Quel est le périmètre d’application du RGPD ?
Flag of European Union: yellow stars on blue background

Quel est le périmètre d’application du RGPD ?

Aujourd’hui, l’usage d’internet est très présent dans le quotidien de beaucoup de gens à travers le monde entier, qu’il est difficile d’imaginer que l’on puisse faire sans. Que ce soit pour acquérir un bien de consommation ou simplement pour s’informer, le premier réflexe de l’Homme moderne est de recourir à cet outil. Pourtant, cette tendance comportementale n’est pas sans risque pour la vie privée des utilisateurs. C’est à ce niveau précisément qu’intervient le RGPD. Que signifie ce concept et quel est son périmètre d’application ?

Le RGPD : de quoi s’agit-il ?

RGPD est un sigle servant à désigner le Règlement Général sur la Protection des Données. À cette ère contemporaine où internet a atteint son apogée de démocratisation, la question relative au respect des données personnelles des internautes est capitale. Ainsi, le RGPD est un acte juridique qui, à l’échelle européenne, encadre les droits et obligations des acteurs du monde digital, concernant l’utilisation des informations personnelles des citoyens.

Cette ordonnance, entrée en vigueur depuis mai 2018, concerne tous les organismes et/ou entreprises, privée ou publique, à but lucratif ou non, collectant et exploitant lesdites données. Que le traitement de ces dernières soit pour leur propre compte ou pas, celles-ci sont concernées par le RGPD.

Le RGPD : quel périmètre d’application ?

Certes, le RGPD institue un cadre légal pour l’exploitation des données à caractère privé appartenant aux citoyens de la zone UE. Cependant, son périmètre d’application dépasse les limites géographiques de l’Europe.

Entités de l’Union européenne

Dès lors qu’un organisme ou une entreprise, quelle que soit sa taille, est domiciliée dans n’importe quel pays du continent, celui-ci ou celle-ci doit se conformer aux prescriptions du RGPD. Ces dernières restent également applicables, même si toutes les données personnelles manipulées ou traitées appartiennent à des usagers hors UE. Ainsi, si une firme est par exemple implantée en Allemagne mais qu’elle commercialise ses produits en Afrique, elle est dans l’obligation de respecter les textes relatifs au traitement des données.

Entités hors Union européenne

Lorsqu’une entreprise étrangère mène des activités, commerciales ou non, qui ciblent les populations européennes, il lui devient obligatoire de se conformer au RGPD. À ce propos, ce dernier précise que toute entité de cette nature doit explicitement obtenir le consentement des personnes ciblées avant de collecter et exploiter leurs données privées. Aussi est-il que tout individu le souhaitant, peut à tout instant retirer son autorisation. Il faut toutefois préciser que cette règle n’est valable que pour les entreprises B2C. En effet, l’obtention du consentement n’est pas nécessaire pour les entités B2B, dès le moment qu’elles respectent la finalité de la collecte.

Entités sous-traitantes

Une entité sous-traitante est, d’après le RGPD, toute entité qui procède à la collecte et au traitement d’informations personnelles pour le compte d’une autre, appelée ‟responsable de traitement”. Cette opération se déroule dans le cadre d’une prestation de service. Ainsi, dès lors que l’entreprise sous-traitante doit manipuler des données à caractère privé, elle doit se soumettre au règlement en vigueur, en tenant un registre pour chacun de ses clients.

Qu’est-ce que le RGPD considère comme étant « Données Personnelles » ?

D’après le RGPD, une donnée personnelle est toute information permettant d’identifier la personne qui la fournit ou dont on peut déduire un renseignement, n’importe lequel, sur celle-ci. Ces données sont de natures très variées, mais le CNIL (commission nationale de l’informatique et des libertés) considère deux modes principaux d’identification d’une personne. D’un côté, il y a l’identification directe par le nom et prénom de cette dernière et de l’autre, celle indirecte. Ici, c’est le numéro de mobile, l’adresse IP, la localisation entre autres qui sont exploités.

Des informations comme le numéro de sécurité sociale, la photo et même la voix ou la couleur des yeux peuvent aussi permettre d’identifier si elles sont croisées avec d’autres. C’est donc pour assurer la protection des personnes concernées et le respect de leur intimité que le RGPD a été adopté.