Où s’applique le GDPR ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

De nombreuses entreprises m’ont récemment fait part de leur surprise quant au fait que le nouveau règlement général sur la protection des données (RGPD) de l’Union européenne s’applique non seulement à l’UE, mais aussi à sa pomme. De nombreuses entreprises m’ont demandé si le GDPR s’applique aux entreprises américaines qui se conforment déjà au bouclier de protection de la vie privée UE-États-Unis. La réponse est simple et directe : le GDPR ne s’applique pas seulement aux organisations basées en Europe, et il s’applique également si vous ne l’êtes pas. [Sources : 16,15,6]

Si vous avez un site Web et que vous recevez des visiteurs de pays tiers, le GDPR s’applique à votre domaine, comme il s’applique à tout site Web dont le nom de domaine est américain (comme Google, Yahoo, Facebook, Twitter, etc.). Sources : 13]

Si vous êtes en dehors de l’Union européenne et que vous proposez de surveiller le comportement des personnes concernées de l’UE, vous devez vous conformer au GDPR si vous avez une directive sur la protection des données qui contient certaines informations. Si vous n’établissez pas votre entreprise dans l’UE, le GDPR ne s’applique pas aux personnes situées en dehors de l’UE, mais aux entreprises de pays non membres de l’UE, tout comme la législation européenne s’applique dans les pays où se trouvent vos bureaux. Toutefois, si votre comportement a lieu dans un pays autre que celui dans lequel vous vous trouvez effectivement, comme les États-Unis ou le Canada, il se peut que vous n’ayez pas besoin de proposer, de surveiller et / ou de contrôler le comportement avec les sujets de l’UE. En d’autres termes, bien que la législation de l’UE s’applique dans tous les pays, à l’exception du pays dans lequel se trouvent nos bureaux, elle ne s’applique pas aux entreprises non établies dans l’UE ou en dehors de celle-ci. [Sources : 3,2,12,12]

Les entreprises qui traitent les données des citoyens de l’UE, où qu’elles se trouvent, sont soumises aux directives et aux sanctions du GDPR. Les entreprises qui traitent les données des citoyens de l’UE, où qu’elles se trouvent, sont soumises aux directives, sanctions et autres règles du GDPR. Sources : 3]

Le règlement s’applique aux entreprises qui ne sont pas établies dans l’UE mais qui exercent des activités directes dans l’UE. Les entreprises peuvent soumettre des demandes si elles ont eu ou auraient dû avoir un établissement formel dans l’UE depuis la création officielle de l’UE. Sources : 18,11]

Comment le GDPR serait-il appliqué aux États-Unis et comment s’appliquerait-il aux citoyens américains vivant ou en vacances dans les pays de l’UE ? Le Règlement général sur la protection des données de l’UE prévoit que les entreprises non établies en Europe seront également couvertes en dehors des frontières de l’UE. Sources : 10,1]

Cela s’applique aux entreprises de pays non européens aux États-Unis, au Canada, en Australie, en Nouvelle-Zélande, au Royaume-Uni et dans d’autres pays situés en dehors des frontières de l’UE. Sources : 7]

Pour les entreprises de l’UE, le GDPR inclut le droit de surveiller le comportement des personnes concernées au sein de l’Union européenne et en dehors. Si les données sont traitées en dehors de l’UE, il ne s’applique pas aux entreprises et organisations basées en Europe, même si elles sont rentables ou gratuites. Elle s’applique également aux entreprises qui traitent et conservent des personnes concernées résidant dans ou hors de l’UE, quelle que soit la localisation de l’entreprise. Pour les entreprises qui ne sont pas établies au Royaume-Uni ou dans d’autres pays non membres de l’UE ou à proximité, le GDPR ne s’applique qu’au traitement des données personnelles par les entreprises qui a lieu pendant le séjour des personnes dans l’UE et hors de l’UE. [Sources : 4,5,19,2]

Si une entreprise est basée dans un pays de l’UE et traite les données de personnes vivant actuellement dans des pays de l’UE, l’entreprise elle-même doit se conformer aux règles du GDPR. Sources : 3]

Si une entreprise traite des données personnelles alors qu’elle propose des biens et des services à des clients résidant en dehors de l’UE, elle est soumise au GDPR, même si elle ne se trouve pas dans l’Union européenne. La loi ne s’applique pas si, en raison de l’application large du GDPR, un produit ou un service est offert à une personne concernée dans l’UE, qu’un paiement soit requis ou non. [Sources : 8,12]

Si une entreprise est présente sur Internet sous la forme d’un site web et qu’elle collecte des données personnelles d’un client, indépendamment de la localisation de ce dernier, elle est soumise aux dispositions du GDPR. Si une organisation collecte et stocke les données personnelles d’un utilisateur de l’Union européenne sur son site internet avant le 25 mai 2018, cela ne s’applique pas. Les raisons : Si votre organisation collecte et stocke des données personnelles sur votre site web après le 26 mai 2019, alors le GDPR s’applique à vous. [Sources : 0,9]

Si votre site Web n’est pas conçu ou destiné à attirer les résidents de l’UE ou de l’EEE, il n’a pas à se conformer au GDPR s’il est accessible à la fois dans l’UE et dans l’EEE. La raison : si votre entreprise est située dans l’Union européenne et que vos données personnelles sont traitées dans un lieu spécifique à l’UE, quel que soit l’endroit du monde où ce traitement a lieu. Si les activités de traitement d’une entreprise sont effectuées dans le cadre de sa filiale de l’UE et si l’entreprise elle-même est située dans l’Union européenne ou à proximité, le GDPR ne s’applique qu’aux processus et activités des entreprises qui sont effectués dans ce contexte et non à tout traitement ou traitement qui a lieu en dehors de l’UE. En d’autres termes, si vous effectuez un traitement quelconque, tel que la collecte, le stockage ou le transfert de données vers un autre État membre de l’UE ou vers un pays non membre de l’UE, ce règlement ne vous concerne pas ou est applicable. Sources : 10, 17, 14, 2].

Sources: 

  • 0] : https://www.cmdsonline.com/blog/the-looking-glass/gdpr-us-websites/
  • 1] : https://www.hipaajournal.com/does-gdpr-apply-to-eu-citizens-living-in-the-us/
  • 2] : https://www.natlawreview.com/article/revised-guidelines-territorial-scope-gdpr-and-local-representatives
  • [3] : https://www.compliancejunction.com/gdpr-frequently-asked-questions/
  • [4] : https://www.superoffice.com/blog/gdpr/
  • [5] : https://www.davincipayments.com/insights/answers-to-your-top-5-gdpr-questions/
  • [6] : https://www.naylor.com/associationadviser/how-to-tell-if-gdpr-applies-to-you/
  • [7] : https://www.beckage.com/data-security/does-the-gdpr-apply-to-your-us-based-business/
  • [8] : https://www.truevault.com/blog/does-gdpr-apply-to-my-company
  • [9] : https://www.techrepublic.com/article/the-eu-general-data-protection-regulation-gdpr-the-smart-persons-guide/
  • [10] : https://termly.io/resources/articles/gdpr-in-the-us/
  • [11] : https://www.freshfields.com/en-gb/our-thinking/campaigns/digital/data/general-data-protection-regulation/
  • [12] : https://termageddon.com/who-gdpr-applies-to/
  • [13] : https://www.cookiebot.com/en/gdpr-usa/
  • [14] : https://iapp.org/news/a/territorial-scope-of-the-gdpr-from-a-us-perspective/
  • [15] : https://www.compliancejunction.com/gdpr-for-us-companies/
  • [16] : https://www.itgovernance.eu/blog/en/does-the-gdpr-apply-to-me
  • [18] : https://www.thematrixpoint.com/resources/articles/how-gdpr-applies-in-usa
  • [19] : https://advisera.com/eugdpracademy/knowledgebase/what-is-the-eu-gdpr-and-why-is-it-applicable-to-the-whole-world/