Qui est concerné par le RGPD : le guide pour comprendre

Si vous êtes entrepreneur ou président d’une association, vous avez sans doute déjà entendu parler du RGPD. En effet, depuis son entrée en vigueur, certaines entreprises, associations, administrations et plusieurs organismes sont soumis à des obligations en termes de protection des données personnelles.

Mais d’abord, qu’est-ce que le RGPD ? Qui est concerné par le RGPD ? Et si vous êtes concerné, quelles sont vos obligations ? On fait le tour de ces questions.

Qu’est-ce que le RGPD ?

Avant de s’attarder sur qui est concerné par le RGPD, il convient d’en dire davantage sur ce dernier afin que vous ayez toutes les clés en main.

Le RGPD (Règlement Général sur la Protection des Données) est un règlement de l’Union Européenne. Il encadre le traitement des données personnelles en fixant des conditions strictes à respecter. À cet égard, il assure d’une part, une meilleure protection des personnes concernées et d’autre part, plus de responsabilités aux acteurs du traitement des données.

Autrement dit, le RGPD impose certaines obligations aux organismes qui traitent de données personnelles. Concrètement, on peut citer par exemple :

• l’obligation de recueillir le consentement des visiteurs d’un site web en ce qui concerne les cookies informatiques ;

• l’obligation d’effacer les données personnelles d’un individu à la demande de ce dernier sous certaines conditions.

En outre, depuis l’entrée en vigueur du RGPD, des sanctions peuvent être prononcées en cas de non-respect de certaines obligations.

Mais qui est concerné par le RGPD concrètement ?

Quelles sont les conditions pour être soumis au RGPD ?

Il est important de savoir qui est soumis au RGPD puisque tous les organismes concernés ont des obligations à respecter.

Le RGPD peut concerner tout organisme (entreprise, association, collectivité, autorité publique, etc.), et ce, peu importe sa taille, le lieu de son implantation ou encore la nature de son activité. En effet, le RGPD est obligatoire pour qui que ce soit dès qu’il s’agit d’une structure traitant de données personnelles et qui est :

• établie sur le territoire de l’Union européenne ;
• OU qui exerce une activité qui cible directement des résidents de l’Union européenne.

Pour savoir qui est concrètement concerné par le RGPD, il faut donc comprendre ce que veulent dire les notions de “donnée personnelle” et de “traitement”.

À quoi correspond le “traitement de données personnelles” ?

La notion de “donnée personnelle" doit être entendue de manière large : il s’agit de toute information qui se rapporte à une personne humaine identifiée ou identifiable. On peut identifier une personne de manière :

• directe : comme son nom ou son prénom ;
• ou indirecte : numéro client, numéro de téléphone, éléments de son identité physique, génétique, économique, sociale, culturelle, sa voix, son image, etc.

Le “traitement” vise l’ensemble des opérations réalisées sur les données personnelles (  collecte, conservation, modification, consultation, utilisation, communication, diffusion, etc.)

Attention : pour être légal, un traitement de données doit poursuivre une finalité qui doit être déterminée en amont. Autrement dit, vous ne pouvez traiter des données que si vous avez un objectif précis. Il n’est donc pas possible de collecter des données personnelles si vous pensez qu’elles vous serviront peut-être à l’avenir, sans avoir de but précis.

Bon à savoir : bien que cela ne soit pas courant, le traitement de données personnelles concerne également des fichiers papiers et non seulement des données informatisées.

Autrement dit, peu importe que la structure soit privée ou publique, ou qu’elle traite des données personnelles pour son compte (le responsable de traitement) ou pour le compte d’un tiers (le sous-traitant). De même, RGPD et taille de l’entreprise n’ont pas de rapport entre eux : la taille de la structure n’a aucune incidence.

Qui sont les responsables et les sous-traitants ?

Le responsable de traitement est l’organisme qui est à l’origine du traitement des données et qui le réalise. Cela peut donc être une entreprise, une association, une collectivité, etc.

Le sous-traitant est celui qui va exécuter le traitement de données personnelles pour le compte du responsable. Il agit alors sur instruction et sous l’autorité de ce dernier. Concrètement, il s’agit d'un prestataire informatique ou d’une agence de marketing ou de communication qui exécute le traitement de données pour une entreprise, une association, une collectivité, etc.

Les associations sont-elles concernées par le RGPD ?

Oui, potentiellement. Comme pour les entreprises, peu importe la taille de la structure, la nature de son activité, qu’elle soit d’utilité publique ou non, les associations sont concernées par le RGPD si elles traitent des données personnelles.

Ainsi, les associations, même de très petites tailles, semblent inévitablement concernées par le RGPD puisqu’elles ont forcément un fichier listant les adhérents et leurs coordonnées. De même, si votre association collecte les adresses mail des membres pour la newsletter hebdomadaire, il s’agit également d’un traitement de données personnelles.

Par ailleurs, sachez que même pour collecter simplement le nom et le prénom d’une personne, le RGPD vous impose d’obtenir le consentement de cette dernière. Autrement dit, elle doit être informée de l’utilisation qui sera faite des informations personnelles qu’elle a fournies.

À noter : pour en savoir plus sur ce sujet, vous pouvez consulter notre fiche sur le RGPD et les associations.

Quelles sont vos obligations ?

Le RGPD impose aux entreprises concernées plusieurs obligations. En voici les principales :

• obligation générale de sécurité et de confidentialité : sécuriser les locaux et les systèmes d’information en vue d’empêcher leur endommagement et leur accès par des tiers ;
• obligation d’information (mentions d’information du RGPD) : informer la personne dont les données sont traitées de l’identité du responsable du fichier, de la finalité du traitement, de ses droits d’accès et de rectification des données, etc ;
• obligation d’établir une analyse d’impact en cas de risque élevé pour les droits et libertés : c’est le cas notamment si les données portent sur des informations sensibles (origine, opinions religieuses, politiques, etc.).

À noter : vous pouvez également vous renseigner sur les mentions légales du RGPD.

Certaines obligations ne concernent pas toutes les entreprises. En effet, vous devez désigner un délégué à la protection des données qui sera tenu de contrôler le respect du RGPD et de vous conseiller si :

• votre activité principale demande un suivi régulier de personnes à grande échelle ou de données sensibles ;
• votre activité fait partie du secteur public.

De même, vous n’êtes tenu de tenir un registre de l’ensemble des traitements de données personnelles que si votre entreprise compte au moins 250 salariés. Toutefois, même si votre entreprise compte moins de 250 salariés, vous devez inscrire dans un registre :

• les traitements non-occasionnels ;
• les traitements pouvant mettre en péril les droits et les libertés ;
• les traitements concernant des données sensibles.

Vous savez désormais l’essentiel sur vos obligations relatives à la protection des données personnelles et qui est concerné par le RGPD !

Bon à savoir : le Privacy by design est un principe consistant à faire de la conformité au RGPD une priorité pour l'entreprise ; ce principe est prévu à l'article 25 du RGPD.