Le RGPD est-il mondial ou européen ?

Le RGPD est la nouvelle règlementation européenne qui oblige les entreprises et les administrations à respecter de nouvelles directives en matière de traitement de données à caractère personnel. Elle sera pleinement applicable à partir du 25 mai 2018. À compter de cette date, toute entité qui manipule des informations à caractère personnel sera obligée de se conformer au RGPD. Et à la question de savoir si le RGPD est mondial ou seulement européen, les 2 réponses sont toutes 2 valables.

Le RGPD s’applique à toutes les entités situées sur le territoire européen

Le premier critère d’application du RGPD est l’établissement (lieu d’établissement du responsable du traitement ou du sous-traitant). C’est ce que nous dit l’article 3 du RGPD dans son paragraphe 1 en disant que : « Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous – traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ».

En d’autres mots, toute entité située sur le territoire européen et qui traite des données à caractère personnel est soumise au RGPD . Pour illustration, un citoyen américain commande un smartphone en utilisant le site internet d’une entreprise française. Il fournit ses informations personnelles (nom, adresse, n° de carte de crédit américaine) afin de pouvoir se faire livrer aux USA. Dans cet exemple, le RGPD est bien applicable puisque le responsable du traitement est établi au sein de l’UE.

Critère du ciblage : le RGPD prend une envergure internationale

Le deuxième critère d’application du RGPD est le critère du ciblage. Ce critère est contenu dans le paragraphe 2 de l’article 3 du RGPD :
« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) À l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou

b) Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »

Le RGPD s’appliquera toujours si les activités du responsable des traitements ont pour cible un citoyen européen et ce même si le responsable du traitement est situé en dehors de l’UE. Les activités en question peuvent consister en des offres de biens et services ou encore en la surveillance des comportements des personnes concernées (profilage).

Ainsi, un citoyen européen télécharge une application mobile américaine qui permet de mieux gérer son budget. Pour profiter pleinement de cette application, il doit fournir ses informations personnelles (âge, profession, adresse email, centre d’intérêt…). Le RGPD s’appliquera, car le responsable du traitement met en œuvre des traitements qui concernent une offre de biens (vente d’application).

Donc, c’est le critère du ciblage qui donne au RGPD un champ d’application d’envergure mondiale. Mais le problème est : comment faire en sorte que de grandes entreprises telles que les GAFA respectent ces nouvelles obligations ? Les sanctions plus sévères mises en place suffiront-elles ?