Qui est concerné par le RGPD ?
L’entrée en vigueur du RGPD apportera des changements significatifs au cadre juridique qui régit actuellement la protection des données personnelles des résidents de l’Union européenne. L’un de ces changements est l’extension du champ d’application territorial. Alors que la directive européenne existante porte sur le lieu de traitement des données personnelles, avec le RGPD, c’est le lieu de résidence des individus dont les données sont traitées qui fait foi.
Concrètement, cela signifie que les entreprises établies en dehors de l’Union européenne devront se conformer au RGPD si elles traitent des données personnelles en lien avec l’offre de biens ou de services à des résidents de l’UE ou le suivi du comportement de résidents de l’UE, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. Par exemple, un commerçant établi aux États-Unis vendant des biens ou des services à des clients dans l’UE et traitant leurs données aux États-Unis sera tenu d’appliquer les dispositions du RGPD.
Cette extension du champ d’application est un aspect essentiel du RGPD. Il a pour but d’harmoniser la législation que doivent appliquer les entreprises qui traitent des données personnelles de résidents de l’UE, qu’elles soient établies dans ou en dehors de l’Union.
Si votre entreprise est basée en Europe et fait appel à des fournisseurs de services qui traitent des données personnelles en dehors de l’UE, vous devez vous assurer que ces fournisseurs ont pris les mesures nécessaires pour se conformer au RGPD d’ici mai 2018. Pour savoir comment vous préparer à l’entrée en vigueur du RGPD en coordination avec vos fournisseurs, consultez notre article dédié à la mise en conformité de vos fournisseurs.
Même si le RGPD étend le cadre qui régit la protection des données personnelles en dehors de l’UE, il ne porte pas sur les moyens utilisés pour transférer légalement des données personnelles à l’étranger. Les transferts de données personnelles hors de l’UE s’effectuent selon des mécanismes conçus pour offrir un niveau de protection adéquat à ces données dans leur pays de destination. Un certain nombre de mécanismes juridiques s’appliquent déjà à ces types de transfert, notamment les décisions d’adéquation de l’UE, les clauses contractuelles types et le Privacy Shield, qui protège les données personnelles transitant de l’UE vers les États-Unis. Le RGPD prévoit le développement de nouveaux mécanismes de ce type. Des informations détaillées sur les accords d’adéquation existants et des exemples de clauses contractuelles types sont disponibles sur le site de la Commission européenne.
En bref, le RGPD a pour but de garantir la protection des données personnelles des résidents de l’UE. Des informations supplémentaires sur le RGPD sont disponibles auprès de votre autorité de contrôle chargée de la protection des données et des associations dédiées à la protection des données, telles que l’Association internationale des professionnels de la protection de la vie privée (IAPP).