Votre entreprise est domiciliée en dehors de l’Union Européenne (U.E.) et vous pensez ne pas être concerné par le Règlement Général sur la Protection des Données (RGPD). Pas aussi simple. Dans ce billet de blog, nous examinons rapidement ce que vous devez savoir sachant que le réglement est entré en vigueur le 25 mai 2018 .

Le RGPD doit être pris en compte très sérieusement par toute entreprise dans ou hors U.E. Le bâton ou la carotte ? La bâton avec les amendes potentielles très fortes pour les entreprises qui ne signalent pas une violation de données ou une brèche dans leur dispositif. La carotte car le réglement est une véritable opportunité d’amélioration du dialogue et des relations avec vos visiteurs, clients et consommateurs.

Pour toutes les sociétés domiciliées hors de l’Union Européenne, mais qui ont des activités commerciales au sein de l'U.E., l’élément important à garder en tête est l'augmentation de la portée territoriale. Ces trois mots signifient essentiellement une chose : Le RGPD s'applique à toute entreprise indépendamment de sa situation géographique, si elle a au moins un client basé dans l'UE.

Pour toutes les entreprises, du Pérou au Pakistan, RGPD aura donc un impact significatif sur la façon dont elles obtiennent le consentement pour la collecte, l'utilisation et la divulgation des données personnelles de leurs clients européens.

Les acteurs non Européens et les entreprises de traitement des données personnelles, où qu’elles soient basées dans le monde, qui ne respectent pas les nouvelles règles s'exposent à des amendes importantes, allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel.

Par exemple, les acteurs et sous-traitants résidant en dehors de l'UE qui doivent se conformer au RGPD doivent désigner un représentant vis-à-vis de l'U.E. comme point de contact pour le traitement des données personnelles.  L’équivalent du rôle de DPO (Data Protection Officer) requis pour les entreprises faisant partie de l’U.E.

Données au-delà des frontières

Pour les entreprises de l'Union Européenne, le RGPD impose également des restrictions sur le transfert de données personnelles vers des pays extérieurs à l'U.E. et des organisations internationales. Ces transferts de données ne peuvent avoir lieu que dans des pays hors U.E. dont la Commission européenne juge qu’ils ont un niveau adéquat de protection des données personnelles. Ces pays comprennent actuellement (liste non exhaustive) : l'Argentine, le Canada (organisations commerciales), la Nouvelle-Zélande, la Suisse et les États-Unis.

Êtes-vous une organisation en dehors de l’U.E. avec des clients au sein de l’Union Européenne ?

Alors il y a plusieurs choses à faire :

  • Votre entreprise doit-elle appliquer le RGPD ? Si oui découvrez notre blog sur la « chek-list » de mise en conformité afin de vous assurer que vous soyez prêt a partir du 25 mai
  • Allez-vous traiter les données transfrontalières ? Si oui, devrez-vous changer vos processus et procédures de traitement des données ? Consultez notre guide rgpd pour plus d'information.
  • La conformité GDPR affectera-t-elle votre respect des lois locales sur le traitement des données ? Assurez-vous de vérifier vos besoins auprès de votre autorité locale de réglementation des données personnelles.
  • Avez-vous nommé un DPO qui pourra faire l’interface avec l'Union Européenne ? CONSULTEZ NOTRE GUIDE RGPD pour en savoir plus