À qui s'applique le RGPD ? Comprendre la portée et l'applicabilité de la loi sur la protection des données

Alexis Dessaints
This is some text inside of a div block.
4 minutes
June 26, 2024

Table des matières

Le Règlement général sur la protection des données (RGPD) est un cadre juridique qui régit la manière dont les données personnelles des utilisateurs de la région doivent être collectées, traitées et transférées. Cela signifie que le RGPD s'applique à toutes les entreprises, quels que soient leur localisation et leur secteur d'activité, à condition qu'elles ciblent des utilisateurs de l'Union européenne (UE). En bref, le règlement a été promulgué et approuvé par le Parlement européen et le Conseil de l'Union européenne en 2018 pour tenir les entreprises responsables de la manière dont elles traitent les informations personnelles.

Il n'est pas facile de traverser la nature complexe et en constante évolution du RGPD. Si votre organisation se pose l'une de ces questions, à savoir à qui s'applique le RGPD, quels types d'actions feront entrer une entreprise dans le champ d'application du RGPD, ou si votre organisation est même soumise au RGPD, vous êtes au bon endroit. Lisez la suite pour en savoir plus sur la portée territoriale et géographique du RGPD et déterminer si votre entreprise relève de la juridiction du RGPD.

Qui est tenu de se conformer au RGPD ?

Le RGPD stipule explicitement que toute entité collectant ou traitant des données personnelles auprès de résidents de l'UE doit garantir le respect du cadre législatif. Sa portée territoriale est étendue et couvre un large éventail d'organisations, notamment des entreprises, des agences gouvernementales, des organisations à but non lucratif et même des personnes susceptibles de traiter des données personnelles dans le cadre de leur travail. Nous listons ci-dessous certaines activités spécifiques qui peuvent déclencher l'applicabilité du RGPD, indépendamment de leur emplacement physique.

Proposer des biens ou des services aux citoyens de l'UE

Grâce à Internet, la localisation géographique n'est pas un problème en ce qui concerne le RGPD. Si votre entreprise propose des biens ou des services aux citoyens de l'UE, vous êtes tenu de vous conformer à la réglementation en raison de sa portée extraterritoriale. Supposons que votre entreprise vend des vêtements et que vous soyez physiquement basée aux États-Unis. Bien que vous n'ayez pas de boutique dans l'UE, vous avez des clients qui achètent vos produits en France ou en Allemagne. Cela signifie que vous répondez aux besoins des résidents de l'UE, ce qui oblige votre entreprise à respecter les exigences du RGPD.

Surveiller le comportement des résidents de l'UE

L'utilisation d'outils Web pour suivre les cookies ou les adresses IP des visiteurs des pays de l'UE place votre organisation dans le champ d'application de la réglementation GDPR. L'interprétation et l'application de cette loi ne sont pas encore complètement déterminées, mais un exemple convaincant serait si votre entreprise créait une application adaptée aux utilisateurs de la région de l'UE. Les utilisateurs nouvellement enregistrés sont généralement tenus de fournir des informations personnelles telles que leur nom, leur adresse e-mail et des informations supplémentaires, ce qui implique votre responsabilité en matière de collecte de données. Un exemple où cette réglementation devient ambiguë est si vous avez un restaurant situé aux États-Unis. La plupart de vos clients sont probablement des habitants de la région, mais supposons que des personnes de l'UE tombent sur votre site Web alors qu'elles planifient un voyage sur place. Selon le type de données que vous suivez, vous pourriez être tenu responsable.

Rôles définis dans le cadre du RGPD

  1. Personne concernée — Il s'agit de la personne dont les données sont traitées, comme vos clients ou les visiteurs de votre site.
  2. Responsable du traitement des données : il s'agit de la personne qui décide pourquoi et comment les données personnelles sont utilisées. Seuls les responsables du traitement peuvent collecter des données personnelles auprès des personnes concernées. Ils choisissent la base légale du traitement des données personnelles, obtiennent le consentement des personnes concernées si nécessaire et mettent en œuvre des mesures pour protéger les données. Seuls les responsables du traitement des données sont autorisés à collecter des données personnelles directement auprès des personnes concernées.
  3. Processeur de données : il peut s'agir d'un fournisseur de services tiers qui utilise, stocke ou transfère des données d'une manière ou d'une autre. Bien qu'ils n'aient pas le même niveau de contrôle sur les finalités et les moyens du traitement des données que les responsables du traitement des données, ils sont tout de même tenus de respecter certaines exigences légales. Les processeurs de données doivent suivre les instructions du responsable du traitement lorsqu'ils traitent des données personnelles, en veillant à ce qu'ils fonctionnent comme indiqué. Chaque fois qu'un responsable du traitement des données intervient dans la collecte de données, il devient responsable du traitement des données et toutes les responsabilités ci-dessus s'appliquent en conséquence.

Champ d'application géographique du RGPD

La portée géographique indique si une organisation est établie au sein de l'UE. Cela inclut les entreprises qui ont une présence physique, qui mènent simplement des opérations ou qui ciblent des citoyens de l'UE.

Le RGPD s'applique-t-il en dehors de l'Europe ?

Les entreprises non européennes sont toujours soumises au RGPD si elles traitent les données personnelles des résidents de l'UE lorsqu'elles leur vendent des biens ou des services ou suivent leur comportement en ligne, quel que soit le lieu où l'entreprise est réellement basée. C'est ce que l'on appelle l'effet extraterritorial.

Cas spécifiques dans lesquels le RGPD s'applique à l'échelle internationale

Le RGPD, bien qu'enraciné dans le droit de l'UE, a une portée internationale. Comme mentionné ci-dessus, toute organisation non européenne qui propose des biens ou des services aux résidents de l'UE relève de la compétence du RGPD si elle traite des données personnelles au cours de ces transactions. Cela implique que même les entreprises en ligne doivent se conformer aux réglementations du RGPD si elles s'adressent à des clients de l'UE. Il en va de même pour les entreprises basées en dehors de l'UE qui traitent les données de clients de l'UE, comme le stockage des données des utilisateurs ou le suivi des habitudes d'utilisation. Ces actions nécessiteraient automatiquement la conformité au RGPD.

Même les entreprises opérant aux États-Unis doivent se conformer au RGPD, que ce soit en tant que responsables du traitement des données ou en tant que processeurs de données. En fin de compte, le RGPD protège tous les résidents de l'UE, même s'ils sont de nationalité européenne. Bien entendu, la protection s'applique pendant qu'ils naviguent sur Internet dans ces territoires.

Exceptions à l'applicabilité du RGPD : lorsque le règlement ne s'applique pas

Considérant 18 indique que la réglementation ne s'applique pas simplement aux « activités purement personnelles ou domestiques » mais plutôt aux organisations qui exercent spécifiquement « une activité purement professionnelle ou commerciale ». Pour les particuliers, il s'agit d'un feu vert pour collecter des adresses e-mail ou une invitation à l'agenda Google, afin d'obtenir les informations d'un ami en ligne sans avoir à crypter ses informations de contact uniquement pour se conformer au RGPD. Toutefois, si vous collectez des informations personnelles pour financer une activité parallèle, vous devriez peut-être vous familiariser avec le RGPD.

Une autre exception qui mérite d'être mentionnée concerne les entreprises dont l'effectif est inférieur ou égal à 250 personnes. Ces petites et moyennes entreprises (PME) ne sont pas totalement exemptées de la conformité au RGPD, mais elles sont exemptes de obligations en matière de tenue de registres. Ces enregistrements constituent la base de vos efforts de collecte de données et contiennent des informations concernant :

  • le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint, du représentant du responsable du traitement et du délégué à la protection des données ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données personnelles ;
  • les catégories de destinataires auxquels les données personnelles ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • le cas échéant, les transferts de données personnelles vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés au deuxième alinéa de L'article 49(1), la documentation des garanties appropriées ;
  • dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées dans L'article 32(1).

Les conséquences de la non-conformité

En 2018, la chaîne hôtelière internationale Marriott a fait face à une atteinte à sa réputation et a été frappée par un 18,4 millions de livres Amende prévue par le RGPD pour ne pas avoir sécurisé les données personnelles de leurs clients par le Bureau du commissaire à l'information (ICO). Cette sanction fait suite à une cyberattaque menée en 2014 contre Starwood Hotels and Resorts Worldwide, au cours de laquelle des pirates informatiques ont piraté environ 339 millions de dossiers de clients, dont sept millions d'enregistrements concernant des personnes au Royaume-Uni. La brèche n'a été découverte qu'en septembre 2018, alors que Marriott venait de racheter l'entreprise.

De même, le géant de la technologie Google a été condamné à une amende 57 millions de dollars par la CNIL, l'organisme français de surveillance de la protection des données pour « ne pas avoir reconnu la manière dont les données de ses utilisateurs sont traitées ». Selon la CNIL, Google n'a pas obtenu le consentement de l'utilisateur pour traiter les données à des fins de personnalisation des publicités et le consentement recueilli n'était ni spécifique ni univoque, deux termes définis par le RGPD. Il était donc difficile pour les utilisateurs de comprendre comment leurs données seraient utilisées ou traitées.

Conclusion

En résumé, l'impact du RGPD s'étend à l'échelle mondiale et touche les organisations, quelle que soit leur localisation. Ce règlement impose des normes strictes pour le traitement des données personnelles et impose des responsabilités importantes aux organisations qui traitent les données des résidents de l'UE. Le respect des principes du RGPD est essentiel pour protéger le droit à la vie privée des individus et éviter de lourdes amendes et pénalités. Que vous soyez un responsable du traitement des données déterminant les activités de traitement ou un sous-traitant traitant des informations personnelles pour le compte d'autres parties, il est essentiel de comprendre à la fois la portée territoriale et géographique de la loi sur la protection des données afin de garantir la protection des données et la conformité réglementaire.

FAQs

1. Quels types d'organisations sont couverts par le RGPD ?

En règle générale, toute entreprise opérant dans l'UE ou traitant avec des citoyens de l'UE doit disposer de données conformes au RGPD, quel que soit le secteur d'activité.

2. À qui s'applique le RGPD aux États-Unis ?

Les entreprises américaines sont soumises au RGPD si elles proposent des biens ou des services aux citoyens de l'UE, ou si elles collectent, traitent ou surveillent les données personnelles de personnes de l'UE.

3. Ma petite entreprise est-elle concernée par le RGPD ?

Les entreprises non européennes sont toujours concernées par cette loi sur la protection des données, même si elles comptent moins de 250 employés, selon qu'elles collectent, traitent ou transfèrent ou non les données des utilisateurs de l'UE. Le bon côté des choses, c'est que les petites entreprises sont exemptées des « obligations de tenue de registres » conformément à la site officiel du RGPD.

4. Comment puis-je déterminer si le RGPD s'applique à mon entreprise située hors de l'UE ?

Étant donné que le RGPD ne s'applique pas à des cas occasionnels, les régulateurs recherchent généralement d'autres indices pour déterminer si une entreprise a pour objectif de proposer des biens et des services aux citoyens de l'UE, par exemple si une PME non basée dans l'UE diffuse des publicités dans une langue de l'UE. Les entreprises non membres de l'UE doivent examiner attentivement des facteurs tels que leur marché cible, la localisation des personnes concernées et leurs activités de traitement afin de déterminer leurs obligations en vertu du RGPD.

5. Les réglementations du RGPD s'appliquent-elles différemment aux responsables du traitement des données et aux sous-traitants ?

Les contrôleurs ont la responsabilité principale de la conformité, tandis que les sous-traitants sont liés par des obligations contractuelles pour aider les contrôleurs à respecter ces obligations. Le premier est directement responsable des violations du RGPD, tandis que le second est soumis à une responsabilité indirecte pour les violations de non-conformité.

Nos solutions

RGPD et conformité

DPO et représentation externalisés

Formation et assistance

À lire également

See all

Liste de contrôle des audits de cybersécurité : étapes clés et contrôles essentiels pour la conformité

Une liste de contrôle d'audit de cybersécurité permet d'évaluer les contrôles de sécurité en matière de politiques, de systèmes, de réponse aux incidents et de formation.

Read more

Audit de conformité en matière de cybersécurité : qu'est-ce que c'est et comment le réaliser

Un audit de conformité en matière de cybersécurité évalue vos contrôles, politiques et pratiques de sécurité par rapport aux normes et réglementations.

Read more

L'IDTA britannique expliquée : comment utiliser l'accord international de transfert de données dans le cadre du RGPD britannique

L'IDTA est le contrat type du Royaume-Uni pour les transferts de données restreints en dehors du Royaume-Uni lorsqu'aucune décision d'adéquation ne s'applique.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2025 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000
White stylized letter B logo on a black circular background.
Hey there 🙌🏽 This is Grained Agency Webflow Template by BYQ studio
Read more
Minimize
Template details

Included in Grained

Grained Agency Webflow Template comes with everything you need

15+ pages

25+ sections

20+ Styles & Symbols

Figma file included

To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.

Buy template $79

Grained Comes With Even More Power

Overview of all the features included in Grained Agency Template

Premium, custom, simply great

Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.

Optimised for speed

We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.

Responsive

Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.

Reusable animations

Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.

Modular

Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.

100% customisable

On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.

CMS

Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.

Ecommerce

Grained Template comes with eCommerce set up, so you can start selling your services straight away.

Figma included

To give you 100% control over the design, together with Webflow project, you also get the Figma file.

Buy template $79