La réglementation en matière de protection des données s'applique de manière très large, mais pas à toutes les situations. Le champ d'application de la réglementation est défini de manière territoriale, mais également de manière matérielle.

Le champ d'application territorial (article 3 du RGPD)

Le RGPD est un Règlement européen : il est possible de croire, à ce titre, que son application se limite à l'Union Européenne. En réalité, il a un champ d'application propre et dynamique, fondé sur deux critères alternatifs :

1. Le responsable de traitement se trouve dans un Etat Membre de l'Union Européenne

2. La personne cible se trouve dans un Etat Membre

De manière plus concrète, cela signifie qu'une entreprise établie aux Etats-Unis va être soumise au RGPD dès lors qu'elle cible une clientèle française, espagnole ou allemande. Et pour savoir quelle clientèle est visée par entreprise, il suffit généralement de s'en référer aux langues dans lesquelles le site est traduit. Un autre indice traduisant le marché visé est la monnaie utilisée pour afficher les prix (euro ou dollar).

Le champ d'application matériel (articles 3 et 4)

Le RGPD est applicable à tout traitement de données à caractère personnel respectant l'un des critères du champ d'application territorial développé ci-dessus. Un traitement de données à caractère personnel est défini par l'article 4 de la manière suivante :

1. «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

2. «traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

Le champ d'application matériel du RGPD est en conséquence très large : il suffit de consulter des informations qui pourraient, même de manière indirecte, se rapporter à des personnes physiques. Il importe par ailleurs peu que ce traitement soit informatisé ou papier, ni même que les données sont collectées dans un cadre professionnel ou non.

Quelles conséquences ?

En fonction du résultat de l'analyse, la réglementation en matière de protection des données personnelles vous sera applicable ou non.

1. Vous remplissez au moins un critère territorial et vous mettez envisagez effectivement de mettre en œuvre un traitement de données à caractère personnel : le RGPD vous est applicable.

2. Vous ne remplissez pas de critère territorial et/ou votre projet n'entre pas dans la définition de traitement de données à caractère personnel : le RGPD ne vous concerne pas.. pour cette fois !

Si vous vous trouvez dans le premier cas, vous serez dans l'obligation de respecter les grands principes, mais également de compléter la documentation adéquate au niveau de risque que présente votre traitement.

Avant cela, il va être important de définir votre rôle vis à vis des autres parties éventuellement impliquées dans le traitement.