Quand le GDPR ne s’applique-t-il pas ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Cet article répond aux questions visant à savoir quand et comment le GDPR s’applique aux entreprises américaines et aux citoyens américains. Les réponses peuvent également s’appliquer aux tiers qui traitent vos données personnelles. Lorsqu’il s’agit des questions fréquemment posées sur le GDPR, les réponses s’appliquent non seulement à votre entreprise, mais aussi à vous ou à votre fournisseur tiers qui traite vos données privées (par exemple, votre courrier électronique, vos comptes de médias sociaux). [Sources : 2,19]

Par conséquent, son applicabilité n’est pas limitée aux seules entreprises de l’UE, mais peut s’appliquer à des organisations partout dans le monde et dans tous les secteurs. Le GDPR s’applique à toutes les entreprises ou organisations basées dans ou hors de l’UE, que les données soient traitées dans ou hors de l’Union européenne, que votre entreprise soit basée ou que vous viviez en tant que citoyen européen. Les organes de l’UE qui traitent vos données personnelles dans le cadre de votre travail en tant qu’employé ou représentant d’un organe de l’UE (par exemple, via un fournisseur tiers). [Sources : 17,1,11,12]

Le GDPR ne s’applique pas aux personnes qui traitent vos données personnelles exclusivement pour des activités personnelles ou liées au ménage. Bien que le GDPR ne s’applique pas à toutes les entreprises, il propose un certain nombre de normes qu’elles devront respecter, telles que les normes de protection des données, les politiques de protection des données et la sécurité des données. [Sources : 18,8,5]

S’il existe des données qui ne peuvent pas être associées à une personne vivant en dehors d’un pays de l’UE, le GDPR ne s’applique pas à ces données. Si vous êtes un responsable du traitement basé dans l’UE ou au Royaume-Uni, qui traite vos données personnelles, vous devez généralement vous conformer à la loi. Si la personne concernée par les données de votre client se trouve en dehors de l’UE ou du Royaume-Uni, vous ne vous êtes pas conformé à cette loi, mais même dans ces cas, elle s’applique à vous. Peu importe que la personne vive dans un pays de l’UE comme l’Allemagne, la France, l’Italie, l’Espagne, la Belgique ou la Suisse ou que l’entreprise y soit physiquement établie ; le GDPR est conçu pour protéger les données privées des citoyens de l’UE. Même si votre produit ou service est proposé dans l’UE, votre traitement des données doit être conforme aux normes de protection et de sécurité des données de l’Union européenne (UE) et/ou du Royaume-Uni (RU) pour que les données que vous traitez soient conformes à celles-ci. Sources : 3,7,13,4]

Si le droit de l’UE s’applique dans le pays où se trouvent vos bureaux, le GDPR ne s’applique pas aux entreprises des pays non membres de l’UE. Mais si c’est le cas, il s’applique également à elles, quel que soit le lieu où se trouve leur bureau. Toutefois, si la législation européenne s’applique dans un pays où vos bureaux sont situés et que la personne concernée vit en dehors de l’UE ou du Royaume-Uni, vous n’avez pas à vous y conformer. Sources : 17,17]

Si vous voulez continuer à faire des affaires dans l’UE, vous n’avez pas à vous conformer au GDPR, mais si vous êtes une entreprise, aussi petite soit-elle, qui a ou aura à traiter avec des citoyens de l’UE et leurs données, alors vous n’avez aucune possibilité d’influencer le GDPR. Si votre entreprise est située dans un pays de l’UE et traite des données de personnes vivant actuellement dans des pays de l’UE, elle doit se conformer aux règles et être affectée par celles-ci. Pour une entreprise américaine, il s’applique à toutes les entreprises américaines et si les entreprises sont basées dans l’une d’entre elles et traitent des données de citoyens de l’UE vivant actuellement dans un autre pays de l’UE, leur entreprise doit également être affectée et se conformer aux règles. [Sources : 17,2,6,18]

Si votre étude comprend des données personnelles traitées par votre organisation dans le cadre de vos activités de recherche, le GDPR ne protège pas ces informations, même si l’organisation est établie dans l’EEE et que le traitement a lieu en dehors de celui-ci. Si vous fournissez des services à des personnes établies dans un pays non européen, le droit européen peut autoriser le traitement à l’entrée en Europe. Sources : 0,16]

Cependant, il est important de se rappeler que le GDPR ne s’applique pas aux entreprises qui sont géographiquement situées en dehors de l’UE. Si votre entreprise a déjà de l’expérience en matière de traitement ou de transactions avec des citoyens de l’Union européenne, vous pouvez vous attendre à ce qu’elle applique le GDPR et investisse pour s’y conformer. Toutefois, si vous n’avez pas d’établissement dans l’Union ou si vous n’avez pas traité les données personnelles d’une personne de l’UE, les règles et les lois de protection des données de l’UE ne s’appliquent pas à vos activités. Sources : 15,18,9]

Si vous êtes impliqué dans la commercialisation de données partout dans le monde, il y a une chance que les règles du GDPR s’appliquent à votre entreprise. Toutefois, si elle est située en dehors des États-Unis, le GDPR ne s’applique en aucun cas à cette entreprise non plus. Si vous êtes impliqué dans la commercialisation de données provenant du monde entier, le règlement européen sur la protection des données et la loi sur la protection des données (règlement européen sur la protection des données) ne s’appliquent pas à vous ou à votre entreprise. [Sources : 10,17,17]

Malheureusement, il existe quelques exemptions de minimis au GDPR, mais comment serait-il appliqué aux États-Unis ? Si vous ne faites des affaires qu’avec des citoyens de l’UE, le GDPR ne s’applique pas à vous ou à votre entreprise. Le GDPR s’applique également aux entreprises à l’intérieur des frontières européennes, donc si vous exploitez de très petites quantités d’entreprises basées dans l’UE ou une organisation, il s’applique. Par conséquent, si vous n’exploitez que de très petites quantités d’entreprises basées dans l’UE ou une organisation, elle s’applique. [Sources : 10,14,14]

Sources:

  • [0] : https://viceprovost.tufts.edu/policies-forms-guides/gdpr-research-faqs
  • 1] : https://www.globalprivacyblog.com/gdpr/edpb-guidelines-what-is-the-territorial-reach-of-the-gdpr/
  • [2] : https://www.compliancejunction.com/gdpr-frequently-asked-questions/
  • [3] : https://www.termsfeed.com/blog/gdpr-exemptions/
  • [4] : https://siteimprove.com/en/gdpr/who-gdpr-affects-and-whose-data-is-protected/
  • [5] : https://www.itgovernance.eu/blog/en/does-the-gdpr-apply-to-me
  • [6] : https://www.microsoft.com/en-us/microsoft-365/business-insights-ideas/resources/gdpr-compliance-and-small-business
  • [7] : https://dataprivacymanager.net/who-does-the-eu-gdpr-apply-to/
  • [8] : https://www.bakerdonelson.com/gdpr-employers-five-questions-answered
  • [9] : https://www.pacificdataintegrators.com/insights/What-is-GDPR-Your-5-Minute-Brief
  • [10] : https://termly.io/resources/articles/gdpr-in-the-us/
  • [11] : https://www.superoffice.com/blog/gdpr/
  • [12] : https://www.personneltoday.com/hr/how-does-the-gdpr-apply-to-businesses-outside-the-eu/
  • [14] : https://www.quarles.com/publications/gdpr-enforcement-day-is-here/
  • [15] : https://support.twilio.com/hc/en-us/articles/115012662988-Twilio-and-the-General-Data-Protection-Regulation-GDPR-
  • [16] : https://www.clydeco.com/en/insights/2019/11/new-guidance-on-the-application-of-the-gdpr-outsid
  • [17] : https://www.compliancejunction.com/who-does-gdpr-apply-to/
  • [18] : https://www.trendmicro.com/vinfo/in/security/definition/eu-general-data-protection-regulation-gdpr/
  • [19] : https://blog.netwrix.com/2020/03/27/gdpr-in-the-us/