadre légal
Adopté par le Parlement européen, le RGPD encadre le traitement des données à caractère personnel
Le RGPD est le socle juridique européen qui encadre et harmonise la manière dont les organisations collectent, utilisent et stockent les informations relatives aux individus. Il a pour objectif de redonner le contrôle aux citoyens tout en responsabilisant les organismes via des règles de traitement strictes.
Un cadre juridique à deux piliers
Pour une entreprise opérant en France, la mise en conformité repose sur la lecture combinée de deux textes fondamentaux :
- Le Règlement (UE) 2016/679: adopté par le Parlement européen, c’est le texte de référence qui impose des règles uniformes à l’ensemble des pays membres de l’Union européenne depuis le 25 mai 2018.
- La Loi n°78-17 du 6 janvier 1978 (Loi Informatique et Libertés) : elle a été profondément modifiée pour s’adapter au règlement européen tout en conservant certaines spécificités françaises (notamment sur les données de santé ou les données pénales).
À qui s’applique le RGPD ? Les critères d’assujettissement
Le RGPD s’applique à toute organisation du secteur privé ou public qui traite les données personnelles de résidents de l’UE
Le RGPD s’applique si votre structure est établie dans l’UE ou si vous ciblez des résidents européens (vente, services, suivi). Son application est extraterritoriale : même sans siège en UE, collecter les données de citoyens de l’Union vous soumet aux obligations du règlement.
Le critère d’établissement
C’est le critère le plus simple : dès lors qu’un organisme possède un établissement sur le territoire de l’Union européenne, le RGPD s’applique.
Il est important de noter que le règlement s’applique dès lors que le traitement de données est effectué dans le cadre des activités de cet établissement, quel que soit l’endroit où le traitement est techniquement réalisé (par exemple, si vos serveurs sont aux États-Unis mais que votre siège social est à Lyon).
Le critère de ciblage
Le règlement s’applique également à des organismes établis en dehors de l’Union européenne s’ils traitent des données à caractère personnel relatives à des personnes qui se trouvent sur le territoire de l’UE, dès lors que :
- Ils offrent des biens ou des services à ces personnes (même gratuits).
- Ils suivent leur comportement au sein de l’Union Européenne (par exemple, via l’utilisation de cookies de profilage ou d’outils de tracking publicitaire sur un site web).
Le RGPD concerne donc tous types d’organisations, sans distinction de statut juridique : entreprises, organismes publics, associations, syndicats, mais aussi leurs sous-traitants (hébergeurs, agences marketing, éditeur de logiciels SaaS, etc.).
Si vous avez un doute sur votre périmètre d’exposition, la réalisation d’un audit RGPD est l’étape indispensable pour identifier vos zones de risque et structurer votre mise en conformité.
Quand le RGPD ne s’applique-t-il pas ?
Le RGPD ne concerne pas le traitement de données dans le cadre d’un activité strictement personnelle ou domestique, les missions régaliennes de sécurité d’État ou de justice pénale, ni les données de personnes décédées (sauf exceptions prévues par la Loi Informatique et Libertés).
Principales exclusions
- L’usage strictement personnel ou domestique: le règlement ne s’applique pas si vous collectez des données pour une activité exclusivement privée (carnet d’adresse personnel, liste d’invités pour un mariage, etc.).
- Les activités régaliennes: la sécurité nationale, la défense et la prévention des infractions pénales sortent du champ du RGPD.
- Les personnes décédées: par principe, le RGPD protège les personnes physiques vivantes. Cependant, en France, la Loi Informatique et Libertés permet aux individus de définir des directives sur le sort de leurs données post mortem (par exemple, droit d’accès aux données du défunt par les héritiers).
Comment engager la mise en conformité de votre entreprise ?
Le responsable de traitement détermine les finalités et les moyens d’un traitement de données personnelles
La mise en conformité nécessite de cartographier vos données, de sécuriser vos processus et de documenter votre responsabilité (conformément au principe d’accountability). C’est un projet transversal qui transforme vos obligations légales en un socle de confiance pour vos clients, salariés, patients, résidents et partenaires.
Réussir sa mise en conformité exige une approche rigoureuse :
- Cartographier les traitements
- Minimiser la collecte des données
- Garantir la transparence
- Sécuriser les actifs numériques
- Organiser l’exercice des droits
La conformité n’est pas une destination, mais un processus continu. Pour savoir précisément à qui s’applique le RGPD au sein de votre écosystème et sécuriser votre activité, l’accompagnement d’experts est souvent indispensable (audit RGPD, délégation de la conformité à un DPO externalisé, sécurisation de projets innovants avec une AIPD).
PARLER À UN EXPERTQuestions fréquentes
Quelles sont les sanctions encourues en cas de non-conformité?
Les sanctions administratives peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. À cela s’ajoutent les mises en demeure de la CNIL qui peuvent être rendues publiques et nuirent à l’image de marque.
Une entreprise basée hors de l’UE doit-elle nommer un représentant ?
Oui. Si elle n’a pas d’établissement dans l’UE mais qu’elle traite des données de résidents européens de manière régulière, elle doit désigner un représentant légal sur le territoire européen (article 27 du RGPD).
Les données B2B sont-elles soumises au RGPD ?
Les données relatives à l’entreprise, comme le numéro de SIRET par exemple, ne sont pas soumises au RGPD. Par contre, les données des contacts dans l’entreprise le sont. Une adresse email nominative professionnelle (de type prenom.nom@entreprise.fr par exemple) est donc une donnée personnelle au même titre qu’une adresse privée.
Le RGPD s’applique-t-il aux petites entreprises (TPE/PME) ?
Oui, le RGPD s’applique à toutes les entreprises, sans exception de taille. Bien que l’article 30 prévoie une dérogation à la tenue du registre pour les structures de moins de 250 salariés, celles-ci est en pratique très limitée. Dès lors que vos traitements de données ont un caractère régulier (gestion de la paie, fichiers clients, etc.), la tenue d’un registre devient obligatoire. Pour ces structures, le recours à une analyse d’impact (AIPD) ou la désignation d’un DPO reste néanmoins réservé aux activités présentant un risque élevé ou un suivi à grande échelle.
