Le champ d’application de la GDPR

Posté le : 12 février 2018
Temps de lecture : 4 minutes

L’article 2 de la GDPR expose son champ d’application matériel. Il s’applique aux traitements de données personnelles, relatives directement ou indirectement à des personnes physiques vivantes, que ces traitements soient automatisés ou non (si les listes non numériques sont appelées à être introduites dans des fichiers). Un tableur excel est un traitement automatisé de données. Un calepin où figurent des adresses de contact n’est pas un traitement automatisé de données, mais ces calepins se font rares à l’époque des webmails et des Active Directory…

Cela signifie que l’ensemble des systèmes d’information (logiciels, serveurs, terminaux mobiles, PC et même back-up et supports externes) sont concernés par la réglementation, dès lors qu’ils permettent le stockage, le traitement ou le transfert de données personnelles, et que ces données sont traitées à des fins professionnelles, commerciales ou non strictement limitées à la vie privée.

L’article 3 de la GDPR expose son champ d’application territorial. Le Règlement s’applique à tout traitement de données personnelles effectué dans l’établissement d’un Responsable de traitement ou d’un Sous-traitant, si cet établissement est situé sur le territoire européen. Cela vise les datacenters, les centres de services, les sièges sociaux, les bureaux, etc. et plus généralement toute forme d’activité effective (commerciale, industrielle, service, etc.), peu important la forme ou la personnalité juridique ou le statut de l’établissement.

Le Règlement s’applique encore aux traitements de données personnelles d’européens, quand bien même ces traitements sont effectués dans des établissements situés en dehors de l’Union européenne : cela vise notamment toutes les infrastructures et les solutions cloud hébergeant des données d’européens, même si ces infrastructures et solutions sont situées ailleurs dans le monde (datacenters aux USA ou en Inde, centres de services offshore, etc.). Les grands acteurs du cloud que sont Microsoft, Oracle, Google ou Facebook sont donc soumis à la GDPR au même titre que tous les acteurs européens.

Le Règlement s’applique enfin expressément aux traitements de données personnelles de personnes situées dans l’UE par des Responsables de traitements ou Sous-traitants qui n’y sont pas situés eux-mêmes, notamment s’ils effectuent des traitements de type « observation » ou « suivi comportemental » : on vise ici le suivi comportemental et le profilage des personnes, à des fins de prise de décision, de constitution de profils qualifiés de consommateurs, d’utilisateurs, de voyageurs, d’internautes, fins prédictives, etc.

La GDPR ne protège que les données des personnes physiques, et pas les personnes morales. Cette réglementation s’impose clairement à toutes les organisations, c’est-à-dire toutes les entreprises, administrations ou associations, tous secteurs industriels et économiques confondus, dès lors qu’elles manipulent des données personnelles : l’intégrateur qui développe un outil CRM, le groupe industriel qui échange des données clients entre filiales, le groupe de communication qui élabore des stratégies marketing, l’entreprise qui déploie un système de gestion de paie, la banque qui délocalise la gestion de ses services IT, le laboratoire qui gère des données de santé, la mutuelle qui gère des données d’assurance, le data broker qui revend des fichiers qualifiés, l’administration qui gère les dossiers de ses usagers, l’entreprise qui établit un profilage de ses clients, etc.

Enfin, la GDPR est technologiquement neutre : elle s’applique donc quelles que soient les technologies de collecte, de traitement ou de conservation des données personnelles. De plus, elle vise tout traitement de données personnelles, que ce traitement soit automatisé, informatisé ou même manuel si les données sont destinées à intégrer un fichier.

Article suivant

L’information des personnes physiques

L'information des personnes physiques
Les responsables de traitements et les sous traitants
Article précédent

Les Responsables de traitements et les Sous-traitants