Eclaircissements sur l’application du RGPD pour les firmes suisses
Des lignes directrices publiées par le Comité Européen de la Protection des Données (CEPD), viennent éclaircir les critères d’applications du RGPD pour les entreprises non-européennes.
On y voit un peu plus clair sur l’application du RGPD pour les entreprises non-européennes. Le Comité Européen de la Protection des Données (CEPD) a adopté de nouvelles lignes directrices sur ce sujet, qui doivent encore être validées. Via plusieurs exemples concrets, le document apporte notamment des éclairages sur le champs d’application du RGPD pour les entreprises extra-européennes disposant néanmoins d’une présence dans l’UE ou susceptibles d’avoir une clientèle de l’Union. Contacté par la rédaction, le juriste François Charlet explique: «Dès que l’un de ces deux critères est rempli, le RGPD est applicable. Toutefois, le cas des entreprises ayant un établissement dans l’UE reste compliqué à appréhender.»
Ciblage explicite ou non?
Les lignes directrices du CEPD sont plus claires concernant des entreprises ou institutions qui ont une clientèle européenne sans être présentes dans l’UE. Le document donne plusieurs exemples, dont celui d’une université à Zurich, qui ouvre les candidatures à un Master en mettant à disposition une plateforme en ligne pour récolter les coordonnées des candidats et télécharger leurs CV et lettres de motivation. Le processus de sélection est ouvert à tout étudiant possédant un niveau suffisant d'allemand et d'anglais et titulaire d'un diplôme de Bachelor. L'Université ne fait pas de publicité spécifique pour les étudiants dans les universités de l'UE et n'accepte que les paiements en francs suisses. Selon les lignes directrices, le RGPD ne s’appliquerait dès lors pas, vu que l’institution ne cible pas de façon explicite et spécifique les citoyens de l’UE, résume François Charlet, qui sur son blog consacre un billet à ces lignes directrices.
Pas d’application non plus dans le cas d’une chaîne d'hôtels en Afrique du Sud, offrant des forfaits sur son site web, disponible en anglais, allemand, français et espagnol. La société n'ayant ni bureau, ni représentation, ni arrangement stable dans l'UE. Un exemple qui rassurera sans doute bon nombre de petites sociétés suisses actives dans le tourisme.
Pour en savoir plus, François Charlet recommande aussi aux entreprises de consulter le document du CEPD qui fourmille d’exemples concrets.
