Qui est concerné par le RGPD 2018 ?

Le RGPD ou Règlement Général sur la Protection des Données est la nouvelle réglementation européenne qui va régir la manière dont les entreprises vont gérer les données personnelles qu’elles manipulent. Ce règlement a une application assez large, peut-être même que vous êtes concerné par le RGPD sans le savoir. Quelques précisions s’imposent donc : qui sont les organismes concernés par le RGPD ?

Toutes les organisations réalisant des traitements de données à caractère personnel

Toutes les organisations réalisant des traitements de données à caractère personnel de citoyens européens sont concernées par le RGPD, quelle que soit leur localisation. Pour rappel, on entend par données personnelles « toute information se rapportant à une personne physique identifiée ou identifiable. » Les exemples les plus proches : nom, adresse, adresse IP, identifiant, matricule, N° tél…

La notion de données personnelle recouvre un champ très vaste, et rares sont les organisations qui ne manipulent pas ce type de données. Ainsi, une entreprise qui manipulera les données de son personnel ou qui recueillera des informations sur ses clients sera soumise au RGPD, y compris les entreprises en BtoB (données de ‘contacts’ par exemple).

Le secteur d’activité n’a pas d’importance

Le traitement de données personnelles rassemble diverses notions : collecte de données, stockage, analyse… Et le secteur d’activité de l’entreprise ne compte pas, à partir du moment où une entreprise manipule des données à caractère personnel d’un citoyen européen, elle sera soumise au RGPD, et ce même si ce type de traitement ne constitue qu’une activité secondaire. Les sous-traitants sont également concernés au même titre.

Les petites entreprises comme les grandes

Le respect du RGPD est également obligatoire, quelle que soit la taille de l’entreprise. Il existe cependant un allègement pour les entreprises employant moins de 250 personnes. Pour ces entreprises, la tenue d’un registre des activités de traitement n’est pas obligatoire.

Mais cette exception ne s’appliquera pas :

  • Si l’entreprise en question réalise de manière systématique des traitements présentant des risques importants pour les droits et libertés des personnes concernées ;
  • Si le traitement porte sur les données décrites au paragraphe 1 de l’article 9 du RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données sur la santé, données sur la vie sexuelle ;
  • Si le traitement porte sur des informations relatives à des condamnations pénales ou à des infractions.
  • Ou si l’entreprise opère des traitements récurrents ou non occasionnels (ex : paie !)

Les entités publiques sont aussi concernées

Le RGPD ne concerne pas seulement les entreprises privées, les entités publiques comme les hôpitaux et les administrations ou collectivités sont également concernées.

Le principal critère d’application du RGPD : le ciblage des citoyens européens

SI l’on synthétise, le principal critère d’application du RGPD est en réalité le ciblage des citoyens européens. Le RGPD s’appliquera lorsqu’une entité réalisera le traitement de données d’un citoyen européen et ce qu’elle appartienne au secteur public ou privé, , quelle que soit sa taille, quelle que soit son secteur d’activité, quelle que soit son lieu d’implantation (UE ou hors UE)… Le RGPD s’appliquera à partir du moment où des données personnelles de citoyens européens seront en jeu. Cette règle vaut également pour les sous-traitants de l’entreprise.