droit.co : données personnelles

FB Juris Avocats

Mon entreprise emploie moins de 250 salariés : suis-je concerné par le RGPD ?

 

Ce seuil, qui ne concerne que la tenue du registre des activités de traitement mentionné à l'article 30 du règlement (on ne parle donc que d'une nouvelle mesure parmi d'autres), n'exonère pas un traitement qui ne serait pas "occasionnel", notamment. En pratique, sa portée devrait être anecdotique, car l'immense majorité des traitements ne sont pas, par définition, "occasionnels".

 

Le texte du règlement n'est pas d'une clarté exemplaire, mais l'on doit comprendre, notamment en lisant la version anglaise, que le caractère non occasionnel est une condition indépendante des autres :

 

"Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10".

 

"The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10".

 

Par exemple, prenons le cas d'un traitement 1) qui ne comporte pas de risque pour les droits et des libertés des personnes concernées et 2) qui ne comprend pas de données visées aux articles 9 et 10 du règlement. Ce traitement est effectué par une organisation qui emploie moins de 250 personnes. Néanmoins, dès lors que ce traitement est permanent et non pas occasionnel, l'obligation de tenir le registre s'applique.

 

En pratique, presque toutes les entreprises font au moins un traitement de données simple pour la gestion des contacts, clients et prospects ; ces données ne sont pas sensibles et avant l'entrée en vigueur du RGPD une déclaration à la CNIL très simple, suivant la norme simplifiée n° 48, s'appliquait. Dès l'entrée en vigueur du RGPD, ces traitements devront être répertoriés dans le registre, sans possibilité d'exemption s'agissant de traitements "habituels".

 

© FB Juris - tous droits réservés          Conditions d'utilisation          Mentions légales          Traceurs