Applicable depuis le 25 mai 2018 dans chaque État membre de l’UE, le règlement général sur la protection des données (RGPD) a vocation à s’étendre à l’Espace économique européen dès que celui-ci l’aura adopté[1] , mais il aura un impact au-delà de ces pays.

Les entreprises établies dans l'UE

Le règlement général sur la protection des données (RGPD) s’applique aux entreprises « établies » dans l’Union européenne (UE) qui agissent en tant que « responsable de traitement » (entité qui décide des finalités et des moyens d’un traitement de données) ou « sous-traitant » (prestataire n’agissant que pour le compte du client et sur instruction). Pour celles-ci, le règlement s’applique, que le traitement de données lui-même ait lieu ou non dans l’UE. Le RGPD couvre donc aussi des activités exercées en dehors de l’UE ou pour des clients non européens. De plus, la notion d’« établissement dans l’UE » pourrait être interprétée assez largement et s’appliquer à des entreprises non européennes qui ne s’y attendent pas.

Entreprises non établies dans l’UE

Le RGPD s’applique aussi à certaines entreprises (responsables de traitement ou sous-traitants) qui ne sont pas établies dans l’UE lorsque celles-ci ont des activités à l’égard de personnes physiques qui se trouvent sur le territoire de l'UE consistant soit (i) à leur offrir des biens ou services gratuits ou payants (par ex. la vente en ligne ou les réseaux sociaux « gratuits »), soit (ii) à « suivre leur comportement » (par ex. profilage aux fins de publicité ciblée ou de détection de fraude).

Ce double critère vise à appréhender la réalité du monde numérique. Des entreprises qui détiennent des informations sur des individus se trouvant dans l’UE, n’y sont pas forcément établies. Le législateur européen a voulu s’assurer qu’elles auront néanmoins les mêmes obligations et responsabilités. Pour autant, la simple accessibilité à partir de l’UE d’un site internet non européen ne suffit pas, il faut qu’il existe des éléments démontrant que les résidents de l’UE sont ciblés. Tracer une ligne entre ces situations n’est pas aisé, et bon nombre d’entreprises cherchent actuellement à déterminer si le RGPD s’applique ou non à leurs activités. Bien que ces entreprises doivent respecter le RGPD (et nommer un représentant dans l’UE), elles ne pourront pas en revanche bénéficier du mécanisme du « guichet unique ». Celui-ci permet aux entreprises qui ont une activité dans plusieurs pays de l’UE, de n’avoir qu’une seule autorité de contrôle « chef de file » comme interlocuteur. Certaines sociétés envisagent donc de créer un établissement dans l’UE pour pouvoir en bénéficier.

Particularités nationales

Le RGPD permet aux États membres d’apporter, dans certains domaines, des dérogations nationales. Se pose donc la question de l’application territoriale de ces règles. En France, ces dispositions s’appliqueront, sauf exception, « dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’y est pas établi ». Les entreprises, européennes ou non, vont donc devoir faire face à une complexité supplémentaire.

Transferts de données hors de l’UE

Lorsqu’une activité implique l’hébergement, le partage ou le traitement des données personnelles en dehors de l’UE, sauf pour des pays dit « adéquats » ou une entreprise américaine certifiée Privacy Shield, il faut que l’entreprise de l’Union qui « exporte » ces données mette en place l’une des mesures de sauvegarde prévues par le RGPD. La plus répandue est la signature de clauses contractuelles types avec « l’importateur » hors UE. Ces dernières ne peuvent cependant pas être utilisées par des entreprises non établies dans l’UE qui sont en contact direct avec les individus de l’Union (donc, sans entreprise « exportatrice »). Par ailleurs, le RGPD interdit de communiquer des données personnelles sur des individus de l’UE sur injonction d’une juridiction ou d'une autorité administrative non européenne si elle n’est pas fondée sur un accord international, type traité d'entraide judiciaire.

Les enjeux

Les conditions dans lesquelles le RGPD s’applique même en dehors de l’UE a un impact pour bon nombre d’entreprises, compte tenu surtout des sanctions administratives significatives en cas de non-respect (jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires mondial).

L’article ci-dessus a été initialement publié dans le magazine de la CCI Échanges Internationaux n°112. Depuis sa rédaction, le RGPD a été officiellement étendu à l’Espace Économique Européen (EEE)[2] et un projet de lignes directrice du Comité Européen de la Protection des Données (EDPB[3] ) qui devrait être soumis à consultation publique sous peu, a été annoncé.