01 85 73 56 66
Prendre rendez-vous

Qui est concerné par le RGPD ? Guide complet sur le champ d’application

  • RGPD
Sommaire
Résumer ce contenu avec:

Le Règlement général sur la protection des données (RGPD) constitue, depuis 2018, un cadre juridique incontournable pour tous les acteurs qui manipulent des données personnelles. Son objectif principal est de garantir que la collecte, le traitement et l’utilisation des informations personnelles respectent les droits fondamentaux des individus, en particulier ceux des résidents de l’Union européenne. Mais qui doit concrètement se conformer à ces exigences ? La réponse englobe bien plus que les grandes entreprises ; elle concerne une multitude d’organismes publics et privés, quelles que soient leur taille ou leur activité, dès lors qu’ils interviennent dans le traitement de données personnelles.

Quelle est la portée territoriale du RGPD ?

Le champ d’application territorial du RGPD s’avère particulièrement vaste. Il ne se limite pas aux frontières géographiques de l’Union européenne : toute organisation, peu importe sa taille ou son secteur, est concernée dès lors qu’elle traite des données relatives à des personnes situées dans l’UE. Cela vise aussi bien les responsables de traitement que les sous-traitants, y compris certains organismes installés hors d’Europe mais proposant des biens ou services à des citoyens européens.

Ainsi, une entreprise établie en dehors de l’UE peut être assujettie au RGPD si elle cible le marché européen ou surveille le comportement de ses résidents. Cette règle impacte directement les flux internationaux de données et modifie en profondeur la gestion des transferts de données personnelles à l’échelle mondiale.

Quels sont les critères d’applicabilité territoriale ?

Pour déterminer si le RGPD s’applique à une entité, il faut examiner deux grands critères. Le premier : tout organisme public ou privé ayant une présence (siège, succursale ou filiale) dans l’Union européenne et traitant des données personnelles dans ce cadre est automatiquement concerné. Le second : même sans implantation dans l’UE, une organisation entre dans le champ du RGPD si elle cible spécifiquement des résidents européens par la fourniture de biens, de services ou la surveillance de leurs comportements en ligne.

Cette extraterritorialité impose donc aux sociétés étrangères une vigilance accrue lorsqu’elles collectent, stockent ou utilisent des données de personnes européennes. Négliger cette dimension expose à des sanctions financières significatives et à une perte de confiance auprès des partenaires. Pour assurer leur conformité, il est souvent pertinent de faire appel à un avocat spécialisé dans le RGPD afin de sécuriser chaque étape du traitement des données personnelles.

Exemples pratiques du critère de territorialité

Par exemple, un site commercial basé aux États-Unis qui propose la livraison en France ou en Belgique est soumis au RGPD. De même, un organisme canadien qui analyse les habitudes de navigation de visiteurs européens doit respecter toutes les obligations applicables à la collecte, au stockage et à l’analyse des données personnelles de ces personnes.

Il en va de même pour les prestataires techniques chargés d’héberger, sauvegarder ou analyser des bases de données comportant des informations relatives à des résidents de l’Union européenne. Tous ces cas illustrent la portée extraterritoriale du règlement.

Quels types d'organismes sont concernés ?

La législation distingue principalement deux catégories d’acteurs : les responsables de traitement et les sous-traitants. Le responsable de traitement détermine les finalités et les moyens de la collecte et de l’utilisation des données personnelles, tandis que le sous-traitant agit pour le compte d’un autre organisme dans le cadre de ces opérations.

Le RGPD s’applique sans distinction de taille ou de statut. Du grand groupe international à la TPE/PME locale, en passant par l’association bénévole, toute structure procédant à un traitement de données personnelles doit assurer sa conformité. Dans le contexte professionnel, il n'est pas rare de rencontrer des fraudes touchant les dispositifs comme le CPF. En cas de suspicion d'une pratique douteuse, il est recommandé de s'informer sur les démarches à suivre face à une arnaque au CPF, sujet d'actualité pour les organismes et salariés concernés.

Organismes publics et privés

Tous les services de l’administration – locaux, régionaux ou nationaux – doivent appliquer scrupuleusement les règles du RGPD. Sont également concernés les institutions scolaires, hôpitaux, chambres consulaires ou collectivités territoriales gérant des fichiers concernant la population, les agents ou les usagers.

Dans le secteur privé, une grande diversité d’acteurs est impliquée : industries, établissements bancaires, compagnies d’assurances, agences immobilières, sociétés de marketing, fédérations sportives, commerçants en ligne ou encore artisans.

TPE/PME, associations et professions libérales

La taille modeste d’une structure n’exonère jamais de ses obligations. Une simple association sportive collectant les coordonnées de ses membres, ou un cabinet médical informatisant ses rendez-vous, doit appliquer le principe de minimisation des données et veiller à la sécurité des dossiers.

Les professions libérales telles que les avocats, huissiers, experts-comptables ou médecins sont pleinement soumises aux impératifs de confidentialité et de sécurisation imposés par le RGPD.

Sous-traitants et partenaires externes

De plus en plus fréquemment, les responsables de traitement délèguent certaines tâches à des partenaires extérieurs : stockage, sauvegarde, envoi de newsletters… Les sous-traitants doivent alors justifier d’une politique de confidentialité rigoureuse, formaliser contractuellement leur mission et permettre au donneur d’ordre de vérifier leurs garanties, notamment en cas de contrôle.

Voici une liste synthétique des principales catégories concernées :

  • Administrations et collectivités locales
  • Entreprises de toute taille (y compris TPE/PME)
  • Associations, syndicats, fédérations
  • Prestataires techniques effectuant des traitements délégués
  • Professionnels de santé et professions libérales

Que recouvre la notion de « traitement de données personnelles » ?

Dès lors qu’il s’agit d’informations permettant d’identifier directement ou indirectement une personne physique, celles-ci entrent dans le périmètre du RGPD. La notion de donnée personnelle est très large : nom, adresse postale, adresse email, numéro de téléphone, identifiant en ligne, photo, donnée biométrique, opinion, affiliation ou habitude de navigation…

Quant au traitement, il englobe non seulement la collecte initiale, mais toute opération réalisée sur la donnée : organisation, structuration, conservation, consultation, transfert, modification ou suppression. Toute action sur ces éléments relève du RGPD, quel que soit le support ou la technologie utilisée.

Stockage et utilisation de données personnelles

Le stockage consiste à enregistrer ou conserver l’information, sur support numérique ou papier. L’utilisation recouvre tout emploi concret de cette donnée : prise de contact, analyse, segmentation, personnalisation de service ou campagne marketing.

L’article 4 du RGPD détaille l’ensemble des actions constitutives d’un traitement de données personnelles. Voici un tableau récapitulatif pour mieux comprendre :

Catégorie Exemple concret
Collecte Formulaire d’inscription sur un site web
Stockage Enregistrement dans un CRM ou dossier
Usage Analyse statistique des achats clients
Diffusion Partage de données salariées avec un prestataire externe
Destruction Effacement définitif des données obsolètes

Ce tableau illustre que chaque étape de la vie d’une donnée engage la responsabilité de l’organisme qui la manipule.

Quels cas particuliers ou exceptions sont prévus ?

Certaines situations échappent, en tout ou partie, aux règles du RGPD. C’est le cas des traitements domestiques purement personnels : gestion d’un carnet d’adresses familial, échanges sur réseaux sociaux dans un cercle restreint, tant qu’il n’y a pas de diffusion publique ni d’exploitation commerciale.

D’autres exemples existent : les activités judiciaires ou relevant de la sûreté nationale restent placées sous le contrôle spécifique des autorités nationales compétentes, en dehors du champ classique du RGPD. Les archives journalistiques bénéficient également de clauses dérogatoires liées à la liberté d’expression et d’information.

FAQ détaillée sur les obligations RGPD des différents acteurs

Comment savoir si une petite entreprise doit appliquer le RGPD ?

La plupart des TPE/PME sont concernées dès lors qu’elles recueillent, stockent ou utilisent des données concernant des prospects, salariés ou clients européens. Par exemple, conserver une liste de contacts suffit à rendre applicable le RGPD. Quelques situations typiques :

  • Gestion interne de personnel ou de courriels commerciaux
  • Collecte de fiches clients ou prospects
  • Utilisation d’outils numériques hébergés hors UE, traitant des données de résidents européens

Quels sont les risques pour une association qui néglige les règles du RGPD ?

Les associations, au même titre que les entreprises, encourent des sanctions administratives pécuniaires dont le montant varie selon la gravité du manquement :

Type de manquement Montant potentiel
Non-respect basique (absence d’information utilisateur, registre absent) Jusqu’à 2 % du chiffre d’affaires annuel mondial
Violation grave des droits (collecte massive non autorisée, fuite majeure) Jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros
En outre, des conséquences peuvent survenir en termes d’image et de confiance auprès des adhérents ou partenaires institutionnels.

Quels organismes sont exemptés du RGPD ?

Certaines entités ne sont pas soumises au RGPD, essentiellement dans les cas suivants :

  • Traitements domestiques et exclusivement personnels
  • Activités liées à la sûreté intérieure ou extérieure de l’État
  • Fonctions judiciaires spécifiques sous ordonnancement national
À l’exception de ces situations, la majorité des organismes publics et privés manipulant des données personnelles doit respecter la réglementation.

En quoi le RGPD modifie-t-il le rôle des sous-traitants ?

Désormais, les sous-traitants ont des obligations juridiques directes : mise en place de mesures de sécurité adaptées, notification des incidents, tenue d’un registre des activités réalisées pour leurs clients. Leur relation avec le responsable de traitement est strictement encadrée par contrat, comprenant :

  • Description précise des traitements confiés
  • Mise à disposition de procédures permettant l’exercice des droits des personnes concernées
  • Possibilité de réaliser des audits internes ou externes
Le responsable de traitement conserve toutefois la charge de vérifier régulièrement la conformité de son prestataire.

Lire aussi:
  1. La réglementation à respecter en matière de la CNIL pour l’envoi d’emailing
  2. Quel est le rôle de l’avocat dans le process de mise en conformité RGPD ?
  3. Réaliser et gérer un registre rgpd : guide pratique pour la conformité
  4. Rédiger des cgv : modèles pratiques et obligations légales pour une conformité juridique optimale
Image de Maitre Arnaud Touati
Maitre Arnaud Touati
Maître Arnaud Touati est un avocat spécialisé dans les nouvelles technologies, particulièrement reconnu pour son expertise en blockchain, intelligence artificielle et Web 3. Diplômé de l'Université Panthéon-Sorbonne et Panthéon-Assas, il a complété sa formation par un Master of Laws à Northwestern University aux États-Unis. Fondateur de Hashtag Avocats depuis 2015 et de LawForCode depuis 2023, il accompagne plus de 300 startups dans leurs enjeux juridiques digitaux. Inscrit aux barreaux de Paris et Luxembourg, il enseigne également dans plusieurs établissements prestigieux et intervient comme expert en droit de la cryptofinance et régulation du Web 3.

* Les articles publiés sur ce site sont rédigés à titre strictement informatif. Ils ne constituent en aucun cas une consultation juridique, un avis juridique, ni une recommandation personnalisée.

Le cabinet Hashtag Avocats, ses associés et ses collaborateurs ne sauraient être tenus responsables de l’utilisation, de l’interprétation ou des conséquences liées à l’exploitation des informations contenues dans ces articles.

Malgré notre vigilance, nous ne garantissons ni l’exactitude, ni l’exhaustivité, ni la mise à jour des informations diffusées sur ce site. Les textes peuvent contenir des erreurs, des omissions ou devenir obsolètes en raison de l’évolution du droit ou de la jurisprudence.

Les visiteurs sont expressément invités à consulter un avocat qualifié avant de prendre toute décision juridique ou d’entreprendre une démarche sur la base des informations présentes sur ce site.

En aucun cas, Hashtag Avocats, ses associés ou collaborateurs ne pourront être tenus responsables d’un préjudice, direct ou indirect, résultant de l’utilisation du contenu publié sur ce site.

L’accès et la consultation des articles impliquent l’acceptation pleine et entière de cette clause de non-responsabilité.

Comment structurer juridiquement une dao en france ?
  • Propriété intélectuelle
  • web3
Limiter la responsabilité liée à un chatbot IA : stratégies juridiques et enjeux pratiques
  • Propriété intélectuelle
  • intelligence artificielle (iA)
Comment gérer la propriété des contenus générés par une ia ?
  • Propriété intélectuelle
  • intelligence artificelle
Comment encadrer juridiquement l’usage de l’ia en entreprise ?
  • Propriété intélectuelle
  • intelligence artificelle
Le délit d’obstacle à un contrôle DGCCRF : définition, mécanismes et implications juridiques
Le délit d’obstacle à un contrôle DGCCRF : définition, mécanismes et implications juridiques
  • RGPD
  • dgccrf
Qui doit publier au BODACC ? Obligations, acteurs concernés et démarches expliquées
  • Société
  • 51 Av. Franklin Delano Roosevelt, 75008 Paris
equipe hashtag avocats
Prendre rendez-vous
01 85 73 56 66
Parlez-nous de votre besoin

Les données ci-dessus sont recueillies par le cabinet HASHTAG AVOCATS afin de traiter et suivre votre demande de contact. Pour en savoir plus sur la gestion de vos données à caractère personnel et pour exercer vos droits, vous pouvez vous reportez à notre politique de confidentialité.