Toutes les entreprises qui traitent des données à caractère personnel sur les européens sont concernées par le RGPD. Certaines conditions sont cependant appliquées aux entreprises basées hors de l’Union européenne.

Concernant les entreprises des pays de l’Union européenne, les exigences du RGPD s’appliquent chaque fois que des données personnelles sont traitées, que le traitement soit effectué par l’entreprise ou par des éventuels sous-traitants.

« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

— RGPD, article 3-1, champ d’application territorial

Concernant les entreprises basées hors de l’Union européenne, les exigences du RGPD s’applique uniquement :

  • si l’entreprise commercialise un bien ou un service à destination des européens, même si ce bien ou ce service est gratuit ; ou
  • si le traitement de données de l’entreprise a un lien avec le comportement des personnes ;

« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. »

— RGPD, article 3-1, champ d’application territorial

Le RGPD permet donc aux autorités des pays de l’Union de contrôler les traitements réalisés aussi bien par les entreprises de l’Union que par les entreprises étrangères. Il est cependant rare que les entreprises étrangères soient inquiétées, car elles ne craignent que très peu des éventuelles sanctions. La CNIL, autorité de contrôle française, a déjà exercé ses pouvoirs de sanction auprès d’entreprises étrangères, notamment auprès de la société américaine Clearview, qui collectaient un très grand nombre de données personnelles sur les français en vue d’alimenter son logiciel de reconnaissance faciale[1].

Notes et références

  1. La CNIL a mis en demeure la société américaine Clearview, car elle traitait un très grand nombre de données personnelles sur les français (source : CNIL, MED-2021-134, 26 novembre 2021, CLEARVIEW AI). Voir « La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes ».