Le RGPD s’applique-t-il aux entreprises en dehors de l’UE ?

Table of Contents

Le RGPD s’applique-t-il aux entreprises en dehors de l’UE ?

En 2018, l’Union européenne (UE) a lancé le Règlement général sur la protection des données (RGPD). Il régit la collecte et l’utilisation des données personnelles par toutes les entités privées et publiques. Le règlement s’applique exclusivement aux données personnelles des citoyens de l’UE. Cela signifie que les entreprises en dehors de l’UE ne sont pas exemptées. Au contraire, dans certaines circonstances, le RGPD s’applique aux entreprises non européennes.

Nous expliquerons ci-dessous les conditions dans lesquelles les entreprises en dehors de l’UE doivent respecter le RGPD. Et aussi, que se passe-t-il s’ils ne le font pas.

Vue d’ensemble du RGPD

Le RGPD est un cadre juridique conçu par l’UE, qui est entré en vigueur en mai 2018. Conçu pour offrir aux citoyens de l’UE un meilleur contrôle sur la collecte et l’utilisation de leurs données en ligne, il oblige les entreprises à respecter un ensemble de principes et de droits à la vie privée inscrits dans le règlement.

Il s’agit notamment de limiter la collecte de données à des fins essentielles, de stocker les données en toute sécurité et de s’assurer que la collecte de données est légale, équitable et transparente. Les citoyens de l’UE doivent également consentir activement à la collecte de leurs données.

Le règlement a été adopté à la suite de plusieurs fuites très médiatisées de la part de grandes entreprises. Des citoyens de l’UE ont également exprimé des inquiétudes en matière de protection de la vie privée, craignant que leurs données personnelles ne soient collectées secrètement sans leur consentement.

C’est pourquoi l’UE a rédigé le RGPD : à l’heure actuelle, la loi sur la protection des données la plus stricte au monde.

Le RGPD s’applique dans le monde entier

Comme Internet est une entité mondiale, le RGPD l’est aussi. En s’appuyant sur le pouvoir de l’UE, le RGPD légifère contre l’utilisation abusive des données appartenant à des citoyens de l’UE partout dans le monde. C’est ce qu’on appelle un « effet extraterritorial ».

Pour citer l’article 3 du RGPD (les sections pertinentes sont surlignées en gras) :

  1. Le présent règlement s’applique au traitement des données à caractère personnel dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union, que le traitement ait lieu dans l’Union ou non.
  2. Le présent règlement s’applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant non établi dans l’Union, lorsque les activités de traitement sont liées à :
    (a) l’offre de biens ou de services, qu’un paiement de la personne concernée soit exigé ou non, à ces personnes concernées dans l’Union ; ou
    b) le suivi de leur comportement dans la mesure où leur comportement a lieu à l’intérieur de l’Union.
  3. Le présent règlement s’applique au traitement des données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.

Quand le RGPD s’applique-t-il dans les territoires hors UE ?

Comme nous pouvons le voir à l’article 3 du RGPD, il y a deux occasions principales où le RGPD démontre un effet extraterritorial. Il s’agit de :

Offrir des biens et des services. Les biens et services étant librement échangés au-delà des frontières territoriales, le RGPD s’intéresse principalement à la manière dont les données personnelles des citoyens de l’UE sont utilisées dans de telles transactions.

Par exemple, si un citoyen de l’UE au Danemark peut acheter un produit ou un service auprès d’un vendeur à Chicago, le fournisseur doit se conformer au RGPD. En bref : toute entreprise non européenne qui s’adresse aux clients de l’UE doit être conforme au RGPD.

Les mots-clés ici sont « can » et « cater ». Ce n’est pas parce qu’un citoyen de l’UE peut acheter auprès d’une entreprise non européenne que celle-ci s’adresse aux citoyens de l’UE. Un restaurant à Tokyo peut prendre des commandes via Internet. Cependant, ils ne s’adressent pas aux citoyens de l’UE et sont donc exemptés du RGPD.

Suivi du comportement. L’exemple le plus courant du RGPD affectant l’activité régulière sur Internet est celui des cookies. Il s’agit de petits logiciels conçus pour suivre l’utilisation d’un site Web. Elles sont considérées comme des données personnelles en vertu du RGPD. Par conséquent, tout site ouvert aux citoyens de l’UE doit respecter le RGPD lors de la collecte et de l’utilisation de ces données.

Cela signifie que presque tous les sites Web sur Internet doivent être conformes au RGPD. En un mot : oui. Mais ce n’est pas nécessairement comme ça que les choses fonctionnent dans la pratique. Si un citoyen néerlandais utilise le site Web d’une librairie vietnamienne qui n’est pas conforme au RGPD, il est peu probable que cela ait beaucoup de ramifications. Le RGPD est strict, mais pas si strict.

Quelles sont les exceptions à l’effet extraterritorial ?

Il existe deux exceptions principales à l’effet extraterritorial du RGPD :

  1. Tout d’abord, le RGPD ne s’applique pas aux « activités purement personnelles ou domestiques ». Par conséquent, si vous avez un ami qui vous écrit depuis la France, vous n’êtes pas obligé de suivre les règles strictes de confidentialité et de consentement. Au contraire, seules les organisations engagées dans une « activité professionnelle ou commerciale » doivent systématiquement respecter le RGPD. Et plus encore, démontrez qu’ils le font régulièrement.
  2. Le RGPD s’applique principalement aux grandes entreprises de plus de 250 employés. Les petites et moyennes entreprises doivent se conformer au RGPD. Pourtant, ils sont libérés de la plupart des obligations de tenue de registres.

Que se passe-t-il si un pays non membre de l’UE n’est pas conforme au RGPD ?

Si une entreprise non européenne n’est pas conforme au RGPD, elle s’expose à des amendes pouvant aller jusqu’à 20 millions d’euros ou à un chiffre d’affaires mondial annuel de 4 %, le montant le plus élevé étant retenu.

C’est une somme importante pour n’importe quelle entreprise. Il peut même menacer de faillite. Suivre le RGPD n’est donc pas seulement une obligation ; C’est une nécessité.

Si vous exercez une activité en dehors de la juridiction de l’UE, veuillez vous méfier des obligations extraterritoriales auxquelles votre entreprise est soumise. Assurez-vous de respecter la lettre du règlement lors de la collecte et de l’utilisation des données personnelles des citoyens de l’UE.

Un certain scepticisme subsiste quant à la manière dont les amendes seront infligées aux entreprises non européennes. Mais il serait imprudent de supposer que vous pouvez échapper aux conséquences de la non-conformité.

Conclusion

C’est l’aperçu des moments où le RGPD est pertinent pour les entreprises hors UE. En bref : le RGPD s’applique aux organisations non européennes dans deux circonstances : lorsqu’elles proposent des biens et des services et lorsqu’elles surveillent leur comportement.

Sources:

https://www.personneltoday.com/hr/how-does-the-gdpr-apply-to-businesses-outside-the-eu/
https://gdpr.eu/companies-outside-of-europe/
https://www.blakemorgan.co.uk/does-the-gdpr-apply-outside-the-eu-uk/

Sales & Support