Les bénéfices de la mise en conformité au RGPD pour toutes les entreprises

Suis-je sous la juridiction du RGPD ?

Supposons que vous soyez un développeur d’applications basé aux États-Unis et que vous lanciez un jeu pour mobile. Pour votre jeu, les utilisateurs sont invités à créer un compte. Lors de l’enregistrement, des informations sur l’utilisateur sont demandées, notamment son nom, son âge et son adresse électronique. Ce jeu est disponible sur votre site web ainsi que dans la boutique Google Play Store.

Votre application serait-elle donc soumise au RGPD ?

Peut-être. Ainsi un DPO RGPD serait un atout non négligeable.   Comme votre application collecte des données personnelles de ses utilisateurs (nom, âge et adresse électronique), elle est régie par les lois sur la protection de la vie privée. Comme vous êtes basé aux États-Unis, vous devez vous conformer aux lois américaines sur la protection de la vie privée, telles que la CalOPPA (la CalOPPA protège la collecte de données des résidents de Californie, de manière similaire à la GDPR pour l’UE).   La vraie question est donc de savoir si vous avez des utilisateurs dans l’UE.   Si vous avez lancé votre jeu sur les deux app stores américains et européens, vous devez alors vous conformer au RGPD. Si votre jeu n’est disponible que dans les appstores américains qui ne sont pas accessibles aux utilisateurs internationaux, vous n’avez pas à vous conformer au RGPD.   Toutefois, si votre application a également été mise à disposition sur votre site web et que votre site web est disponible dans le monde entier, vous devez alors vous conformer au RGPD car il est possible que des résidents de l’UE téléchargent et enregistrent leurs informations dans votre jeu.   De même, si vous offrez des services de livraison vers l’UE, mentionnez l’UE sur votre site web ou vendez des produits en monnaie de l’UE, cela sera considéré comme visant les résidents de l’UE et nécessitera donc le respect du RGPD.   Les questions suivantes peuvent vous aider à déterminer si vous êtes sous la juridiction du RGPD :

  • Avez-vous des utilisateurs ou des sujets dans l’UE ?
  • Recueillez-vous ou traitez-vous des données personnelles de ces utilisateurs ou sujets ?
  • Visez-vous les résidents de l’UE ou les résidents de l’UE font-ils partie de votre marché cible ?

Si vous avez répondu oui à l’une de ces questions, vous devez vous conformer pleinement au RGPD.

Dois-je me conformer au RGPD ?

La distinction entre « utilisateurs » et « sujets » dans ce cas est que le RGPD s’applique aussi bien aux entreprises de traitement des données qu’à leur société mère. Cela signifie que, même si votre entreprise est un sous-traitant de données ou un outil tiers sans utilisateurs propres, si vous traitez les données qu’une autre entité a collectées auprès de ses utilisateurs dans l’UE, vous êtes toujours sous la juridiction du RGPD.   Même si ces données ne proviennent pas directement des utilisateurs de votre application ou de votre site web, ils sont les utilisateurs d’une autre application ou d’un autre site web et vous traitez leurs données personnelles en tant que sujets de votre service.   Cette distinction permet d’éviter que des entreprises n’externalisent des services de traitement de données afin de contourner le RGPD, d’où la distinction consistant à s’appliquer à toute entité qui collecte ou traite les données personnelles de résidents de l’UE.

Conclusion

Le champ d’application du RGPD est vaste et touche à la fois les entreprises nationales et internationales. D’où l’importance de se renseigner sur la formation DPO. Que vous collectiez ou traitiez des données personnelles, utilisiez un service tiers qui le fait, ayez peu ou beaucoup d’utilisateurs résidant dans l’UE, ou simplement prévoyiez de vous étendre sur le marché européen à l’avenir, il est logique de se conformer au RGPD pour éviter de lourdes amendes potentielles et des complications futures.   Si votre site web est réellement conçu et destiné strictement à une base d’utilisateurs non européens (comme les États-Unis) et que vous ne collectez ni ne traitez les données des résidents de l’UE, vous n’avez pas besoin de vous conformer au RGPD. Toutefois, à l’ère moderne de l’internet, il est facile d’envoyer et de recevoir des informations partout dans le monde en un clin d’œil, et le RGPD ne laisse pas beaucoup de place à la négociation. Si la question de savoir si vous devez ou non vous conformer au RGPD se pose, il peut être plus sûr de simplement suivre les règlements et de profiter du marché européen.

Un regard vers l’avenir

Même si vous n’êtes pas actuellement tenu de vous conformer au RGPD, il n’y a certainement aucun mal à le faire. Les entreprises qui prévoient de se développer sur le marché européen à l’avenir peuvent choisir de se mettre en conformité dès maintenant, en même temps que celles qui sont tenues de le faire. Il existe actuellement de nombreuses ressources disponibles pour se mettre en conformité avec le RGPD, donc si vous prévoyez de le faire à l’avenir, profiter de ces ressources dès maintenant n’est pas une mauvaise idée.   Vous pouvez également vous attendre à ce que d’autres pays suivent l’exemple de l’UE en actualisant leur propre législation en matière de protection de la vie privée. Le RGPD est le plus moderne et l’un des ensembles de lois sur la protection de la vie privée les plus solides à ce jour, et constitue un bon exemple pour les pays du monde entier.   Il est également intéressant pour les entreprises de se conformer au RGPD, même si elles n’ont pas d’utilisateurs dans l’UE. Le respect du RGPD montre que vous accordez de l’importance à la vie privée de vos utilisateurs et que vous prenez le plus grand soin à protéger leurs droits et leurs informations personnelles, même au-delà des moyens auxquels vous êtes légalement tenu.