Une des premières questions à la lecture de ce site est sans doute : mon entité est-elle concernée ? Eh bien, pour les entreprises ou organismes qui souhaitaient vite s’en aller d’ici, nous vous conseillons de rester encore un petit peu…
En effet, les trois critères, matériel, organique et territorial à prendre en compte font que le Règlement européen devrait vous concerner…
Le critère matériel : une donnée à caractère personnel traitée dans un fichier
Un rappel de deux définitions s’impose, celles de donnée à caractère personnel ainsi que de traitement de donnée :
- donnée à caractère personnel : information se rattachant à une personne physique directement identifiée ou potentiellement identifiable par ou plusieurs numéros d’identification ou éléments recoupés (nom, identifiant, donnée de géolocalisation, …).
- traitement de donnée : une ou plusieurs opération(s) (collecte, réorganisation, stockage, modification, suppression, extraction, transmission, diffusion, …) portant sur une ou plusieurs donnée(s) à caractère personnel, de manière automatisée la plupart du temps, mais pas seulement.
Comment dès lors ne pas être concerné ?! Le simple fait pour une entreprise de gérer par exemple les payes de son personnel, où l’identification directe des personnes ne peut être écartée, suffit à ce que le Règlement s’applique pour ce cadre.
Attention : une identification indirecte vous loge à la même enseigne que pour une identification directe. Ainsi, seule l’anonymisation totale de données ferait sortir l’entité qui utilise cette méthode du champ du règlement ; même pas la pseudonymisation (« anonymisation réversible ») qui rend les personnes potentiellement (ré)identifiables par recoupement.
Enfin, ne pensons pas malgré tout que le Règlement se veut jusqu’au-boutiste. En effet, au vu des éléments ci-dessus, le répertoire téléphonique de son smartphone privé n’est-il pas après tout un traitement de données à caractère personnel… ? Oui, il l’est, mais certains types de traitement ne tombent pas, heureusement, sous le coup du Règlement.
Ainsi, par exemple, les traitements de données personnels (« activité strictement personnelle ou domestique »), à vocation non-professionnelle et non-commerciale, tels que justement les répertoires téléphoniques privés (attention, les téléphones professionnels sont eux soumis aux règles édictées par le Règlement).
Le critère organique : un responsable de traitement et/ou son sous-traitant
Révolution notoire, le nouveau texte européen ne s’adresse plus seulement aux fameux « responsables de traitement » mais aussi à ses sous-traitants qui traiteraient les données des premiers pour leur compte.
Mieux, s’il y a effectivement instruction directe du responsable envers son sous-traitant dans la mise en oeuvre des traitements, le Règlement transfère plusieurs obligations incombant au responsable au sous-traitant.
Ceci s’explique tout simplement par la volonté de responsabilisation des acteurs prônée par le législateur communautaire.
Le critère territorial : le pays d’exercice de l’activité de l’entité et/ou la nationalité des personnes suivies
Deux critères sont ici à prendre en considération, dans l’ordre d’importance :
- le lieu d’établissement de l’entité qui réalise des traitements de données à caractère personnel : ce lieu doit naturellement se situer au sein des pays membres de l’Union Européenne.
En outre, l’établissement s’entend par l’exercice réel d’une activité même si celui-ci dépend d’une maison mère située en dehors de l’Union Européenne (exemple : Google France). - le lieu géographique des personnes dont les données ont été traitées, dans le cas où ces personnes auraient souscrit à une offre de bien ou de service ou bien qu’elles auraient fait l’objet d’un traçage et d’une analyse comportemental (sur un site web via Google Analytics par exemple).