Votre entreprise est-elle concernée par le GDPR ?
Le nouveau Règlement général sur la protection des données personnelles (RGPD en français, GDPR en anglais), qui entre en vigueur le 25 mai 2018, s’apprête à révolutionner le droit de la vie privée en Europe.
Dans cette série de billets, je vous propose des extraits du guide pratique d’implémentation du GDPR en entreprise publié le 11 novembre de cette année et dont je suis, avec Élodie Granger, co-auteur.
Une fois les objectifs et les grandes lignes du GDPR intégrés, la question la plus importante pour les entreprises est de déterminer si le nouveau règlement s’applique ou non à leur activité — en d’autres termes, si elles vont devoir engager un projet de mise en conformité GDPR.
Bien répondre à cette question suppose, pour les entreprises européennes, de comprendre ce que recouvre la notion fondamentale de traitement de données à caractère personnel. Quant aux entreprises étrangères, elles ne sont pas en reste : le GDPR a vocation à s’appliquer en dehors des frontières de l’Union européenne.
1. Le critère déterminant : le traitement
L’article 2 du GDPR dispose que le nouveau règlement s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (GDPR, article 2).
Ce n’est donc pas la nature de l’entreprise qui détermine l’application ou non du GDPR — d’ailleurs, les entreprises ne sont pas les seules structures concernées — mais l’existence d’un traitement de données personnelles. Le GDPR définit une donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable » (à ce titre, les adresses IP constituent des données personnelles au sens du règlement) et un traitement comme « toute opération ou ensemble d’opérations […] appliquées à des données à caractère personnel » (GDPR, article 4).
Le GDPR s’applique donc à toutes les activités impliquant la collecte, l’utilisation ou toute autre forme d’opération (comme la suppression ou la modification) sur des informations se rapportant à une personne physique identifiée ou identifiable.
Par ailleurs, alors que la loi Informatique et libertés concernait essentiellement les entreprises responsables des traitements de données, par opposition aux simples sous-traitants, le GDPR s’applique aussi bien aux responsables qu’aux sous-traitants, quoique dans une mesure différente. Il existe un certain nombre d’exceptions, dont la plupart sont liées à la souveraineté des États membres : sécurité nationale, politique pénale, contrôle aux frontières, etc.
2. Une application territoriale très large
En outre, le GDPR s’applique non seulement aux traitements de données personnelles réalisés à l’intérieur de l’Union européenne, et donc aux entreprises européennes, mais également en dehors de l’Union européenne, à tout traitement de données « relatives à des personnes concernées qui se trouvent sur le territoire de l’Union » (GDPR, article 3, alinéa 2), dans les cas suivants :
- offre de biens ou de services dans l’Union ; ou
- suivi du comportement de personnes situées au sein de l’Union.
Le GDPR oblige même les structures situées en dehors de l’UE à désigner par écrit un représentant dans l’Union (GDPR, article 27). C’est dire que toute entreprise ou organisation, où qu’elle soit située dans le monde, tombe potentiellement sous le coup du GDPR dès lors qu’elle est amenée à traiter les données personnelles de résidents européens, pour son propre compte ou pour celui d’un client.
3. Un projet majeur pour la plupart des entreprises
Ainsi, pour la plupart des entreprises, l’implémentation du GDPR constituera un projet majeur. Certains essaieront peut-être de s’en sortir avec un minimum d’efforts, se contentant de « cocher des cases » ; mais le GDPR est un texte à la fois très technique et qui laisse une large part à l’interprétation, et le coût de l’erreur est, comme on l’a vu, extrêmement élevé.
A minima, l’entreprise soucieuse de son adaptation à son environnement juridique devra déterminer, avec l’aide de professionnels spécialisés, si sa gestion des données personnelles, au plan juridique comme informatique, requiert le lancement d’un projet de mise à niveau GDPR.
Compte tenu de son large champ d’application, mais aussi des changements profonds qu’il peut induire dans les systèmes d’information des entreprises, et bien sûr des amendes encourues, le GDPR doit donc constituer une préoccupation majeure pour tous les dirigeants et conseils d’administration dont l’entreprise intervient dans l’Union européenne.
Recevez régulièrement les articles du blog, des brèves et des liens :