Définitions et champ d’application territoriale  

Le règlement définit la notion de donnée personnelle comme « Toute information se rapportant à une personne physique identifiée ou identifiable, et précise que l’on entend par personne physique identifiable toute personne physique pouvant être identifiée directement ou indirectement, notamment par référence à un identifiant (nom, n°identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle, sociale) ».

Le traitement de données personnelles est quant à lui défini comme « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou ensemble de données à caractère personnel ».

En outre, le responsable de traitement est défini comme toute personne physique ou morale qui décide de la création d’un traitement, de sa finalité et de ses moyens de mise en œuvre.

Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Par ailleurs, alors que sous l’empire de la directive de 1995, les dispositions sur la protection des données personnelles s’appliquent quand le responsable de traitement est situé sur le territoire français ou lorsqu’il est situé en dehors du territoire de l’Union mais qu’il recourt à des moyens de traitement situés sur le territoire français ; les dispositions du nouveau règlement prévoient que les dispositions s’appliqueront :

  • lorsque l’établissement d’un responsable de traitement ou de son sous-traitant est situé sur le territoire de l’Union, peu importe que le traitement de données ait lieu au sein de l’Union ou en dehors ;
  • lorsque le responsable de traitement est situé hors de l’Union mais que ses activités de traitement seront liées à l’offre de biens ou de services à des personnes situées dans l’Union, ou liées à l’observation de leur comportement. Dans ce cas particulier, le responsable de traitement situé hors de l’Union aura l’obligation de désigner un représentant, qui lui, sera établi au sein de l’Union.

Ces nouvelles dispositions ont pour effet d’étendre le champ d’application des règles de façon importante, notamment aux entreprises situées en dehors de l’Union Européenne mais ayant une activité dans l’Union Européenne, ou traitant des données de personnes résidants dans l’Union.

L'Equipe

Pour toute demande d'information cabinet_at_jpkarsenty_dot_com