Périmètre d’application de la RGPD

Module : Module 1 : RGPD vs Lois Africaines – Harmoniser les Pratiques • Cours : E-Learning : Expert Conformité RGPD

Le RGPD est applicable à toute organisation traitant des données de résidents de l’UE suivant l’Article 3 du RGPD (Règlement (UE) 2016/679) qui définit son champ d’application territorial, y compris pour les organisations hors UE traitant des données de résidents européens :

« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement du responsable du traitement ou du sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

Et
« Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, que cela suppose ou non un paiement de la part de ces dernières ;
b) au suivi de leur comportement, dans la mesure où ce comportement se déroule dans l’Union. »

Les conséquences de ces dispositions :

Le RGPD s’applique à toute organisation établie dans l’UE, même si le traitement des données a lieu hors d’Europe.
Le RGPD s’applique aussi aux organisations non établies dans l’UE si elles :
- Vendent des biens/services à des résidents de l’UE (gratuit ou payant),
- Surveillent le comportement de personnes dans l’UE (ex. : publicité ciblée via le suivi en ligne).

C’est l’article fonde l’extraterritorialité du RGPD. Une entreprise basée aux États-Unis, en Chine ou en Afrique doit respecter le RGPD dès lors qu’elle cible ou surveille des utilisateurs européens. C’est pourquoi des géants comme Google, Meta ou Amazon sont soumis au RGPD malgré leur siège hors d’Europe.

Les principes clés de la RGDP

3 Principes clés : consentement explicite, droit à l’oubli, portabilité des données.

Principe clé	Article RGPD	Extrait du texte officiel	Obligations concrètes
Consentement explicite	Article 7	« Lorsque le traitement est fondé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti au traitement de ses données à caractère personnel. » (Art. 7(1)).	– Obtenir un consentement actif (case à cocher non pré-cochée, signature, etc.). – Documenter le consentement (traçabilité). – Permettre un retrait facile (lien de désabonnement, formulaire de retrait). – Séparer le consentement des CGU (pas de consentement « global »). – Informer clairement sur l’usage des données.
Droit à l’oubli	Article 17	« La personne concernée a le droit d’obtenir […] l’effacement de données à caractère personnel la concernant […] lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées. » (Art. 17(1)(a)).	– Supprimer les données sous 30 jours maximum. – Informer les sous-traitants et tiers de la suppression. – Vérifier les exceptions (obligation légale de conservation, liberté d’expression). – Mettre en place un processus simple (formulaire en ligne, contact dédié).
Portabilité des données	Article 20	« La personne concernée a le droit de recevoir les données à caractère personnel la concernant qu’elle a fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine. » (Art. 20(1)).	– Fournir les données dans un format standard (CSV, JSON, XML). – Transférer directement les données à un autre responsable si techniquement possible. – Ne pas inclure les données déduites (ex. : algorithmes internes). – Garantir la sécurité lors du transfert.

Explications des principes :

Consentement explicite (Art. 7)

Exemple concret: Un site e-commerce européen doit demander séparément le consentement pour :
- L’envoi de newsletters,
- Le partage des données avec des partenaires publicitaires,
- Le stockage des cookies non essentiels. Sanctions: En cas de consentement non valide (ex. : case pré cochée), l’entreprise risque une amende (jusqu’à 4% du CA mondial).

Droit à l’oubli (Art. 17)

Cas d’application:
- Un utilisateur supprime son compte sur un réseau social → l’entreprise doit effacer ses données et exiger des partenaires (annonceurs par exemple) qu’ils fassent de même.
- Exception : Conservation des données pour preuve d’une transaction (ex. : facture).

Portabilité des données (Art. 20)

Usage pratique:
- Un utilisateur veut migrer ses playlists Spotify vers Apple Music → Spotify doit lui fournir un fichier structuré listant ses musiques préférées.
- Un service cloud doit permettre l’export des documents stockés en un clic.

En conclusion il est recherché les éléments suivants :

Transparence: Les entreprises doivent être capables de justifier chaque traitement de données.
Technique: Investissement dans des systèmes de gestion des données (outils de suppression, formats exportables).
Juridique: Risque de litiges si les processus ne sont pas conformes (ex. : plaintes via les autorités nationales comme la CNIL en France).

← Leçon précédente Connectez-vous pour suivre votre progression. Passer le quiz de la leçon Continuer vers la leçon suivante →