P.I.L.O.T.E

2 min de lecture

1. Champ d’application du RGPD

1.1. Champ d’application matériel

Le RGPD s’applique à tout traitement de données à caractère personnel, automatisé ou non, dès lors qu’il est réalisé dans le cadre d’une activité professionnelle.

Info

Les traitements non automatisés sont concernés uniquement s’ils sont structurés dans un fichier (par exemple un classeur papier alphabétique).

Exemples :

  • Gestion RH
  • Vidéosurveillance
  • Suivi de navigation web
  • Mailing clients

1.2. Champ d’application territorial

Le RGPD s’applique si :

  • Le responsable ou sous-traitant est établi dans l’Union européenne, ou
  • Le traitement vise à :
    • fournir des biens ou services à des personnes dans l’UE,
    • ou surveiller leur comportement dans l’UE (ex. : traçage, géolocalisation, profilage).

Quote

« Le présent règlement s’applique au traitement de données à caractère personnel des personnes concernées qui se trouvent dans l’Union » — Article 3 du RGPD

1.3. Cas des traitements transfrontaliers

Un traitement est transfrontalier lorsqu’il implique :

  • plusieurs établissements dans différents États membres, ou
  • un seul établissement avec des personnes concernées dans plusieurs pays de l’UE.

1.4. Exceptions

Le RGPD ne s’applique pas à certains traitements, notamment :

  • traitements effectués par une personne physique dans un cadre personnel ou domestique,
  • activités de l’État dans le domaine de la sécurité nationale, justice pénale, défense,
  • traitements à des fins journalistiques ou artistiques (avec restrictions).

1.5. Exemples concrets

SituationRGPD applicable ?Motif
Un particulier gérant ses contacts personnelsUsage domestique
Une TPE collectant des mails pour une newsletterTraitement pro
Une société canadienne ciblant des clients en FranceCiblage UE

1.6. Cas particuliers à connaître

Traitements multinationaux

Les groupes d’entreprises disposant d’établissements dans plusieurs pays de l’UE doivent désigner une autorité de contrôle chef de file, selon le mécanisme de guichet unique prévu par le RGPD (articles 56 et 60).

Info

Ce mécanisme permet à une entreprise d’avoir un seul point de contact (ex : CNIL) pour toutes ses activités européennes si les décisions sont centralisées.

Correspondants locaux

Une entreprise non établie dans l’UE mais soumise au RGPD doit désigner un représentant dans l’Union européenne (article 27), sauf exceptions (traitement occasionnel, sans risque).

Warning

Ce représentant agit comme point de contact des autorités et des personnes concernées.

Vue Graphique