Qu’est-ce que le GDPR ou Global Data Protection Regulation ? Qui est concerné par le GDPR en France ? Tour d’horizon des entreprises impactées.

Qu’est-ce que le GDPR ?

Le Global Data Protection Regulation (ou Règlement Général sur la Protection des Données – RGPD, en français) est une réglementation européenne en matière de protection des données personnelles pour les résidents de l’Union Européenne, applicable à partir du 25 mai 2018.

L’objectif de cette réglementation : protéger les données des personnes physiques (les personnes morales sont exclues), assurer la transparence des traitements effectués et permettre aux individus d’en reprendre le contrôle.

Pour plus de détails, voici quelques-uns de nos articles GDPR :

Qui est concerné par le GDPR en France ?

Les premières cibles du GDPR sont les entreprises dont le modèle économique repose principalement sur l’exploitation de nos données (sites e-commerce, marketplaces, réseaux sociaux…). On pense tout de suite aux GAFAM (Google-Apple-Facebook-Amazon-Microsoft), ces géants du numérique qui collectent des milliers de données chaque année. Cependant le champ d’action du GDPR est bien plus vaste.

Le GDPR s’applique à tous les acteurs économiques et sociaux proposant des biens et services sur le marché de l’Union Européenne dès lors que leur activité traite de données personnelles relatives à des résidents de l’UE.

Ainsi, toute organisation ayant son siège/une filiale en UE ou traitant des données d’un ressortissant de l’UE (à des fins commerciales, de surveillance, d’emploi…) est concernée.

Et au niveau de la taille de l’entreprise ? Le GDPR concerne aussi bien les multinationales que les PME ou TPE. La mise en conformité sera d’ailleurs beaucoup plus challengeante pour ces dernières, en matière de budget, de temps et de ressources (cf le paradoxe GDPR).

Le GDPR en France concerne donc toutes les entreprises.

Le GDPR en France
Illustration issue du tutoriel vidéo GDPR / RGPD expliqué en emojis

Les entreprises implantées en France

  • Toute société effectuant une activité commerciale ouverte aux particuliers en France est bien évidemment concernée (par exemple au niveau de la fiche client dans un CRM) : Sephora, Carrefour…
  • Redsen devra se conformer à la réglementation GDPR en France (et en Suisse également) dès lors qu’elle traite de données personnelles (données RH des salariés, données RH des candidats lors de recrutements, données client…).
  • Un club de football, dont la donnée n’est pas le cœur de métier, devra tout de même respecter le GDPR. A titre d’exemple, le PSG devra se mettre en conformité avec les données recueillies sur les footballeurs Kylian Mbappé et Neymar Jr.

Les associations ayant une activité sur le territoire français

Les associations reconnues d’utilité publique (Croix-Rouge, Droit au Logement, Restos du Cœur, Handicap International, Médecins sans Frontière…) sont concernées par le GDPR en France, tout comme les associations de défense des consommateurs (UFC-Que Choisir, ADEIC…) ou les associations sportives (ASPO…).

Les organismes publics français

La Caisse des Dépôts et Consignations, Pôle emploi, le CNED et la CNIL (liste non exhaustive) sont des organismes publics français qui sont également impactés par le GDPR en France.

[us_cta title= » Quizz GDPR : Etes vous prêt ? » btn_link= »url:/fr/quizz/quizz-gdpr?utm_source=blog-16610&utm_medium=web-blog||| » btn_label= »Faire le test » btn_size= »19px » btn_icon= »fa-question-circle » message= »Répondre » button_target= » »]

Les entreprises non implantées en France mais manipulant des données de citoyens de l’UE

  • Un éditeur de logiciels américain (par exemple Microsoft, IBM, Oracle…) qui traite les données d’une société française devra aussi respecter le GDPR.
  • A l’instar du PSG, les San Antonio Spurs sont concernés par le GDPR puisqu’ils comptent le basketteur français Tony Parker dans leurs rangs.
  • Les producteurs de la série à succès Game of Thrones seront soumis également à cette réglementation s’ils continuent en 2018 de réaliser des tournages en Europe avec des figurants issus de l’UE.
  • Les sociétés effectuant la majeure partie de leur chiffre d’affaires sur internet sont également concernées dès lors qu’elles ont des clients issus de l’UE : Amazon, Facebook…
  • Le Brexit n’exclut pas les entreprises du sol britannique de cette réglementation : Tesco, Vodafone…
    Si une entreprise fait appel à un sous-traitant, elle doit s’assurer que ce dernier sera en mesure de respecter le GDPR, quelle que soit la localisation du sous-traitant sur la planète.

Le GDPR a donc une portée internationale, puisqu’il concerne aussi bien toutes les entreprises basées dans l’Union Européenne mais également les entreprises hors UE qui stockent des données de ressortissants de l’UE. Ainsi, les seules entreprises non concernées par cette réglementation sont des sociétés basées hors UE et qui ne traitent aucune donnée relative à un citoyen européen. Soit peu de sociétés dans le monde (entreprises locales, absentes du Web…) !

Alors n’attendez plus, mettez-vous dès à présent en conformité avec le GDPR !

 

[us_cta title= » LIVRE BLANC GDPR : comment se mettre en conformité » btn_link= »url:/fr/telechargement-de-livre-blanc-GDPR?utm_source=blog-16610&utm_medium=web-blog||| » btn_label= »Télécharger » btn_size= »19px » btn_icon= »fa-download » message= »Télécharger le livre blanc » button_target= » »]

 

 

Commentaires

  1. Bonjour, je me demande si une entreprise française offrant des services informatiques à des citoyens résidant en dehors de l’EU est concernée.

    1. Bonjour, les citoyens résidant en dehors de l’UE sont-ils européens ou non ? Votre entreprise traite-t-elle (transfert, stockage) des données personnelles ? Dans tous les cas, l’entreprise est concernée a minima par les données personnelles des salariés (données RH).

  2. Bonjour,

    je suis pharmacienne et donc je possède une base de données personnelles liée à la santé, dois-je nommer un DPO? dans le même cas mon mari médecin a t’il les mêmes contraintes?

    Cordialement

    1. Bonjour,

      Le volume des données traitées et les traitements à risques suffisent à justifier la désignation d’un DPO. Par conséquent, selon votre structure et les systèmes que vous utilisez pour la gestion de vos données, la démarche d’accountability (obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données) doit gouverner la prise de décision quant à la désignation ou non d’un DPO.

      Pour votre cas (pharmacie), il faut creuser le détail de votre structure, les systèmes informatiques utilisés, les échanges avec les clients/partenaires/fournisseurs pour pouvoir conclure sur la pertinence ou non de nommer un DPO. Si vous appartenez à un réseau de pharmacies, un DPO commun pourrait être une bonne alternative.

      Concernant le cas de votre mari (médecin), il n’effectue pas, a priori, de traitement à grande échelle (au sens GDPR), il ne devrait donc pas être nécessaire pour lui de désigner un DPO.

      En espérant que cela réponde à vos questions,
      Cordialement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top