Par Prudence Cadio, avocat counsel, et Eva Naudon, avocat collaborateur, LPA-CGR avocats

Pour rappel, les données à caractère personnel désignent toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Quant au responsable de traitement, il s’agit de l’entité qui détermine les moyens et finalités du traitement mis en œuvre, tandis que le sous-traitant renvoie à l’entité qui traite les données à caractère personnel pour le compte du premier (articles 2 et 3 de la loi Informatique et libertés, article 4 du RGDP).

L’application du RGDP, judicieusement repoussée au 25 mai 2018, a permis d’appréhender pendant deux années les nouvelles dispositions qu’il contient, dont les caractéristiques principales peuvent se résumer comme (i) le renforcement considérable des obligations imposées aux responsables de traitement de données à caractère personnel et, nouveauté du texte, à leurs sous-traitants, ainsi que (ii) l’accent mis sur le volet répressif, les sanctions applicables en cas de non-conformité aux dispositions du RGDP ayant été significativement durcies.

Si l’objectif poursuivi par le Règlement est l’harmonisation des législations au sein de l’Union, son rayonnement dépasse de toute évidence la frontière des vingt-sept Etats membres. Certes, les entreprises établies sur le territoire de l’Union, agissant tant en qualité de responsable de traitement que de sous-traitant, sont les premières intéressées par le RGDP. Cette simplicité apparente s’efface toutefois devant la définition du champ d’application territorial du Règlement, qui lui offre un spectre beaucoup plus large.