Comment le RGPD affecte-t-il les entreprises hors UE ?

Comment le RGPD affecte-t-il les entreprises hors UE ?

Le règlement européen sur la protection des données (RGPD) doit entrer en vigueur dans un délai de moins d'un an. Ce règlement, qui remplace la directive de protection des données de 1995, apporte des modifications à la façon dont les données sont gérées et traitées dans l'UE. Il inclut des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires global pour les entreprises qui ne s'y conforment pas.

Le RGPD s'applique aux entreprises qui opèrent au sein de l'UE. Mais des questions se posent à propos des entreprises qui résident en dehors de cet espace. Par exemple, que représente exactement ce règlement pour les entreprises basées aux États-Unis ? Et est-ce que le Royaume-Uni devra adhérer au RGPD après le Brexit ?

Pour faire court, on peut dire que le règlement affecte les entreprises à la fois à l'intérieur et à l'extérieur de l'UE. En fait, toute entreprise qui gère des données de citoyens, de résidents ou d'entreprises européennes devra se conformer au RGPD.

« Les directives expliquent clairement que toutes les organisations qui gèrent de telles données seront obligées de s'y conformer, quelle que soit leur juridiction », explique Jamal Elmellas, directeur de la technologie chez Auriga Consulting.

Ceci étant, il conseille : « Les organisations en dehors de l'Europe doivent d'abord décider si elles exercent actuellement (ou si elles prévoient d'exercer) des activités dans la région. Lorsqu'elles auront répondu à cette question, la prochaine étape sera de disséquer le modèle commercial qu'elles souhaitent mettre en place afin de déterminer si elles gèrent les données de citoyens et, le cas échéant, de quelles données il s'agit. »

« Cela nécessite une réflexion approfondie : même si une entreprise n'est pas présente en Europe, elle devra quand même comprendre l'impact du RGPD si elle traite les données personnelles d'un résident UE par rapport aux biens et aux services qu'elle offre à cette personne », explique Saurabh Ghelani, expert en protection des données et RGPD chez PA Consulting Group.

Un autre facteur qui peut déterminer l'intérêt pour une compagnie d'être en conformité avec le RGPD est si elle « surveille le comportement » de personnes au sein de l'UE, ajoute Ghelani.

Les directives du RGPD définissent cette situation lorsque « des personnes sont suivies sur Internet ». Cela comprend l'utilisation potentielle de techniques de profilage pour la prise de décision à propos des personnes concernées ou pour analyser ou prévoir les préférences, les comportements ou les attitudes de ces personnes.

Une autre chose qui peut ne pas être claire, selon Ghelani, c'est que le RGPD s'appliquera aux sous-traitants de données hors UE. Cela comprend les fournisseurs de cloud qui stockent ou hébergent les informations personnelles de citoyens de l'UE.

La mise à jour du règlement sur la protection des données va donc bien au-delà des frontières de l'UE. Comme le soulignent les experts, il existe de nombreux facteurs qui influencent la capacité des entreprises hors UE à se conformer à ces règles. Mais dans un monde numérique en pleine croissance, la plupart des grandes entreprises utilisent des données de l'UE d'une façon ou d'une autre.

Ces entreprises ont donc peu de temps pour s'assurer qu'elles se conforment à la mise à jour, qui doit entrer en vigueur en mai 2018. Que doivent donc faire les entreprises désormais ?

Beaucoup d'entreprises ne seront pas en totale conformité à cette échéance. Mais Mark Taylor, partenaire du cabinet d'avocats Osborne Clarke, explique qu'il est crucial de commencer à préparer le terrain dès maintenant. «Commencez à sensibiliser en interne et à travailler avec les principales parties prenantes », conseille-t-il. « Dans ce cadre, analysez la façon dont vous traitez actuellement les données de ceux qui résident au sein de l'UE. »

Juridique Propriété des données Violation de données

Donnez-nous votre avis et rejoignez-nous sur LinkedIn!

S'ABONNER

S'inscrire pour recevoir les bulletins GDPR & Beyond