Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

Introduction

Depuis, la conformité RGPD est devenue un sujet incontournable pour les acteurs publics comme privés. Pourtant, une question revient régulièrement : qui est concerné par le RGPD ? Beaucoup pensent encore que seules les grandes entreprises sont visées. En réalité, toutes les entreprises, mais aussi les associations et organismes publics, peuvent être concernées dès lors qu’elles traitent des données personnelles.

Entré en application en mai 2018, le Règlement général sur la protection des données (RGPD) a profondément modifié le cadre juridique applicable à la protection des données personnelles en Europe. Adopté pour harmoniser les règles au sein de l’Union européenne et renforcer les exigences en matière de protection des données personnelles face à la digitalisation croissante des activités, il vise à responsabiliser les organisations qui collectent et utilisent leurs données.

En réalité, le champ d’application du RGPD est beaucoup plus large. Toute organisation qui traite des données personnelles, qu’il s’agisse de clients, de salariés, de prospects ou d’adhérents, peut être concernée, quelle que soit sa taille, son chiffre d’affaires ou son secteur d’activité.

Comprendre si votre entreprise ou votre structure est concernée par le RGPD constitue donc la première étape essentielle pour évaluer vos obligations et mettre en place une conformité adaptée.

qui est concerné par le RGPD

1. La conformité RGPD concerne-t-il uniquement les grandes entreprises ?

Non. Le RGPD ne vise pas uniquement les grandes sociétés ou les groupes internationaux.

Le critère principal n’est pas la taille de la structure, mais le fait de traiter des données personnelles. Autrement dit, afin de comprendre qui est concerné par le RGPD, il est essentiel de bien comprendre ce qu’est une donnée personnelle.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle correspond à toute information permettant d’identifier, directement ou indirectement, une personne physique. Il peut s’agir d’un prénom, d’un nom, d’une adresse email, d’un numéro de téléphone, d’une adresse IP, d’un numéro de sécurité sociale, d’une photographie ou encore d’informations relatives à son lieu de résidence.

Même un ensemble de données combinées entre elles peut permettre d’identifier une personne et donc constituer une donnée personnelle au sens du RGPD.

Ainsi, dès lors qu’une organisation collecte, enregistre, conserve ou utilise ce type d’informations, elle entre dans le champ d’application du RGPD, même si elle ne compte que quelques salariés ou un nombre limité de clients.

Autrement dit, une TPE, un indépendant ou une association qui collecte des données personnelles est concerné par le RGPD, au même titre qu’un grand groupe.

2. Qui contrôle le respect du RGPD en France ?

En France, le respect du RGPD est contrôlé par la Commission nationale de l’informatique et des libertés (CNIL), l’autorité administrative indépendante chargée de veiller à la protection des données personnelles.

La CNILaccompagne les organisations dans leur mise en conformité, publie des recommandations et assure une mission de veille juridique. Mais elle dispose également d’un pouvoir de contrôle et de sanction.

Le rôle de la CNIL

Elle peut notamment réaliser des contrôles sur place ou en ligne, procéder à la consultation de documents internes et vérifier toute opération de traitement de données mise en œuvre par l’organisation.

Ainsi, toute structure concernée par la mise en conformité RGPD doit être en mesure de démontrer sa conformité en cas de contrôle.

qui est concerné par le rgpd

3. Quel est le périmètre d’application territorial du RGPD ?

Le RGPD ne s’applique pas uniquement en fonction du lieu d’implantation d’une entreprise. Son champ d’application territorial repose sur deux grands critères : le lieu d’établissement et la localisation des personnes concernées.

Une entreprise située hors de l’Union européenne peut-elle être soumise à la protection des données ?

Oui. Une entreprise établie en dehors de l’Union européenne (par exemple aux États-Unis, au Canada ou en Australie) est soumise au RGPD si elle :

  • Propose des biens ou des services à des personnes situées dans l’Union européenne ;
  • Ou suit le comportement de personnes se trouvant dans l’UE.

Ce qui compte n’est donc pas la nationalité de l’entreprise, mais le fait qu’elle cible ou analyse des personnes situées sur le territoire européen.

Exemple : Une entreprise américaine qui vend des produits en France, affiche ses prix en euros et livre en Europe devra respecter le RGPD pour les données de ses clients européens.

De même, une société américaine utilisant des outils de tracking pour analyser le comportement d’internautes situés en Allemagne ou en Espagne entre dans le champ d’application du RGPD.

Dans certains cas, ces entreprises doivent également désigner un représentant au sein de l’Union européenne.

Une entreprise française est-elle soumise au RGPD si elle traite des données à caractère personnel de clients situés hors de l’Union européenne ?

Oui. Lorsqu’une entreprise est établie dans un État membre de l’Union européenne, le RGPD s’applique à l’ensemble de ses traitements de données, même si les personnes concernées sont situées en dehors de l’UE.

Autrement dit, une entreprise française qui traite les données de clients australiens, américains ou asiatiques reste soumise au RGPD dès lors que le traitement est effectué dans le cadre de ses activités en France.

Ce critère repose sur le lieu d’établissement du responsable de traitement, et non sur la nationalité des clients.

Qui est concerné par le RGPD ? Ce qu’il faut retenir

Le RGPD protège les personnes situées dans l’Union européenne et s’applique :

  • Aux entreprises établies dans l’UE, pour tous leurs traitements ;
  • Aux entreprises situées hors UE qui ciblent ou suivent des personnes dans l’UE.

Le champ d’application territorial du RGPD est donc volontairement large, afin de garantir un niveau élevé de protection des données personnelles.

Retour d’expérience : Comment Cheerz a réussi sa mise en conformité RGPD avec Dipeeo ?

Découvrez comment la marque Cheerz a structuré sa conformité RGPD grâce à l’accompagnement de Dipeeo. Un retour d’expérience concret qui montre qu’allier croissance et conformité, c’est possible.
Télécharger

4. Existe-t-il des exceptions à l’application du RGPD ?

Oui, mais elles sont limitées.

Le RGPD ne s’applique pas aux traitements de données effectués dans le cadre d’une activité strictement personnelle ou domestique. On parle d’“exception domestique”.

Cela signifie que le règlement ne vise pas les activités réalisées par une personne physique pour un usage exclusivement privé, sans lien avec une activité professionnelle ou commerciale.

Exemples d’activités non soumises au RGPD :

  • Un carnet d’adresses personnel
  • La gestion de contacts dans un cadre familial ou amical
  • L’envoi d’invitations à un événement privé
  • Le stockage de photos à usage strictement personnel

Dans ces cas, il n’y a pas d’obligation liée au RGPD, car l’activité ne relève pas d’un cadre professionnel ou institutionnel.

5. Le RGPD s’applique-t-il au secteur B2B ?

Oui. Le RGPD s’applique également dans le secteur B2B (business to business).

Une confusion fréquente consiste à penser que le RGPD ne concerne que les relations avec des consommateurs (B2C). Pourtant, le règlement protège les personnes physiques, et non les entreprises en tant que telles.

Autrement dit, dès lors qu’une donnée permet d’identifier une personne physique, même dans un cadre professionnel, elle est considérée comme une donnée personnelle au sens du RGPD.

Les données professionnelles sont souvent des données personnelles

Dans le secteur B2B, les entreprises manipulent quotidiennement des données personnelles telles que :

  • Une adresse email professionnelle nominative (ex : prenom.nom@entreprise.fr)
  • Un numéro de téléphone direct
  • Une signature email contenant un nom et une fonction
  • Des coordonnées figurant dans un CRM
  • Des profils LinkedIn utilisés à des fins de prospection

Même si ces données sont utilisées dans un contexte professionnel, elles permettent d’identifier une personne physique. Elles entrent donc pleinement dans le champ d’application du RGPD.

En revanche, une adresse générique comme contact@entreprise.fr ou info@societe.com, qui ne permet pas d’identifier une personne précise, n’est pas en elle-même une donnée personnelle.

En pratique, le RGPD est omniprésent en B2B

Prospection commerciale, gestion de partenaires, fournisseurs, sous-traitants, échanges contractuels… Le traitement de données personnelles est omniprésent dans les relations inter-entreprises.

Ainsi, une société opérant exclusivement en B2B reste concernée par le RGPD dès lors qu’elle traite des données identifiantes relatives à des personnes physiques.

6. Comment savoir si mon organisation est concernée par le RGPD ?

Après avoir compris que le RGPD protège les personnes physiques, y compris dans un contexte professionnel (B2B), la question à se poser devient simple :

Est-ce que je collecte, utilise, stocke ou transmets des informations permettant d’identifier une personne physique ?

Si la réponse est oui, qu’il s’agisse de clients, prospects, salariés, partenaires, fournisseurs ou contacts professionnels, alors votre organisation est concernée par le RGPD.

Peu importe :

  • Votre chiffre d’affaires
  • Le nombre de salariés
  • Le fait que vous travailliez en B2B ou en B2C
  • Ou que votre activité soit exercée à petite échelle

Ce qui déclenche l’application du RGPD, c’est l’existence d’un traitement de données personnelles.

En pratique, dès que vous disposez d’un fichier client, un outil de prospection, ’un CRM

  • D’une base de contacts professionnels
  • D’un site internet avec formulaire

Vous entrez dans le champ d’application du RGPD.

qui est concerné par le rgpd

7. Quelles sont obligations RGPD principales pour les structures concernées ?

Être concerné par le RGPD ne signifie pas seulement “être au courant” de la réglementation. Cela implique de mettre en place des actions concrètes pour encadrer le traitement des données personnelles.

Voici les principales obligations applicables aux organisations :

Tenir un registre des activités de traitement

Vous devez recenser l’ensemble des traitements de données réalisés au sein de votre organisation : gestion des clients, prospection commerciale, gestion des salariés, recrutement, gestion des fournisseurs, etc.

Ce registre permet de cartographier les données collectées, leur finalité, leur durée de conservation et les mesures de sécurité des données mises en place, etc.

Informer les personnes concernées

Toute personne dont vous collectez les données doit être informée de manière claire et transparente :

  • Pourquoi ses données sont collectées ?
  • Sur quelle base légale ?
  • Combien de temps elles seront conservées ?
  • À qui elles peuvent être transmises ?
  • Quels sont ses droits ?
  • etc.

Cela passe notamment par une politique de confidentialité à jour et des mentions d’information sur vos formulaires.

Respecter les droits des personnes

Les individus disposent de plusieurs droits :

Votre organisation doit être capable de répondre à ces demandes dans les délais légaux.

Mettre en place des mesures de sécurité adaptées

Le RGPD impose de protéger les données contre :

  • L’accès non autorisé
  • La perte
  • La destruction
  • La divulgation accidentelle

Cela peut impliquer des mots de passe sécurisés, un contrôle des accès, le chiffrement des données, des sauvegardes régulières, une sensibilisation des équipes, etc. Le niveau de sécurité doit être proportionné aux risques.

Encadrer les relations avec les sous-traitants

Si vous travaillez avec des prestataires (hébergeur, logiciel SaaS, expert-comptable, agence marketing…), vous devez vous assurer qu’ils respectent également le RGPD.

Cela passe par la signature d’un contrat spécifique conformément à l’article 28 du RGPD (on parle de DPA – Data processing Agreement ou Accord de protection des données personnelles)

Documenter et démontrer sa conformité

Le RGPD repose sur le principe d’accountability : vous devez être en mesure de prouver votre conformité.

Concrètement, cela signifie de documenter vos pratiques au maximum afin de démontrer que vous avez mis en oeuvre le nécessaire pour réduire les risques de non-conformités au RGPD (rédaction de politiques internes, preuves de formation et de sensibilisation de vos équipes au RGPD, etc.)

Ces obligations peuvent faire l’objet de contrôles par l’autorité de contrôle compétente, comme la CNIL en France.

qui est concerné par le rgpd

Conclusion : le RGPD concerne tout le monde

En résumé, le RGPD concerne toute organisation qui traite des données personnelles, quelle que soit sa taille, son statut ou son pays d’implantation.

Que vous soyez une petite structure, une association, un indépendant ou un grand groupe, vous êtes probablement concerné dès lors que vous collectez des informations sur des clients, salariés, prospects ou partenaires.

La véritable question n’est donc pas : “Suis-je concerné par le RGPD ?”

Mais plutôt :

Comment mettre en place une conformité adaptée à mon organisation ?

Or, la mise en conformité peut rapidement devenir complexe : analyse des traitements, rédaction des documents, encadrement des sous-traitants, gestion des demandes des personnes concernées, veille juridique… Il est souvent difficile de structurer seul une démarche conforme et durable sans expertise dédiée.

C’est pourquoi chez Dipeeo, nous accompagnons les organisations pas à pas, avec un juriste dédié et une plateforme collaborative, afin de transformer les obligations RGPD en actions concrètes et pilotables.

Vous souhaitez savoir si votre organisation est conforme ou bénéficier d’un accompagnement personnalisé ?
Prenez rendez-vous avec nos experts pour faire le point sur votre situation.

Samia Rahammia
Samia Rahammia

Juriste IT et Data et Chargée de projets marketing