Quand le GDPR s’applique-t-il ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le GDPR s’applique non seulement aux organisations établies dans l’UE, mais aussi aux entreprises qui offrent des biens et des services aux citoyens hors de l’UE. Vous vous demandez peut-être quelles organisations s’appliquent et la réponse est simple et directe : si vous n’êtes pas dans l’Union européenne, la loi ne s’applique pas à vous. Bien que le GDPR soit largement applicable, il s’applique à toute entreprise qui fournit des biens ou des services aux citoyens de l’UE concernés, que des paiements soient requis ou non. En d’autres termes, si votre organisation demande une licence pour Apple auprès du RGPD, vous devez en faire la demande auprès de la personne concernée. [Sources : 3,5,2,7]

Si votre entreprise surveille le comportement des citoyens de l’Union européenne en collectant des informations sur les utilisateurs de l’Union européenne afin de prévoir leur comportement en ligne, le GDPR s’applique également à cette entreprise. Si vous êtes en dehors de l’Union européenne mais que vous offrez des services aux citoyens de l’UE, comme la surveillance et les citoyens de l’UE concernés, vous devez vous conformer au GDPR en ayant une directive sur la protection des données qui contient certaines divulgations. [Sources : 6,2]

Par conséquent, le GDPR s’applique dans le cadre de la fourniture de ces services, mais aussi aux contrôleurs et aux processeurs établis en dehors de l’UE, lorsque l’activité de traitement concerne des biens et services offerts aux citoyens de l’UE. Si les organismes de soutien direct collectent et traitent des données personnelles de personnes situées en dehors de l’Union européenne, alors le GDPR ne s’applique pas à la collecte et au traitement de ces activités. Toutefois, si la collecte, le traitement et le stockage des données par les organisations de soutien direct se limitent uniquement aux activités liées au budget, cela ne s’applique qu’au traitement des informations privées des citoyens de l’UE et non aux procédures de traitement des données personnelles des citoyens de l’UE. Sources : 17,21,18,1]

Si les données sont traitées en dehors de l’UE, le GDPR ne s’applique pas aux entreprises et organisations établies en dehors de l’UE. L’article 3 (2) va même plus loin et applique la loi aux organisations qui ne sont pas dans l’UE, à condition que ces deux conditions soient remplies. Si une entreprise américaine surveille ses données personnelles, le GDPR s’applique uniquement à cette entreprise si elle surveille les données personnelles d’entreprises américaines. Pour les entreprises de l’UE et hors de l’UE – la – la loi sur la transmission des données de l’UE couvre la collecte, le traitement et le stockage des données dans le but de surveiller le comportement des personnes concernées dans l’Union européenne et l’utilisation des données pour surveiller le comportement des personnes concernées hors de l’UE, par exemple lorsque l’organisation offre des biens et des services à des personnes hors de l’UE ou surveille leur comportement en ligne, mais pas le traitement des données personnelles. [Sources : 20,7,19,4]

Le GDPR s’applique aux entreprises de pays non membres de l’UE uniquement si le droit de l’UE s’applique dans le pays où le bureau est situé. Le règlement ne s’applique pas si l’entreprise n’est pas établie en dehors de l’UE ou n’a pas d’activités directes dans l’UE. Sources : 17,16]

Le traitement des données à caractère personnel est soumis au GDPR si l’organisation a une succursale quelque part dans l’UE, s’il est effectué dans le cadre des activités de cette succursale ou si le traitement a effectivement lieu. Si l’organisation est établie en dehors de l’Union européenne, elle n’y est pas soumise, sauf si elle offre des biens ou des services aux citoyens de l’UE concernés et contrôle la conduite de ses parties contractantes. En revanche, si les organisations sont situées dans l’UE ou à proximité, le GDPR les rattrapera si les données personnelles sont traitées à l’extérieur ou à l’intérieur de l’UE. Sources : 1,15,3]

Si les données marketing sont affectées n’importe où dans le monde, il y a une chance que les règles du GDPR s’appliquent à cette entreprise. Si l’entreprise traite des données personnelles pour offrir des biens ou des services à des clients résidant en dehors de l’UE, elle est soumise au GDPR. Dans le cas contraire, l’entreprise ne sera pas appliquée en dehors de l’UE en ce qui concerne ses activités de traitement des données. [Sources : 12,13,17]

Les organisations qui veulent s’assurer que le GDPR ne s’applique pas à elles doivent éviter de donner l’impression qu’elles offrent des biens ou des services à des utilisateurs en dehors de l’UE. Les entreprises australiennes de toutes tailles doivent se conformer aux règles, avoir une succursale dans l’Union européenne, surveiller le comportement des personnes au sein de l’Union européenne et surveiller leur comportement en dehors de l’Union européenne. Si vous voulez continuer à faire des affaires dans l’Union européenne, vous devez vous conformer au GDPR. Pour les entreprises américaines, il s’applique non seulement aux entreprises américaines mais aussi aux autres entreprises de l’UE. [Sources : 8,14,15]

Le GDPR s’applique à toutes les organisations opérant dans l’UE qui offrent des biens et des services aux clients d’entreprises situées en dehors de l’Union européenne. Il s’applique non seulement aux entreprises en Europe, mais aussi aux autres entreprises de l’UE. Peu importe où votre entreprise est basée, il s’applique, qu’elle offre ou non des produits ou des services à des consommateurs hors d’Europe. [Sources : 0,11,10]

Le GDPR remplace les obligations que vous aviez en vertu de la loi sur la protection des données existante et remplace les obligations en vertu de la législation de l’UE, quel que soit le lieu où vous êtes basé. Si votre organisation collecte et stocke des données personnelles d’utilisateurs de l’Union européenne sur votre site web, cela s’applique à toutes les organisations qui ont collecté et stocké des données personnelles sur vos sites web depuis le 25 mai 2018. Pour les entreprises qui stockent des données de clients situés en dehors de l’Union européenne, comme aux États-Unis et dans d’autres pays, le GDPR ne s’applique pas à votre entreprise. [Sources : 0,9]

Sources:

  • [0] : https://www.cmdsonline.com/blog/the-looking-glass/gdpr-us-websites/
  • [1] : https://www.whitecase.com/publications/article/chapter-4-territorial-application-unlocking-eu-general-data-protection
  • [2] : https://termageddon.com/who-gdpr-applies-to/
  • [3] : https://verasafe.com/blog/how-do-i-know-if-the-gdpr-applies-to-my-organization-part-2/
  • [4] : https://termly.io/resources/articles/gdpr-in-the-us/
  • [5] : https://www.naylor.com/associationadviser/how-to-tell-if-gdpr-applies-to-you/
  • [6] : https://www.workplaceprivacyreport.com/2018/01/articles/international-2/does-the-gdpr-apply-to-your-us-based-company/
  • [7] : https://www.superoffice.com/blog/gdpr/
  • [8] : https://www.microsoft.com/en-us/microsoft-365/business-insights-ideas/resources/gdpr-compliance-and-small-business
  • [9] : https://www.paduacommunications.com/gdpr-overview/
  • [10] : https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/
  • [11] : https://www.dataselect.com/who-does-the-gdpr-apply-to/
  • [12] : https://www.wiley.law/newsletter-May_2017_PIF-The_GDPRs_Reach-Material_and_Territorial_Scope_Under_Articles_2_and_3
  • [13] : https://www.truevault.com/blog/does-gdpr-apply-to-my-company
  • [14] : https://www.brightlaw.com.au/does-the-gdpr-apply-to-you/
  • [15] : https://iapp.org/news/a/territorial-scope-of-the-gdpr-from-a-us-perspective/
  • [16] : https://www.thematrixpoint.com/resources/articles/how-gdpr-applies-in-usa
  • [17] : https://www.compliancejunction.com/gdpr-frequently-asked-questions/
  • [18] : https://its.fsu.edu/ispo/GDPR-FAQ
  • [19] : https://advisera.com/eugdpracademy/knowledgebase/what-is-the-eu-gdpr-and-why-is-it-applicable-to-the-whole-world/
  • [20] : https://gdpr.eu/companies-outside-of-europe/
  • [21] : https://www.citizensinformation.ie/en/government_in_ireland/data_protection/overview_of_general_data_protection_regulation.html