Le RGPD, ou Règlement Général sur la Protection des Données a pour objectif de responsabiliser les entreprises dans la gestion des données personnelles de leurs clients ou de leurs prospects. C’est une réglementation européenne qui s’applique sur tout le territoire des États membres de la Communauté européenne depuis le 25 mai 2018. Ce règlement couvre de nombreux domaines et il est vraisemblable qu’il s’applique à certains traitements et documents de votre entreprise sans que vous le sachiez. Quelques précisions s’imposent donc.

Le principe de coresponsabilité

Le respect des règles en matière de protection des données à caractère personnel n’incombe pas qu’aux seuls responsables du traitement. Les sous-traitants, auxquels les entreprises ont de plus en plus recours, doivent également s’y tenir. Le règlement définit le sous-traitant comme une personne ou une entité publique ou privée qui gère les données à caractère personnel pour le compte de celui qui se présente comme le responsable du traitement.
Il doit présenter des « garanties suffisantes » quant aux moyens techniques et organisationnels mis en œuvre dans le traitement des données. Si le sous-traitant décide à son tour de recruter un autre sous-traitant, il lui faudra obtenir l’autorisation écrite préalable du responsable du traitement.

En cas de manquement à ses obligations, la responsabilité du sous-traitant pourra être engagée. Le montant des amendes est très élevé. Il peut fragiliser la santé financière et la réputation d’une entreprise.

Toutes les organisations réalisant des traitements de données à caractère personnel

Toutes les organisations réalisant des traitements de données à caractère personnel de citoyens européens sont concernées par le RGPD, quelle que soit leur localisation. Pour rappel, on entend par données personnelles « toute information se rapportant à une personne physique identifiée ou identifiable. » Les exemples les plus proches : nom, adresse, adresse IP, identifiant, matricule, N° tél…

La notion de données personnelle recouvre un champ très vaste, et rares sont les organisations qui ne manipulent pas ce type de données. Ainsi, une entreprise qui manipulera les données de son personnel ou qui recueillera des informations sur ses clients sera soumise au RGPD, y compris les entreprises en BtoB (données de ‘contacts’ par exemple).

Le secteur d’activité n’a pas d’importance

Le traitement de données personnelles rassemble diverses notions : collecte de données, stockage, analyse… Et le secteur d’activité de l’entreprise ne compte pas, à partir du moment où une entreprise manipule des données à caractère personnel d’un citoyen européen, elle sera soumise au RGPD, et ce même si ce type de traitement ne constitue qu’une activité secondaire. Les sous-traitants sont également concernés au même titre.

Les petites entreprises comme les grandes

Le respect du RGPD est également obligatoire, quelle que soit la taille de l’entreprise. Il existe cependant un allègement pour les entreprises employant moins de 250 personnes. Pour ces entreprises, la tenue d’un registre des activités de traitement n’est pas obligatoire.

Mais cette exception ne s’appliquera pas :

  • Si l’entreprise en question réalise de manière systématique des traitements présentant des risques importants pour les droits et libertés des personnes concernées ;
  • Si le traitement porte sur les données décrites au paragraphe 1 de l’article 9 du RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données sur la santé, données sur la vie sexuelle ;
  • Si le traitement porte sur des informations relatives à des condamnations pénales ou à des infractions.
  • Ou si l’entreprise opère des traitements récurrents ou non occasionnels (ex : paie !)

Les entités publiques sont aussi concernées

Le Règlement Général sur la Protection des Données ne concerne pas que les entreprises privées. Les institutions publiques, de l’hôpital à la collectivité territoriale, doivent aussi s’y soumettre. Du fait du déploiement de l’e-administration, étape indispensable de la modernisation de la vie publique, les entités disposent d’un nombre croissant de données personnelles.

Dans les établissements scolaires, par exemple, le règlement exige un contrôle très strict de l’utilisation des données et garantit le respect d’un certain nombre de droits, comme celui à la suppression des données si l’élève part de l’établissement, celui à la portabilité des données ou le droit à la rectification.

Le principal critère d’application du RGPD : le ciblage des citoyens européens

Que le traitement des données personnelles ait lieu, ou non, au sein de l’Union européenne, le Règlement Général sur la Protection des Données s’applique dès lors que le responsable du traitement ou le sous-traitant est situé sur le territoire de l’UE. C’est ce que l’on appelle le critère de l’établissement.

S’y ajoute un autre critère, celui du ciblage, qui est sans doute le plus important des deux. Il tient compte cette fois-ci du lieu où se situent les personnes concernées par le traitement des données personnelles. Le règlement s’applique chaque fois qu’un résident européen est visé par un traitement de données, que le responsable du traitement ou le sous-traitant soit établi, ou non, dans l’UE. Les activités de traitement peuvent être liées :

à une offre de biens ou de services à des personnes résidant sur le territoire européen, qu’il soit gratuit ou payant.
Au suivi du comportement de ces personnes (profilage, etc.).

Par « données à caractère personnel », la nouvelle réglementation entend toutes les informations relatives à une personne physique qui est identifiée ou que l’on peut identifier immédiatement ou en menant des recherches. Les données concernent le nom, l’adresse mail, la localisation ou les numéros de téléphone, mais aussi les éléments spécifiques propres à l’identité physique, économique, culturelle ou sociale. La notion de données personnelles recouvre un champ très vaste et, à l’heure du tout numérique, rares sont les organismes qui n’en détiennent pas.
Quant au traitement de données personnelles, il rassemble des notions diverses telles que : collecte de données, stockage, analyse, etc. Aucun secteur d’activité ne peut se prévaloir d’une quelconque mansuétude et peu importe que le traitement de données soit l’activité principale ou secondaire de l’entité.