Situation des entreprises hors de l’UE vis-à-vis du RGPD

Europe

Sur le plan international, le RGPD est un règlement contrôlé par l’UE et dont le contenu est approuvé par plusieurs États. Toutefois, il ne se limite pas qu’au territoire européen. Son application s’étend en effet en-dehors de ces frontières.

Les entreprises qui assurent la mise en conformité avec le RGPD peuvent se démarquer de la concurrence, mais ce n’est pas le seul avantage qu’elles peuvent en tirer. Pour appliquer le règlement européen, on investit des moyens dans un dispositif spécifique de sanctions. Celles applicables en Europe sont les premières auxquelles on peut faire allusion. Aussi, qu’en est-il de la conformité avec le RGPD pour les entreprises établies en-dehors de l’UE ? Rappelons les règles du jeu.

RGPD Europe : les frontières s’effondrent

Les cas d’application

Le RGPD concerne les entreprises qui réalisent des opérations de traitement de données à caractère personnel dans les cas suivants :

  • Le responsable de traitement ou les sous-traitants se trouvent sur le territoire européen
  • Le traitement de données personnelles concerne des ressortissants européens, en suivant leur comportement ou en leur proposant des biens et services.

Dans les deux cas, il convient d’établir un représentant sur le territoire européen. Il s’agit du DPO RGPD. Toutefois, il existe des exceptions, comme la réalisation de traitement de données personnelles de façon occasionnelle.

Le représentant établi en Europe

Mandaté par le responsable des traitements, c’est le principal interlocuteur des autorités de contrôle et des personnes concernées par les traitements en question. Les directives du CEPD ou Comité Européen à la Protection des Données concernant le champ d’application territorial du RGPD, seront communiquées prochainement.

Pour les entités siégeant en-dehors de l’UE, deux éléments sont déjà clairs :

  • Le représentant est différent du guichet unique. En effet, la désignation d’un représentant n’implique pas une mise en œuvre du système de guichet unique de l’article 56 du RGPD. Ce ne sera le cas que si l’entreprise dispose de plusieurs établissements en Europe. Autrement, elle devra s’adresser aux autorités de contrôle locales des États membres où elle réalise des opérations de traitement de données à caractère personnel, via le représentant.
  • La responsabilité du responsable de traitement et des sous-traitants peut être engagée à l’égard des personnes concernées et de l’autorité de contrôle. Aussi, désigner un DPO relève d’une obligation pour assurer la mise en conformité RGPD. Les entreprises qui outrepassent ce règlement encourent des sanctions.

L’application et la nature des sanctions des autorités de contrôle en-dehors de l’Europe

Application des contrôles

Si une entreprise située en-dehors du territoire européen, n’est pas conforme au RGPD, alors qu’elle est soumise à ce règlement, une autorité de contrôle (la CNIL ou autre) pourra la sanctionner, via le représentant.

En cas d’absence du représentant, alors que les textes du RGPD ne sont pas respectés, on pourrait croire qu’une demande de suspension de transfert de données à caractère personnel, s’achève sans contrôle.

Quelles sont les sanctions ?

Tout d’abord, les sanctions ne sont pas que d’ordre financière. Les autorités publient leurs décisions en usant de leur pouvoir de soft lawen. L’amende administrative s’élève à 20 millions d’euros ou 4% du chiffre d’affaires mondial. En outre, la responsabilité de l’entreprise peut être engagée, malgré la nomination d’un Délégué à la Protection des données.

L’efficience des sanctions

Une entreprise établie en-dehors de l’UE doit se soucier des sanctions en cas de non-respect du RGPD pour les raisons suivantes :

  • La première se base sur le travail du G29, conformément à l’article 50 du RGPD qui prévoit une coopération internationale. Les États membres bénéficient d’une marge, d’autant plus que des arrangements administratifs existent entre les pays qui s’occupent du côté pratique des contrôles de données personnelles à l’étranger et la collaboration entre les autorités de contrôle.
  • La deuxième tient à la perception des amendes énoncées par les autorités de contrôle des pays de l’Europe.

A qui les entreprises concernées par le RGPD et situées en-dehors de l’UE doivent-elles s’adresser ?

Toutes les questions relatives au RGPD peuvent être posées à la CNIL, la CNDP luxembourgeoise ou la CPVP belge. Les guides pratiques, les outils et les feuillets thématiques sont visibles sur leurs sites internet. Voici trois recommandations pour ces entreprises :

L’organisation est essentielle

Les organismes qui traitent des données personnelles, doivent connaître leurs responsabilités. En effet, elles doivent bien évaluer leurs activités vis-à-vis des exigences du RGPD, afin de déterminer les mesures qui s’imposent.

L’anticipation

La conformité doit être assurée en vue d’éviter les sanctions par les autorités de contrôle. Les erreurs des entreprises établies dans l’UE ne doivent pas être commises par celles en-dehors.

L’assistance

Le DPO doit être minutieusement choisi. Pour ses nombreux avantages, il est d’ailleurs préférable d’externaliser cette fonction.