Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur sur l’ensemble du territoire européen. Malgré la forte médiatisation dont il a fait l’objet, beaucoup ignorent encore ses impacts. Certaines organisations ne savent même pas qu’elles sont concernées. Un éclaircissement s’impose donc. Qui est concerné par le RGPD ?

Les entités qui traitent des données à caractère personnel

Toute entité localisée dans l’UE et qui traite des données à caractère personnel est concernée par le RGPD. Selon la définition officielle, une donnée à caractère personnel est « toute information identifiant directement ou indirectement une personne physique ». On l’oppose à la donnée anonymisée qui ne permet aucune identification. Pour illustration, l’adresse, le nom, le prénom, les empreintes digitales, les numéros de téléphone, ces informations sont toutes des données à caractère personnel parce qu’elles permettent d’identifier une personne physique.

Le terme « traitement » quant à lui renvoie à une notion toute aussi large. Ainsi, la collecte, l’analyse, le stockage, le transfert, l’utilisation ou même la simple consultation des données constituent un traitement. À partir d’ici, il est déjà difficile d’imaginer qu’une organisation ne soit pas soumise au RGPD.

En réalité, cette nouvelle règlementation tend à s’appliquer à tous les secteurs, y compris les entreprises pour lesquelles le traitement des données ne constitue pas l’activité principale (au contraire des plateformes internet, des agences marketing…). Quelle entreprise n’entretient pas des relations avec ses clients même personnes morales (identité d’un contact) ? Quelle organisation ne possède pas d’informations sur ses collaborateurs (adresse, nom, numéro de téléphone…) ?

La seule différence c’est que les organisations qui ne font pas du traitement de données leur activité principale ne seront pas soumises à certaines obligations du RGPD : nomination d’un DPO, réalisation d’étude d’impact sur la vie privée…

Toute entité manipulant les données de résidents européens

L’une des plus grandes nouveautés apportées par le RGPD est son champ d’application très large. En effet, il ne concerne pas seulement les organisations présentes sur le territoire de l’UE réalisant des traitements de données. Il s’applique également à tout organisme situé hors de l’UE menant des activités de collecte et de traitement des données de personnes résidents dans l’un des États membres de l’UE. Une entreprise localisée n’importe où dans le monde réalisant un suivi du comportement (consommation) d’un citoyen européen ou proposant des biens et services à une cible européenne est donc soumise au RGPD.

Les responsables de traitement et les sous-traitants

Sous la Loi Informatique et Libertés du 6 janvier 1978 modifiée en 2004, les sous-traitants étaient à ‘l’abri’ des dispositions sur la protection des données. Leurs obligations et leurs responsabilités restaient floues. Mais les choses sont différentes avec le RGPD. Dorénavant, les responsables des traitements ne seront plus les seuls à engager leur responsabilité en cas de non-conformité. Les sous-traitants devront également tout mettre en œuvre pour respecter les principes dictés par la nouvelle règlementation. Sinon, ils s’exposent à de sévères sanctions administratives et financières.

Les citoyens eux-mêmes

Le RGPD veut redonner aux citoyens le plein pouvoir sur leurs données. Il encourage toute initiative visant à dénoncer les abus et les violations du droit à la vie privée. En fin de compte, le RGPD n’est qu’un grand script. Et c’est nous, citoyens, entreprises et organisations en tout genre qui en sommes les principaux acteurs. Sans l’effort combiné de tous, ceux qui bafouent le droit à la vie privée et le droit à sa protection pour obtenir de grands bénéfices continueront à commettre leurs méfaits en toute impunité.