Où le RGPD est-il applicable ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Un peu plus d’un an avant l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne, les entreprises du monde entier reconnaissent l’importance de se conformer à la nouvelle loi. Mais les organisations d’Amérique du Nord ont encore du mal à comprendre les règles qui s’appliquent à elles, et la confusion est grande quant à l’application de la loi à leur activité. [Sources : 10,3]

Pour les entreprises de l’UE, le GDPR inclut l’utilisation des données pour surveiller le comportement des personnes concernées à l’intérieur et à l’extérieur de l’UE et pour surveiller leur comportement en dehors de l’UE. Si les données sont traitées en dehors de l’Union européenne et non dans un État membre de l’UE, le GDPR ne s’applique pas aux entreprises ou organisations basées dans ou hors de l’UE. Par exemple, si une entreprise recueille des données à caractère personnel auprès d’un État membre de la Commission européenne (par exemple, l’Allemagne, la France, l’Italie, l’Espagne ou le Royaume-Uni) ou si l’établissement de l’entreprise s’adresse aux marchés de l’UE même si l’entreprise est située dans l’UE, elle n’est pas soumise au GDPR. Toutefois, son application aux entreprises américaines qui contrôlent et traitent des données à caractère personnel peut être compliquée, en particulier lorsqu’elles collectent des données à caractère personnel auprès de personnes situées dans l’UE ou dans des environnements de cloud computing qui sont basés ou soutenus aux États-Unis, comme Facebook ou Google. Sources : 16,13,14,9]

Si votre entreprise a déjà l’expérience de traiter ou de commercer avec des citoyens de l’UE, vous pouvez supposer que le GDPR s’applique quel que soit votre lieu de résidence et qu’il adhère aux normes que vous respectez, et que vous devriez investir dans la conformité du GDPR. Si votre organisation collecte des données personnelles d’utilisateurs de l’Union européenne sur votre site web et les stocke sur ce site après le 25 mai 2018, leGDPR s’applique à vous. [Sources : 12,12,6]

Si vous avez un site Web aux États-Unis et que vous avez des visiteurs en dehors de l’Union européenne, le GDPR s’applique également à ce domaine, même si le site Web n’a aucun visiteur des États-Unis et aucun visiteur de l’Union européenne. Si une entreprise basée aux États-Unis contrôle vos informations personnelles et les stocke sur votre site web après le 25 mai 2018, il ne s’appliquera pas à votre entreprise. Le GDPR ne s’applique que si votre entreprise a été fondée dans un contexte commercial ou si les informations personnelles des citoyens de l’UE sont traitées dans le cadre d’une activité ou d’une institution. En d’autres termes, si la législation européenne s’applique dans tous les pays où se trouvent vos bureaux, dans certains cas, le RGPD ne s’applique qu’aux entreprises de pays non membres de l’UE. [Sources : 10,5,7,2]

Si votre site Web n’est pas destiné à servir ou à s’adresser à des personnes résidant dans l’UE ou l’EEE, il n’a pas à se conformer au RGPD s’il est accessible en dehors de ces pays ou s’il n’y a aucun signe d’affaiblissement. Les entreprises et les organisations doivent demander conseil à l’autorité de protection des données avant de traiter des données. La protection offerte par le GDPR ne s’applique pas aux citoyens de l’UE lorsqu’ils voyagent ou vivent en dehors de l’Union européenne, mais elle protège vos données personnelles lorsque vous retournez dans l’UE si vous continuez à interagir avec un employeur américain en ce qui concerne les ressources humaines et les avantages sociaux. Si vous ne demandez ou ne traitez pas de données dans un contexte commercial ou dans le cadre de l’activité d’une institution aux États-Unis, votre entreprise ou organisation doit demander l’aide d’un expert en protection des données ou d’un expert en droit européen. Sources : 5,4,19,7]

Le caractère adéquat de cette décision est une décision formelle de l’UE qui reconnaît qu’aucun pays, territoire, secteur ou organisation internationale n’offre un niveau de protection des données personnelles équivalent au sien. Le GDPR s’applique aux entreprises qui traitent ou détiennent des personnes concernées résidant dans l’Union européenne, quelle que soit la localisation de l’entreprise. Il s’applique également aux entreprises qui traitent ou conservent des personnes concernées résidant en dehors de l’UE et de l’EEE, ainsi qu’aux États-Unis d’Amérique, au Canada, en Australie, en Nouvelle-Zélande, en Afrique du Sud, au Japon et dans d’autres régions d’Asie et d’Amérique latine. [Sources : 18,20,0]

Le GDPR protège les données personnelles des citoyens de l’UE, peu importe que la personne vive en dehors d’un pays de l’UE. Lorsque des données sont collectées à l’étranger et appartiennent à un citoyen de l’UE, l’entreprise est soumise aux règles et aux sanctions du GDPR. Il s’applique aux frontières européennes, mais aussi aux entreprises à l’intérieur de ces frontières, et même dans ces cas, il s’applique si vous avez accès à des personnes concernées aux États-Unis d’Amérique, au Canada, en Australie, en Nouvelle-Zélande, en Afrique du Sud, au Japon et dans d’autres régions d’Asie et d’Amérique latine. Même si elle devait être appliquée dans ces cas, comment serait-elle mise en œuvre aux États-Unis et comment fonctionnerait-elle ? Sources : 7,11,4,5]

Il est généralement admis que le règlement général sur la protection des données (RGPD) peut s’appliquer à toutes les institutions de l’Union européenne. Les entreprises de l’ACP dans l’UE, qui seront couvertes par le règlement, ainsi que les entreprises de pays non membres de l’UE. Les conférences de Tufts ont lieu à New York, Boston, San Francisco et Los Angeles. Si vous devez vous conformer au GDPR lors d’une conférence organisée en dehors des États-Unis, vous considérerez qu’il s’agit d’un « règlement général sur la protection des données » et qu’il peut être appliqué à tout organisme situé en dehors de l’Union européenne, mais il s’applique certainement. [Sources : 8,1,17,15]

Sources: 

  • [0] : https://www.davincipayments.com/insights/answers-to-your-top-5-gdpr-questions/
  • 1] : https://www.jdsupra.com/legalnews/measuring-the-reach-of-gdpr-how-far-is-4580256/
  • [2] : https://www.cookiebot.com/en/gdpr-usa/
  • [3] : https://www.itgovernanceusa.com/blog/does-gdpr-apply-to-me-what-north-american-organizations-need-to-know
  • [4] : https://gdprinformer.com/gdpr-articles/material-territorial-scope-gdpr
  • [5] : https://termly.io/resources/articles/gdpr-in-the-us/
  • [6] : https://www.cmdsonline.com/blog/the-looking-glass/gdpr-us-websites/
  • [7] : https://www.compliancejunction.com/gdpr-frequently-asked-questions/
  • [8] : https://www.beckage.com/data-security/does-the-gdpr-apply-to-your-us-based-business/
  • [9] : https://www.privacy-europe.com/european-privacy-framework.html
  • [10] : https://www.wiley.law/newsletter-May_2017_PIF-The_GDPRs_Reach-Material_and_Territorial_Scope_Under_Articles_2_and_3
  • [11] : https://dataprivacymanager.net/who-does-the-eu-gdpr-apply-to/
  • [12] : https://www.trendmicro.com/vinfo/in/security/definition/eu-general-data-protection-regulation-gdpr/
  • [13] : https://www.superoffice.com/blog/gdpr/
  • [14] : https://advisera.com/eugdpracademy/knowledgebase/what-is-the-eu-gdpr-and-why-is-it-applicable-to-the-whole-world/
  • [15] : https://access.tufts.edu/european-economic-area-general-data-protection-regulation-gdpr
  • [16] : https://www.compliancejunction.com/gdpr-for-us-companies/
  • [17] : https://www.aicpa.org/interestareas/privatecompaniespracticesection/newsandpublications/the-practicing-cpa/how-gdpr-may-impact-your-cpa-firm.html
  • [18] : https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/transition-period-faqs/
  • [19] : https://www.ebglaw.com/news/u-s-employers-and-the-gdpr-where-are-we-now/
  • [20] : https://www.utoledo.edu/it/gdpr/GDPRfaq.html