Le RGPD s’applique dès lors qu’un traitement de données personnelles est effectué.
Pour qui le RGPD ne s'applique-t-il pas?
Le RGPD ne s’applique pas dans toutes les situations. Puisqu’il s’agit d’un règlement européen, il ne concerne que les activités règlementées par le droit de l’Union européenne. Les États membres dont les activités touchent aux politiques d’asile et d’immigration ne sont pas non plus soumis au RGPD. C’est également le cas pour les personnes physiques aux activités strictement personnelles ou domestiques.
Le règlement ne s’applique pas non plus pour les autorités qui préviennent, enquêtent et détectent les infractions pénales. Il en est de même pour celles qui poursuivent leurs auteurs et exécutent les sanctions applicables. Les autorités qui protègent la sécurité publique (préfet, forces de police, gendarmerie) ne sont pas non plus soumises au RGPD.
Le RGPD s’applique-t-il pour les organismes privés et publics ?
Le règlement s’applique pour les organismes privés. Cela vaut à la fois pour les entreprises qui traitent des données personnelles pour leurs propres comptes, mais également pour les associations. Cette obligation vaudra pour toutes les entreprises, peu importe leur taille ou leur chiffre d'affaires.
Il faut cependant distinguer le cas des entreprises ou associations de moins de 250 personnes, qui bénéficient d’un régime allégé. L’article 30 du RGPD prévoit que ces dernières ne sont pas obligées de tenir un registre des activités de traitement. Elles doivent toutefois appliquer le RGPD quand elles traitent de données sensibles ou quand il existe un risque pour les droits et libertés de la personne.
Le RGPD s’applique également pour les organismes publics, tels que les collectivités ou les autorités publiques locales. Ces organismes traitent de données nécessaires à la gestion des agents publics et à la mise en œuvre des missions de service public. Ce traitement doit donc être loyal et licite, avec une finalité connue et limitée. Il est conseillé de minimiser le nombre de données collectées et de les conserver en toute sécurité. La désignation d’un délégué à la protection des données (DPO) leur est également obligatoire.
Les sous-traitants doivent-ils également respecter la règlementation ?
Les entreprises qui traitent de données personnelles pour le compte d’autres entités, c’est-à-dire les sous-traitants, sont soumises au RGPD. Le sous-traitant devra aider le responsable de traitement à respecter les obligations du RGPD, et devra l’informer en cas de violation des données traitées.
Le règlement a renforcé les obligations pour les sous-traitants. Ces derniers doivent notamment tenir un registre des opérations effectuées pour le compte du responsable de traitement. Ils doivent en outre recueillir l’autorisation écrite préalable du responsable du traitement s’ils veulent transférer les données à un sous-traitant de niveau deux.
Une organisation établie dans un pays tiers de l’Union européenne doit-elle respecter le RGPD ?
Le règlement est appliqué dès qu’un organisme est établi sur le territoire de l’Union européenne. La localisation du siège sera définie pour les entreprises comme le lieu de prise des décisions concernant le traitement des données. Pour le sous-traitant, ce sera le lieu de l’administration centrale.
Le RGPD est également appliqué lorsque l’activité de traitement cible les résidents européens. Une entreprise établie aux États-Unis qui collectera des données pour observer le comportement des résidents de l’Union européenne sera par conséquent aussi soumise au RGPD.
