RGPD : la protection des données personnelles ne se limite pas toujours à l’UE !

Le Règlement général relatif à la protection des données (RGPD) soulève beaucoup de question chez les entrepreneurs européens. Son entrée en vigueur prévue pour le 25 mai 2018 oblige toutes les entreprises à s’y conformer dès lors qu’elles traitent des données personnelles. 

L’une des questions capitales concerne le champ d’application territorial de ce Règlement. Voici un point synthétique des informations à connaître. 

 

Le RGPD peut s’appliquer aux traitements “hors UE”

Le RGPD concerne la protection des données personnelles traitées par tous les responsables de traitement et tous les sous-traitants dont l’activité de leur établissement situé en Union européenne consiste à traiter ce type de données. Cette précision, prévue par l’article 3, point 1 du RGPD, indique qu’il n’est pas important que le traitement en lui-même ait lieu en dehors de l’Union européenne. 

En effet, ce qui compte véritablement, c’est que l’établissement du responsable de traitement ou du sous-traitant, dont l’activité est le traitement des données personnelles, soit situé sur le territoire de l’UE. 

Tous les responsables de traitement et sous-traitant qui traitent des données personnelles en dehors de l’UE doivent donc être vigilants : ils n’échappent pas au RGPD à partir du moment où leur établissement est dans l’Union. 

 

Le RGPD peut s’appliquer aux responsables de traitement “hors UE”

Le point numéro 2 de l’article 3 du RGPD précise que le Règlement s’applique aussi aux traitements de données personnelles effectuées par des responsables de traitement ou des sous-traitants établis hors de l’Union européenne dans certains cas. 

Si le traitement réalisé est relatif à des personnes résidant sur le territoire de l’UE leur propose une offre de biens ou de services, le RGPD trouve à s’appliquer. 

Il en va de même si le traitement vise à suivre le comportement de ces personnes dès lors que ce comportement a lieu sur le territoire de l’UE. 

Les responsables de traitement et sous-traitants établis en dehors de l’Union européenne sont donc loin de pouvoir échapper au RGPD. 

Pour illustrer ce cas de figure, nous pouvons évoquer les entreprises établies en Suisse qui proposent un service nécessitant un traitement de données aux résidents de l’UE. Bien que l’entreprise et le responsable de traitement soient en Suisse, donc en dehors de l’Union européenne, le RGPD doit s’appliquer. 

 

Veillez à désigner un représentant basé en UE

Les responsables de traitement et les sous-traitants qui sont situés en dehors de l’UE et qui effectue un traitement de données personnelles entrant dans le cadre de l’article 3, point 2 du RGPD, doivent impérativement désigner un représentant situé en Union européenne. 

Cette obligation découle de l’article 27 du RGPD et ne doit pas être oubliée. Un formalisme est à respecter car cette désignation doit être faite par écrit. 

On comprend donc bien que le fait de délocaliser le traitement, ou le responsable de traitement ou le sous-traitant, en dehors de l’UE ne permet pas d’échapper au RGPD à partir du moment où ce traitement vise des individus présents sur le territoire de l’Union. 

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Armées
Lire plus

FO Défense dénonce l’accord PSC santé des Armées

Alors qu'au sein du ministère des Armées, la réforme de la protection sociale complémentaire (PSC) doit entrer en vigueur à partir du 1er janvier prochain, le sujet continue de susciter quelques débats paritaires en interne. La dénonciation par la fédération de FO de la Défense de l'accord PSC santé signé aux Armées vient en témoigner. C'est par le moyen d'un communiqué qu'elle a publié en milieu de semaine que FO...

François Bayrou agrée la convention sur l’assurance chômage

C'est le 15 novembre 2024 que les partenaires sociaux signaient leur nouvelle convention sur l'assurance chômage. Le texte vient d'être agréé par le Premier ministre François Bayrou avec quelques exclusions. Toutes les dispositions agréées s'appliqueront ainsi à compter du 1er janvier 2025. Retrouvez-en la teneur ci-dessous : ...