À qui s’applique le GDPR ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le GDPR s’applique non seulement aux organisations basées dans l’UE, mais aussi aux organisations d’Amérique du Nord qui ne comprennent toujours pas si le règlement s’applique à elles ou non. La réponse est simple et directe : il ne s’applique pas aux entreprises lorsqu’il s’agit des questions fréquemment posées sur le GDPR, et il peut également s’appliquer aux fournisseurs tiers qui traitent vos données personnelles. Il existe un certain nombre de types d’organisations différentes au sein de l’Union européenne (UE) et il n’y a pas une seule relation entre les citoyens de l’UE et leurs pommes aux coordonnées. Si votre entreprise n’est pas établie ou directement active dans l’UE, les règles ne s’appliquent pas. [Sources : 8,10,4,9]

Si la législation de l’UE s’applique dans le pays où se trouve votre bureau, le GDPR ne s’applique pas aux entreprises des pays non membres de l’UE. Toutefois, si elles le font, elles seront soumises aux mêmes règles que les lois de l’UE dans les pays où se trouvent leurs bureaux. En d’autres termes, si la politique de l’UE s’applique, alors le GDPR s’applique à votre entreprise en Europe au cas par cas. Sources : 11,11]

Si une entreprise américaine surveille ses données personnelles, le GDPR ne s’applique pas à cette entreprise. Toutefois, si l’entreprise est située dans un pays de l’UE et traite les données des personnes vivant actuellement dans des pays de l’UE, elle est concernée en tant qu’entreprise par les dispositions du GDPR. Le droit européen et les lois et règlements de l’UE en matière de protection des données, donc la confidentialité et la sécurité de vos données et l’activité de votre entreprise en Europe ne seront pas la norme à laquelle vous adhérez. [Sources : 11,12,6]

Si vous voulez continuer à faire des affaires dans l’UE, vous devez vous conformer au GDPR. Si vous êtes une entreprise américaine, le GDPR ne s’applique pas aux entreprises américaines, même si elles surveillent ou traitent vos données personnelles. Sources : 14]

Si votre entreprise est directement active dans l’UE ou dans l’EEE élargi, le GDPR ne s’applique pas aux entreprises américaines qui collectent des données personnelles sur des personnes en dehors de l’UE, quel que soit le lieu où vous êtes basé. Si votre entreprise traite des données personnelles pour fournir des biens ou des services à des clients situés en dehors de l’Union européenne (UE) et des États-Unis (USA), l’entreprise est soumise au GDPR. Pour les entreprises de l’UE : La Convention de l’UE sur la protection des données inclut le droit de surveiller le comportement des personnes concernées en Europe et les droits des personnes concernées à être surveillées pour leur comportement en dehors de l’UE. La DG PRPR s’applique à toute organisation qui collecte et stocke des données personnelles d’utilisateurs de l’Union européenne ou de sites web à partir du 25 mai 2018. [Sources : 5,9,17,3]

Si votre entreprise a déjà l’expérience de traiter ou de commercer avec des citoyens de l’UE, vous pouvez supposer que le GDPR s’applique à vous et que vous investissez dans sa conformité, voire dans son application dans certains cas. Peu importe que la personne concernée vive en dehors d’un pays de l’UE, le GDPR protège les données personnelles des citoyens de l’UE et s’applique même dans les cas où la personne concernée vit dans un pays non membre de l’UE. Sources : 6,0]

Le GDPR s’applique à toutes les organisations qui collectent et traitent des données personnelles de résidents de l’UE, quelle que soit la localisation physique de l’entreprise. La loi s’applique même si vous n’êtes pas dans l’Union européenne et que vous devez offrir des biens ou des services aux citoyens de l’UE concernés, qu’un paiement soit requis ou non, la loi ne s’applique pas à vous si la personne concernée vit dans un pays de l’UE. Lorsque le traitement des données a lieu en dehors de l’UE, elle ne s’applique qu’aux entreprises et organisations établies dans ou hors de l’UE, mais son champ d’application est large. Elle s’applique également même si votre entreprise traite ou détient des données sur des personnes résidant hors de l’UE et s’applique à toute organisation qui collecte, recueille ou traite des données à caractère personnel d’une personne résidant dans et hors de l’UE (indépendamment de l’emplacement physique de l’entreprise). [Sources : 1,15,16,2]

Le GDPR s’applique à toutes les organisations situées en dehors de l’UE, même si elles surveillent le comportement des citoyens de l’UE concernés. En effet, il ne s’applique qu’aux organisations qui fournissent des biens ou des services aux citoyens de l’UE ou qui surveillent leur comportement. Il ne s’applique pas aux organisations établies au sein de l’Union européenne, mais il s’applique même si elle surveille le comportement d’un résident de l’UE, indépendamment de sa localisation. Sources : 18,8]

Le GDPR remplace les obligations que vous aviez en vertu de la loi existante sur la protection des données (GDPR) et remplace les obligations que vous aviez en vertu de la loi existante sur la protection des données (GDPR). Si vous êtes tenu de stocker des données de citoyens de l’Union européenne en dehors de l’UE (par exemple aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande, etc.), vous devez prendre des mesures étape par étape pour vous conformer aux règles et devenir ou rester une organisation qui traite les données des clients. Si vous êtes couvert par le droit de l’Union européenne en matière de protection des données (droit de l’UE en matière de protection des données), vous devez demander conseil et en discuter avec votre responsable de la protection des données lors de la demande du GDPR et de ses mesures supplémentaires. En outre, le PRP ne s’applique à votre entreprise que si vous stockez des données sur des citoyens de l’UE en dehors des États-Unis ou du Canada (c’est-à-dire en Allemagne, en France, en Espagne, en Italie, aux Pays-Bas, en Belgique, au Luxembourg, en Suisse, en Autriche, au Danemark, en Norvège, en Finlande, en Suède ou au Royaume-Uni). Sources : 13,0,7]

Sources :

  • [0] : https://dataprivacymanager.net/who-does-the-eu-gdpr-apply-to/
  • 1] : https://termageddon.com/who-gdpr-applies-to/
  • 2] : https://expertsender.com/blog/does-gdpr-apply-to-you/
  • [3] : https://www.truevault.com/blog/does-gdpr-apply-to-my-company
  • [4] : https://www.naylor.com/associationadviser/how-to-tell-if-gdpr-applies-to-you/
  • [5] : https://www.cmdsonline.com/blog/the-looking-glass/gdpr-us-websites/
  • [6] : https://www.trendmicro.com/vinfo/in/security/definition/eu-general-data-protection-regulation-gdpr/
  • [7] : https://www.tradecommissioner.gc.ca/guides/gdpr-eu-rgpd.aspx?lang=eng
  • [8] : https://www.itgovernanceusa.com/blog/does-gdpr-apply-to-me-what-north-american-organizations-need-to-know
  • [9] : https://www.thematrixpoint.com/resources/articles/how-gdpr-applies-in-usa
  • [10] : https://www.compliancejunction.com/gdpr-frequently-asked-questions/
  • [11] : https://www.compliancejunction.com/who-does-gdpr-apply-to/
  • [12] : https://termly.io/resources/articles/gdpr-in-the-us/
  • [13] : https://www.paduacommunications.com/gdpr-overview/
  • [14] : https://www.microsoft.com/en-us/microsoft-365/business-insights-ideas/resources/gdpr-compliance-and-small-business
  • [15] : https://www.superoffice.com/blog/gdpr/
  • [16] : https://www.davincipayments.com/insights/answers-to-your-top-5-gdpr-questions/
  • [17] : https://advisera.com/eugdpracademy/knowledgebase/what-is-the-eu-gdpr-and-why-is-it-applicable-to-the-whole-world/
  • 18] : https://www.utoledo.edu/it/gdpr/GDPRfaq.html