#RGPD hors de l’Union Européenne : quels enjeux pour mon entreprise ?
Home Blends & Trends 5 novembre 2018Cette année, nous avons beaucoup entendu parler des impacts du RGPD sur les entreprises au sein de l’UE. Mais qu’en est-il des enjeux hors de l’Europe ? Le RGPD a-t-il réellement des frontières ?
RGPD : mon entreprise est-elle concernée ?
La mise en application du RGPD (Règlement Général sur la Protection des Données) définit des principes forts pour la protection des données personnelles des citoyens européens, et établit des obligations pour les entreprises qui opèrent en UE comme dans le reste du monde. En effet, le règlement protège les données de tous les résidents européens ! Si votre entreprise fournit des services à destination de ces citoyens, alors elle entre dans le périmètre de cette nouvelle réglementation.
Champ d’application territorial Article 3 du RGPD, alinéa 2
Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Source : RGPD, via EUR-Lex
RGPD hors d’Europe : entre obligation et pragmatisme
En théorie, le fait de s’adresser à des visiteurs européens (par des campagnes ciblées, un site destiné aux résidents de l’Union Européenne ou encore des offres ciblées par exemple) vous place donc dans le périmètre du RGPD… mais cela impliquerait alors la quasi totalité des éditeurs mondiaux ! Il s’agit donc d’estimer la profondeur de votre engagement avec l’Europe. Quels sont donc les critères discriminants et bonnes pratiques pour vous assurer que votre collecte de données est légitime et raisonnable ?
Vous livrez vos produits dans un pays de la zone européenne ou proposez le paiement en euro ? Vos publicités visent des prospects européens ? Si vous remplissez l’un de ces critères ou qu’une forte part de votre clientèle est en Europe, alors il n’y a aucun doute : vous êtes soumis au règlement (et vous avez probablement déjà traité ce sujet avec un spécialiste).
Dans votre cas, il est recommandé de suivre au plus près la réglementation : obtenez en amont le consentement de vos utilisateurs pour la collecte et l’exploitation de leurs données, et proposez un processus simplifié d’accès, de modification et de suppression des données. Pensez également à définir clairement la durée de conservation de vos données, et supprimez celles qui sont devenues obsolètes. Enfin, il est essentiel de se faire accompagner par des cabinets juridiques spécialisés dans le RGPD !
Votre business se situe principalement hors de l’UE ? Dans ce cas, mettez à jour vos conditions d’usage de façon claire et exhaustive, en listant par exemple les services tiers utilisés ( webanalyse, adserver, DSP…) et partenaires avec lesquels vous échangez les données de vos utilisateurs (dits accords second-party). De manière générale, soyez transparents avec vos utilisateurs !
Quoiqu’il en soit, chaque entreprise est différente et les enjeux des données personnelles doivent être adressés avec l’appui d’un conseil juridique et technique approprié. Sans oublier de prendre en compte les législations locales, qui complètent voire entrent parfois en contradiction avec le RGPD ! Globalement, la mise en application du règlement présente une opportunité unique pour revoir votre gouvernance et y intégrer la dimension légale et éthique adaptée à votre organisation. C’est l’occasion de mettre en avant votre sens de la transparence et d’améliorer la relation de confiance avec vos clients !