Depuis sa mise en application en 2018, l’une des questions les plus posées sur le GDPR est la suivante : s’applique-t-il en dehors de l’Union européenne ? Et, plus précisément : s’applique-t-il aux entreprises américaines ?
Dans cet article, nous répondrons à cette question et expliquerons ce que les entreprises américaines doivent faire pour se mettre en conformité (et éviter les amendes !).
Dans la plupart des cas, oui, c’est le cas.
Le GDPR a une portée extraterritoriale, ce qui signifie qu’il peut également s’appliquer en dehors de l’Union européenne. Le règlement vise à protéger les utilisateurs européens, et peut donc s’étendre aux entreprises étrangères également.
Pour être plus précis, pour que le GDPR s’applique à vos entreprises américaines, vous devez remplir au moins l’une des conditions suivantes :
Voici un exemple pratique, tiré des lignes directrices du Conseil européen de la protection des données:
Une start-up établie aux États-Unis, sans présence commerciale ni établissement dans l’UE, propose une application de cartographie urbaine pour les touristes. L’application traite les données personnelles concernant la localisation des clients utilisant l’application, afin de proposer une publicité ciblée pour les lieux à visiter, les restaurants, les bars et les hôtels. L’application est disponible pour les touristes lorsqu’ils visitent New York, San Francisco, Toronto, Paris et Rome. La start-up américaine cible spécifiquement les individus dans l’Union (à savoir à Paris et à Rome) en leur offrant ses services lorsqu’ils se trouvent dans l’Union. Le traitement des données à caractère personnel des personnes concernées basées dans l’UE ainsi que l’offre du service entrent dans le champ d’application du GDPR. En outre, en traitant les données de localisation des personnes concernées afin de proposer une publicité ciblée, les activités de traitement concernent également le suivi du comportement des personnes dans l’Union. Le traitement de la start-up américaine entre donc également dans le champ d’application du GDPR.
Pour une explication plus complète, jetez un coup d’œil à cette vidéo.
Par conséquent, c’est une erreur de penser que, le GDPR étant un règlement européen, il n’affecte pas du tout les entreprises américaines.
Comme nous l’avons dit plus haut, la portée extraterritoriale peut permettre aux autorités européennes de protection des données d’appliquer le GDPR en dehors de l’Union européenne.
L’application de la loi peut être mise en œuvre de différentes manières.
La plus “effrayante” est sans conteste les amendes : elles peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Mais les autres sanctions potentielles sont peut-être tout aussi préoccupantes : les réprimandes officielles (pour les premières violations), les audits périodiques de la protection des données et les dommages-intérêts en responsabilité.
Pour que votre entreprise américaine soit en conformité avec le GDPR, voici quelques étapes à suivre :
Chez iubenda, nous adoptons une approche globale de la conformité aux lois sur les données. Nous construisons des solutions en gardant à l’esprit les réglementations les plus strictes, en vous donnant toutes les options pour les personnaliser selon vos besoins. De cette façon, nous vous aiderons à respecter vos obligations légales, à réduire votre risque de litige et à protéger vos clients – en renforçant la confiance et la crédibilité.
Vous pouvez consulter notre ensemble de solutions pour la conformité au GDPR ici..