Que faire lorsque le RGPD (Règlement Général sur la Protection des Données) s'applique à l'étranger ? Explication des méthodes de conformité
Le RGPD (Règlement Général sur la Protection des Données) est un règlement établi par l’UE qui définit la protection et le traitement des données personnelles. Si vous développez des produits ou des services au sein de l’UE, il est possible que le RGPD vous soit applicable. Cependant, il se peut que vous ne sachiez pas si votre entreprise est concernée par le RGPD, et si c’est le cas, ce que vous devriez faire.
Cet article explique la portée d’application du RGPD, les actions à entreprendre si celui-ci s’applique à vous, et les mesures de conformité requises. Vous y trouverez également une section de questions-réponses sur l’application du RGPD, qui pourra certainement vous être utile.
Champ d’application du RGPD
Les conditions d’application du RGPD (Règlement Général sur la Protection des Données) sont définies à l’article 3, intitulé “Champ d’application territorial”. Le champ d’application du RGPD se divise en deux situations : lorsque l’entité dispose d’une base dans l’UE et lorsqu’elle n’en dispose pas.
Le contenu spécifié pour les cas où une base est établie dans l’UE est le suivant :
“S’applique au traitement des données personnelles dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établi dans l’UE, indépendamment du fait que le traitement ait lieu dans l’UE ou non.”
Référence : Commission de protection des données personnelles | “Traduction provisoire en japonais du RGPD[ja]“
Cela signifie que le RGPD s’applique si le responsable du traitement ou le sous-traitant a une base dans l’UE.
| Responsable du traitement | Personne déterminant les finalités et les moyens du traitement des données personnelles |
| Sous-traitant | Personne traitant les données personnelles pour le compte du responsable du traitement |
Lorsqu’il n’y a pas de base dans l’UE, le champ d’application comprend les deux cas suivants :
- Si des biens ou services sont offerts à des personnes se trouvant dans l’UE
- Si le comportement de personnes se trouvant dans l’UE est surveillé
Le RGPD impose des restrictions strictes aux pays hors de l’UE et, pour transférer librement des données, une “décision d’adéquation” est nécessaire. Une décision d’adéquation est une certification décidée après consultation de la Commission européenne, accordée aux pays ou régions qui assurent un niveau de protection suffisant des données personnelles.
Les pays ou régions sans décision d’adéquation doivent suivre des procédures telles que les SCC (Clauses Contractuelles Types) ou les BCR (Règles d’entreprise contraignantes) pour le transfert de données hors de l’UE.
| SCC (Clauses Contractuelles Types) | Dispositions obligatoires à inclure dans les contrats de transfert d’informations |
| BCR (Règles d’entreprise contraignantes) | Politiques pour protéger les données personnelles acquises en dehors de l’Espace économique européen (EEE) et règles pour le partage avec des filiales hors de l’EEE |
La différence avec une décision d’adéquation est qu’il n’est pas nécessaire de suivre des procédures telles que les SCC ou les BCR.
La décision d’adéquation pour le Japon a été annoncée lors du sommet régulier UE-Japon en juillet 2018 (Heisei 30), avec l’engagement de progresser dans la mise en œuvre d’un cadre pour le transfert de données personnelles. Par la suite, le 23 janvier 2019 (Heisei 31), le Japon a reçu une décision d’adéquation, et une annonce a été faite accueillant la décision mutuelle de l’UE et du Japon de reconnaître un niveau de protection équivalent concernant les données personnelles.
Quelles sont les obligations des entreprises soumises au RGPD ?
Les entreprises soumises au RGPD (Règlement Général sur la Protection des Données) doivent s’acquitter des deux obligations suivantes :
- Désigner un représentant situé dans l’UE/UK
- Inclure des informations spécifiques dans leur politique de confidentialité
Nous allons maintenant détailler chacune de ces obligations.
Désignation d’un représentant situé dans l’UE/UK
Conformément à l’article 27 du RGPD, les entreprises qui sont concernées par l’application extraterritoriale du RGPD doivent désigner un représentant situé dans l’Union européenne ou au Royaume-Uni.
Le représentant mentionné ici est une personne désignée par écrit par le responsable du traitement ou le sous-traitant, et qui représente le responsable du traitement ou le sous-traitant en ce qui concerne leurs obligations sous le RGPD.
Toutes les entreprises opérant au sein de l’UE ne sont pas tenues de désigner un représentant. Les entreprises exemptées de cette obligation sont celles pour lesquelles (selon l’article 27 du RGPD) :
- Les activités relevant du champ d’application du RGPD ne sont pas occasionnelles, et ne comprennent pas le traitement à grande échelle de catégories particulières de données ou de données personnelles relatives à des condamnations pénales et à des infractions, et où le traitement, compte tenu de sa nature, de son contexte, de son ampleur et de ses finalités, est peu susceptible de présenter un risque pour les droits et libertés des personnes physiques
- L’entreprise n’est pas une autorité publique ou un organisme public
Référence : Commission de protection des données personnelles | ‘Traduction provisoire en japonais du Règlement Général sur la Protection des Données (RGPD)[ja]‘
Inclusion dans la politique de confidentialité
Les entreprises soumises au RGPD doivent indiquer clairement dans leur politique de confidentialité qu’elles ont désigné un représentant.
Sanctions en cas de non-désignation d’un représentant
Il est impératif de désigner un représentant conformément au RGPD (Règlement Général sur la Protection des Données), faute de quoi des sanctions peuvent être appliquées. Ces sanctions peuvent s’élever jusqu’à 1 000 euros ou 2 % du chiffre d’affaires mondial, selon le montant le plus élevé, comme stipulé à l’article 84, paragraphe 4 du RGPD.
Les missions requises d’un représentant
Lorsque le champ d’application du GDPR (Règlement Général sur la Protection des Données) s’applique, il est en principe nécessaire de désigner un représentant. Mais quelles sont les missions qui incombent à ce représentant ? Nous allons ici détailler les missions d’un représentant.
Traitement des enregistrements selon l’article 30
Les responsables du traitement ou les processeurs situés dans des pays hors de l’UE qui ont un représentant doivent partager leurs registres de traitement avec ce dernier. De plus, le représentant doit conserver ces enregistrements de la même manière que le responsable du traitement (GDPR Article 30).
Les informations qui doivent être enregistrées incluent les éléments suivants :
- Noms et coordonnées du responsable du traitement, du DPO (Délégué à la Protection des Données) et autres.
- Les finalités du traitement.
- Les catégories de personnes concernées et les types de données traitées.
- La durée de conservation.
- La date de suppression.
Le sujet des données est une personne physique identifiée ou identifiable, à qui se rapportent les données personnelles.
En cas de demande de l’autorité de contrôle, ces registres de traitement doivent être rendus accessibles.
Gestion des demandes des sujets de données ou de l’autorité de contrôle
En cas de demande de la part des sujets de données ou de l’autorité de contrôle, le représentant doit agir au nom du responsable du traitement ou du processeur pour répondre aux sujets de données ou à l’autorité de contrôle (GDPR Article 27, paragraphe 3). Par exemple, si une demande est reçue de la part d’un sujet de données, le responsable du traitement doit fournir les informations dans un délai d’un mois (GDPR Article 12, paragraphe 3). De plus, le représentant doit répondre aux demandes de l’autorité de contrôle et coopérer avec elle (GDPR Article 31).
Questions et réponses sur l’application du RGPD
Nous répondrons ci-dessous aux questions fréquemment posées concernant l’application du Règlement Général sur la Protection des Données (RGPD).
Pas de projet d’expansion internationale, mais faut-il se conformer au GDPR ?
En principe, si vous n’avez pas l’intention de vous développer à l’international, il n’est pas nécessaire de se conformer au GDPR (Règlement Général sur la Protection des Données). Cependant, même sans expansion internationale, il est important de faire attention si vous êtes susceptible de collecter des données de personnes se trouvant dans l’UE.
Voici quelques exemples où cela pourrait se produire :
- Vous gérez un site e-commerce et recevez des demandes ou des commandes de personnes dans l’UE
- En naviguant sur votre site, vous collectez des identifiants en ligne de personnes dans l’UE (tels que des adresses IP ou des cookies)
- Vous obtenez des adresses e-mail en répondant aux demandes de personnes dans l’UE
Même si vous collectez des données personnelles de personnes dans l’UE sans le vouloir, cela ne signifie pas nécessairement que vous êtes soumis à la portée géographique du GDPR, donc il n’y a pas d’obligation de se conformer.
Retenez bien que vous devez vous conformer au GDPR uniquement si vous avez une présence dans l’UE ou, même sans présence, si l’une des deux conditions suivantes s’applique :
- Vous fournissez des biens ou des services à des personnes dans l’UE
- Vous surveillez le comportement de personnes se trouvant dans l’UE
Quelles sont les mesures nécessaires lors du lancement d’un site e-commerce transfrontalier ciblant l’UE ?
Lors du lancement d’un site e-commerce transfrontalier ciblant l’intérieur de l’UE, il est possible que vous collectiez des données personnelles des résidents de l’UE. Les informations susceptibles d’être collectées incluent :
- Nom
- Adresse e-mail
- Adresse postale
- Informations de carte de crédit
- Informations d’achat
- Données de localisation
- Adresse IP & ID de Cookie
En collectant ces informations, elles correspondent aux données personnelles définies par le RGPD (Règlement Général sur la Protection des Données), et doivent donc être traitées conformément à ses règles.
Il serait judicieux de commencer par réviser votre politique de confidentialité pour la conformer au RGPD, ainsi que de réviser et publier votre avis de confidentialité.
Article connexe : Points clés pour créer une politique de confidentialité conforme au RGPD ![ja]
Ensuite, suivez les étapes ci-dessous :
- Établir une politique de cookies et obtenir le consentement pour l’utilisation des cookies auprès des premiers visiteurs du site e-commerce
- Obtenir le consentement pour le traitement des données personnelles lors de leur collecte
- Mettre en place des mesures de sécurité pour protéger les données personnelles et prévenir les fuites
- Nommer un représentant
De plus, selon les besoins, révisez les règles internes, créez des manuels pour la conformité au RGPD et réexaminez les contrats avec les sous-traitants.
Quelles sont les différences entre le GDPR et le UK GDPR ?
Le UK GDPR est le Règlement Général sur la Protection des Données du Royaume-Uni. Il a été mis en œuvre le 1er janvier 2021 (2021年1月1日) suite au Brexit. Le GDPR est un règlement de l’UE qui n’est pas applicable au Royaume-Uni.
Le UK GDPR s’applique dans les cas suivants :
- Lorsque des biens ou services sont offerts à des personnes se trouvant au Royaume-Uni
- Lorsque le comportement de personnes se trouvant au Royaume-Uni est surveillé
Si vous développez des activités au Royaume-Uni et dans l’UE, il est nécessaire de se conformer à la fois au GDPR et au UK GDPR.
Résumé : Consultez un expert si vous avez des difficultés avec la portée du GDPR
Si vous avez une base dans l’UE, ou même sans base dans l’UE, si vous “fournissez des biens ou des services à des personnes dans l’UE” ou “surveillez le comportement des personnes”, vous êtes concerné par le champ d’application du GDPR. Les entreprises soumises au GDPR doivent désigner un représentant dans l’UE et indiquer clairement cette information dans leur politique de confidentialité.
Ne pas désigner un représentant peut entraîner de lourdes sanctions financières. Les entreprises qui opèrent ou envisagent de s’étendre dans l’UE doivent se conformer au GDPR en désignant un représentant.
Si vous n’êtes pas sûr que votre entreprise soit concernée par le GDPR, il est conseillé de consulter un expert en droit international.
Présentation des mesures proposées par notre cabinet
Le cabinet d’avocats Monolith est spécialisé en IT, et plus particulièrement dans l’intersection entre Internet et le droit, fort d’une riche expérience dans ces deux domaines. Avec l’expansion croissante des affaires mondiales ces dernières années, la nécessité de contrôles juridiques par des experts devient de plus en plus impérative. Notre cabinet offre des solutions en matière de droit international des affaires.
Domaines d’expertise du cabinet d’avocats Monolith : Affaires internationales et opérations à l’étranger[ja]
Related Articles
Quel est le lien entre les tournois d'e-sport et la 'Loi japonaise sur l'indication des prix des.
General Corporate
Explication de la 'Clôture Additionnelle' dans les Contrats d'Investissement: Méthodes Approprié.
General Corporate
Qu'est-ce que la loi chinoise sur la sécurité des données ? Explication des mesures à prendre po.
General Corporate
Explication de la législation américaine « Super 301 » que les entreprises japonaises doivent co.
General Corporate
Points à noter lors de la vente d'alcool sur une boutique en ligne: Explication de la 'Loi japon.
General Corporate
Comment les choses ont-elles changé avec la révision du Code pénal japonais en 2022 (Reiwa 4)? U.
General Corporate
