Je ne suis pas concerné par le recrutement d’un DPO. Le RGPD ne me concerne donc pas !

FAUX ! Dès lors que votre activité vous amène à traiter un certain volume de données personnelles, l’application du RGPD (Règlement Général sur la Protection des Données) est obligatoire dans votre structure. Et ce, que vous soyez concerné ou non par le recrutement d’un DPO. Voyons cela en détails !

Les entreprises concernées par le RGPD

Les textes du RGPD s’appliquent, selon la loi, « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Ils concernent les entreprises :

  • Qui possèdent un établissement installé au sein de l’Union européenne ;
  • Et/ou qui proposent une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Ce qui implique l’ensemble des actions de profilage visant cette cible !

De fait, le RGPD ne prévoit pas de critères de taille d’entreprise ou de secteur d’activité. Pas plus qu’il n’aborde la question du lieu de stockage des données. Ainsi, en principe, toute entreprise qui cible, par ses activités commerciales ou prospectives, le territoire de l’Union européenne et effectue des traitements de données à caractère personnel est concernée par l’application du RGPD. C’est une petite révolution par rapport à la loi Informatique et libertés : celle-ci se basait sur des critères d’établissement et de moyens de traitement pour définir si une entreprise était ou non concernée. Avec le RGPD, c’est la fin (le traitement des données d’un citoyen d’un pays membre de l’UE) qui justifie les moyens !

Un allègement pour les PME

Vous êtes une PME, et les textes du RGPD vous font un peu peur ? C’est compréhensible : ce texte prévoit de lourdes amendes pour les entreprises qui ne prendraient pas toutes les précautions pour garantir aux citoyens de l’Union européennes qu’ils pourront, à tout moment, reprendre le contrôle sur leurs données personnelles.

Une bonne nouvelle toutefois : si le respect du RGPD est obligatoire pour toutes les entreprises qui exploitent des données personnelles, quelle que soit leur taille, le texte prévoit un réel allégement des obligations pour les structures qui comptent moins de 250 salariés. Cet allégement concerne l’obligation de tenue d’un registre des activités de traitement. Celle-ci n’est ainsi pas obligatoire pour « une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Vous pensez pouvoir rentrer dans cet allègement ? Un conseil : vérifiez-le auprès d’un avocat spécialisé en protection des données personnelles. Mieux vaut prévenir que guérir !

L’application du RGPD, c’est dans quelques semaines ! Vous souhaitez vous préparer ? Téléchargez notre Guide du DPO prêt à l’action !