Le siège social de mon entreprise n’est pas en France : suis-je concerné par le RGPD ?
Que vous ayez choisi de conquérir d’autres marchés que la France, ou que vous ayez délocalisé votre activité pour des raisons fiscales ou personnelles, le siège social de votre entreprise se situe hors de France. Êtes-vous alors concerné par le RGPD ? La réponse est peut-être… sous certaines conditions !
Qu’est-ce que le RGPD ?
Le RGPD a pour objectif d’harmoniser les bonnes pratiques des entreprises en ce qui concerne la collecte et l’utilisation des données personnelles des citoyens. Il responsabilise les organisations qui traitent ces données, afin qu’elles en garantissent une utilisation respectueuse. On ne plaisante pas avec la vie privée des particuliers ! Par donnée personnelle, on entend une donnée qui permet d’identifier directement ou indirectement une personne physique. Il peut s’agir d’un nom, prénom, d’une date de naissance, d’une photo, d’un enregistrement vocal, d’une adresse e-mail, une empreinte digitale, d’un numéro de sécurité sociale ou d’un numéro de plaque d’immatriculation
RGPD : entreprises de l’UE et citoyens européens
Il faut savoir que le RGPD est un règlement adopté à l’échelle européenne. Il ne concerne donc pas uniquement la France ! Le RGPD s’applique à l’ensemble des 28 états membres de l’Union européenne : si vous collectez des données personnelles dans l’un de ces états, vous n’y échapperez pas ! En France, en Allemagne, en Croatie, en Italie, etc. Vous devez impérativement respecter les bonnes pratiques du RGPD, et gare aux contrôles et aux sanctions éventuelles si vous y dérogez. Il ne suffit d’ailleurs pas d’être établi au sein de l’UE pour être concerné : si le siège social de votre entreprise est établi hors Union mais que vous traitez des données personnelles de citoyens européens, le RGPD s’applique. Il s’applique également si vous traitez au sein de l’Union des données personnelles de citoyens non européens.
RGPD : le cas des sous-traitants d’entreprises de l’UE
En matière de données personnelles, vous êtes considérés comme responsables de leur bonne gestion, même si la collecte n’est pas votre activité principale, ou si vous la pratiquez pour le compte d’une autre entreprise. En vertu d’un principe de coresponsabilité, le règlement s’applique en effet aux sous-traitants des entreprises établies au sein de l’Union européenne. Et ce, même si ces sous-traitants ne sont eux-mêmes pas implantés sur le territoire européen. En bref, si vous êtes sous-traitant de données pour le compte d’une entreprise basée dans l’Union européenne, tout en étant vous-même basé en Nouvelle-Zélande ou aux États-Unis, vous devez respecter les principes du RGPD !
Qui est concerné par le RGPD ? Le résumé
Vous êtes perdu ? On résume. Vous devez respecter les principes du RGD en matière de collecte de données personnelles si :
- Votre entreprise est établie au sein de l’Union européenne, et ce, même si vous traitez des données de citoyens non européens.
Exemple : votre entreprise est établie en Italie et vous traitez des données de citoyens chinois.
- Votre activité cible directement des résidents européens, et ce, même si votre entreprise est basée ailleurs que dans l’Union européenne et les données stockées hors de l’Union européenne également.
Exemple : Votre entreprise est basée au Maroc et dans le cadre de votre activité, vous collectez des données de citoyens français. Vous utilisez pour les stocker un hébergeur situé au Maroc.
Le RGPD a une large portée territoriale qui ne s’arrête pas aux frontières de l’Hexagone. Il peut s’appliquer à votre entreprise même si son siège social se situe hors de France ! Si vous collectez des données de citoyens européens, que vous êtes implantées sur le territoire de l’Union européenne ou que vous traitez des données pour le compte d’une entreprise de l’UE, veillez bien à respecter les bonnes pratiques pour ne pas déroger du cadre légal. Pensez à recourir aux conseils d’un expert