Contenu

Réponse

Le RGPD s’applique:

  • aux entreprises ou entités qui traitent des données à caractère personnel dans le cadre des activités de l’une de leurs filiales établie au sein de l’UE, indépendamment de l’endroit où les données sont traitées; ou
  • aux entreprises établies en dehors de l’UE qui proposent des biens ou des services (payants ou gratuits), ou surveillent le comportement de personnes dans l’UE.

Si votre entreprise est une petite ou moyenne entreprise (PME) qui traite des données à caractère personnel telle que décrit ci-dessus, vous devez respecter le RGPD. Toutefois, si le traitement des données à caractère personnel ne fait pas partie des activités de base de votre entreprise et que ces activités n’engendrent pas de risques pour les personnes, vous ne serez dès lors pas soumis à certaines obligations du RGPD [par exemple la nomination d’un délégué à la protection des données (DPD)]. Notez que les «activités de base» devraient comprendre les activités où le traitement des données fait partie intégrante des activités du responsable du traitement ou du sous-traitant.

Exemples

Quand le règlement s’applique

Vous gérez une petite entreprise d’enseignement supérieur en ligne établie en dehors de l’UE. Vous ciblez principalement les universités de langues espagnole et portugaise établies dans l’UE. Vous proposez des conseils gratuits sur un certain nombre de formations universitaires, et les étudiants ont besoin d’un nom d’utilisateur et d’un mot de passe pour accéder aux documents en ligne. Votre entreprise fournit le nom d’utilisateur et le mot de passe dès que les étudiants ont rempli un formulaire d’inscription.

Quand le règlement ne s’applique pas

Votre entreprise est un fournisseur de services établi en dehors de l’UE. Elle fournit des services à des clients établis en dehors de l’UE. Ses clients peuvent utiliser ses services lorsqu’ils voyagent dans d’autres pays, y compris au sein de l’UE. À condition que votre entreprise n’adresse pas spécifiquement ses services aux personnes établies au sein de l’UE, elle n’est pas soumise aux règles du RGPD.