Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Le GDPR s’applique-t-il aux entreprises américaines ?

Depuis sa mise en application en 2018, l’une des questions les plus posées sur le GDPR est la suivante : s’applique-t-il en dehors de l’Union européenne ? Et, plus précisément : s’applique-t-il aux entreprises américaines ?

Dans cet article, nous répondrons à cette question et expliquerons ce que les entreprises américaines doivent faire pour se mettre en conformité (et éviter les amendes !).

Does the GDPR apply to US companies?

Le GDPR s’applique-t-il aux États-Unis ?

Dans la plupart des cas, oui, c’est le cas.

Le GDPR a une portée extraterritoriale, ce qui signifie qu’il peut également s’appliquer en dehors de l’Union européenne. Le règlement vise à protéger les utilisateurs européens, et peut donc s’étendre aux entreprises étrangères également.

Pour être plus précis, pour que le GDPR s’applique à vos entreprises américaines, vous devez remplir au moins l’une des conditions suivantes :

  1. Votre entreprise est basée dans l’UE (veuillez noter que cela s’applique même dans le cas d’une succursale dans l’UE) ;
  2. vous n’êtes pas basé dans l’UE, mais vous offrez des biens ou des services (même gratuitement) aux utilisateurs basés dans l’UE ;
  3. vous n’êtes pas basé dans l’UE, mais vous surveillez le comportement des utilisateurs basés dans l’UE.

Voici un exemple pratique, tiré des lignes directrices du Conseil européen de la protection des données:

Une start-up établie aux États-Unis, sans présence commerciale ni établissement dans l’UE, propose une application de cartographie urbaine pour les touristes. L’application traite les données personnelles concernant la localisation des clients utilisant l’application, afin de proposer une publicité ciblée pour les lieux à visiter, les restaurants, les bars et les hôtels. L’application est disponible pour les touristes lorsqu’ils visitent New York, San Francisco, Toronto, Paris et Rome. La start-up américaine cible spécifiquement les individus dans l’Union (à savoir à Paris et à Rome) en leur offrant ses services lorsqu’ils se trouvent dans l’Union. Le traitement des données à caractère personnel des personnes concernées basées dans l’UE ainsi que l’offre du service entrent dans le champ d’application du GDPR. En outre, en traitant les données de localisation des personnes concernées afin de proposer une publicité ciblée, les activités de traitement concernent également le suivi du comportement des personnes dans l’Union. Le traitement de la start-up américaine entre donc également dans le champ d’application du GDPR.

Pour une explication plus complète, jetez un coup d’œil à cette vidéo.

Comment le GDPR peut-il affecter les entreprises américaines ?

Par conséquent, c’est une erreur de penser que, le GDPR étant un règlement européen, il n’affecte pas du tout les entreprises américaines.

Comme nous l’avons dit plus haut, la portée extraterritoriale peut permettre aux autorités européennes de protection des données d’appliquer le GDPR en dehors de l’Union européenne.

L’application de la loi peut être mise en œuvre de différentes manières.

La plus “effrayante” est sans conteste les amendes : elles peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Mais les autres sanctions potentielles sont peut-être tout aussi préoccupantes : les réprimandes officielles (pour les premières violations), les audits périodiques de la protection des données et les dommages-intérêts en responsabilité.

Exigences du GDPR pour les entreprises américaines : comment s’y conformer ?

Pour que votre entreprise américaine soit en conformité avec le GDPR, voici quelques étapes à suivre :

  1. Avoir une base légale : le GDPR exige que vous ayez au moins une base légale pour traiter les données des utilisateurs.
  2. Acquérir un consentement vérifiable : alors que les législations américaines autorisent généralement la collecte et le traitement des données personnelles sans le consentement de l’utilisateur, le GDPR exige que vous recueilliez un consentement ” librement donné, spécifique, éclairé et explicite ” par une action ” opt-in ” claire.
  3. Conservez des documents clairs relatifs au consentement : le GDPR donne également aux utilisateurs un droit spécifique de retrait du consentement et, par conséquent, il doit être aussi facile de retirer le consentement que de le donner. Étant donné que le consentement au titre du GDPR est une question très importante, il est vital de documenter et de conserver des enregistrements clairs liés au consentement.
  4. Désigner un délégué à la protection des données (DPO) : si vous êtes basé en dehors de l’UE, vous pouvez tout de même avoir besoin d’un représentant européen pour vous assurer que votre entreprise se conforme au GDPR. Cependant, la nomination d’un DPO n’est pas toujours obligatoire, et vous devez répondre à des exigences spécifiques (vous pouvez les lire ici).
  5. Réaliser une analyse d’impact sur la protection des données (DPIA) : lorsque certaines conditions sont remplies, et dans les cas où l’activité de traitement des données est susceptible d’entraîner un risque élevé pour les utilisateurs, le GDPR exige la réalisation d’une analyse d’impact sur la protection des données (DPIA).

Comment iubenda peut vous aider à vous conformer à la GDPR ?

Chez iubenda, nous adoptons une approche globale de la conformité aux lois sur les données. Nous construisons des solutions en gardant à l’esprit les réglementations les plus strictes, en vous donnant toutes les options pour les personnaliser selon vos besoins. De cette façon, nous vous aiderons à respecter vos obligations légales, à réduire votre risque de litige et à protéger vos clients – en renforçant la confiance et la crédibilité.

Vous pouvez consulter notre ensemble de solutions pour la conformité au GDPR ici..

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com