EUGDPR : The EU General Data Protection Regulation

Le 25 mai 2018 entrera en vigueur le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD ou « GDPR » en anglais).

Ce règlement remplace la loi « informatique et libertés », impose de nouvelles contraintes et règles, fixe des vraies sanctions et détermine finalement une nouvelle manière de traiter les données personnelles.

Il ne reste que peu de temps pour que chacun en Europe se mette en conformité avec le GDPR dans les meilleurs délais.

Le GDPR ne s’applique pas aux activités hors droit de l’Union européenne (activités régaliennes, comme les services de renseignement) ou de la PESC (Politique Européenne de Sécurité Commune), ni dans le cadre des activités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

La territorialité de l’application du GDPR repose sur les principes suivants :

  • le GDPR s’applique aux traitements des données réalisés par un responsable du traitement ou un sous-traitant situé sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ;
  • le GDPR s’applique aussi aux traitements de données relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes concernées dans l’Union (qu’un paiement soit exigé ou non), soit au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.