Écrit par Ruth E. Promislow, Michael R. Whitt and Archana Ravichandradeva

Le Règlement général sur la protection des données (RGPD) de l’Union européenne entrera en vigueur le 25 mai 2018. Ce nouveau règlement remplace substantiellement la loi actuelle sur la protection des données (Directive 95/46/CE) et apportera des changements importants à la nature de la protection des données et de la vie privée dans son ensemble dans la région, dans l’intention de créer une stratégie de protection des données encore modernisée et harmonisée. 

Si vous menez ou envisagez de faire des affaires dans l’Union européenne, ce nouveau règlement devrait être sur votre radar.

Votre organisation est-elle soumise au RGPD ?

• Le RGPD s’applique si un responsable du traitement (organisation qui collecte des données auprès de sujets de l’UE) ou un sous-traitant (organisation qui traite les données pour le compte du responsable du traitement, tel que les fournisseurs de services cloud) ou la personne concernée (personne) est basé dans l’UE.
• Le RGPD s’applique aux organisations qui ont des « établissements » de l’UE, où les données personnelles sont traitées « dans le cadre des activités » d’un tel établissement. Il s’agit d’un vaste test flexible qui englobe un large éventail d’activités commerciales. Une organisation peut être « établie » lorsqu’elle exerce « toute activité réelle et efficace, même minimale » dans l’UE. Même avoir un représentant dans l’UE, ou avoir un bureau de vente pour promouvoir et commercialiser des biens et des services aux résidents de l’UE peut être suffisant pour engager le RGPD.
• Même les organisations non établies doivent prendre en compte et se préparer au RGPD si elles s’engagent dans le traitement des données personnelles des sujets de l’UE, en particulier si ces données seront utilisées pour surveiller le comportement du sujet dans l’UE ou générer des profils des « préférences, comportements et attitudes » des utilisateurs.
• Le règlement s’applique également lorsque des biens ou des services sont intentionnellement offerts à des personnes concernées dans l’UE, en particulier la commercialisation de ces biens et services auprès des citoyens de l’UE, en utilisant la monnaie généralement utilisée dans un ou plusieurs États de l’UE, ou en permettant aux clients d’acheter des biens dans une langue généralement utilisée dans un ou plusieurs États de l’UE.

Quelles Sont Les ConséquenceS?

• Les entreprises soumises au RGPD seront tenues de respecter certaines normes de protection et de gestion des données. Certaines infractions seront passibles d’amendes administratives allant jusqu’à 10 000 000 € ou 2% du chiffre d’affaires annuel mondial de l’année précédente, selon le montant le plus élevé.
• D’autres infractions entraînent des amendes allant jusqu’à 20 000 000 000 € ou 4% du chiffre d’affaires mondial de l’année précédente. Ces frais doivent être facturés au cas par cas.

Si vous souhaitez en savoir plus sur l’impact potentiel du RGPD sur votre entreprise, les membres de notre Bennett Jones L’équipe de cybersécurité peut vous aider et, le cas échéant, vous diriger vers des conseils européens expérimentés.