Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne concernant le traitement des données à caractère personnel. Il est en application depuis le 25 mai 2018. C’est un règlement européen et donc, contrairement à une directive, Il s’applique de droit sans aucune transposition dans les droits nationaux des pays de l’Union.
Le RGPD s’applique à toute entreprise traitant des données privées de personnes sur le territoire de l’Union (résidents ou non) mais il s’étend également aux données traitées hors du territoire européen dans certaines conditions. Il est donc tout à fait novateur et constitue un premier pas vers la souveraineté européenne de la gestion des données personnelles dans le cadre de leurs activités marchandes par exemple.
Ce texte va cependant plus loin que certains peuvent le penser et il est en train de révolutionner la manière dont les multinationales du numérique doivent désormais gérer le flux des données personnelles qu’elles collectent.
En effet, le champ d’application du RGPD inclut le principe d’extraterritorialité. Si l’’article 3 du Règlement s’applique aux responsables de traitement des données et à leurs sous-traitants établis dans l’UE, Il s’applique également sous certaines conditions à ceux établis hors de l’EU.
Pour que le RGPD s’applique, deux critères à retenir :

• le lieu d’établissement du responsable du traitement des données et/ou celui
  de son sous-traitant
  et/ou
• Celui du lieu de situation des personnes concernées par le traitement.

En conséquence, si le responsable du traitement et/ou ses sous-traitants sont établis dans l’UE, alors le règlement s’applique de plein droit que le traitement ait lieu ou non dans l’UE.
Si le responsable du traitement des données et/ou ses sous-traitants sont établis hors de l’UE mais que leur activité concerne « l’offre de biens ou de services ou la surveillance des comportements »de personnes sur le territoire européen, alors le règlement s’applique également.

Sans aucune discussion possible, les entreprises qui ne sont pas implantées dans l’UE peuvent donc relever du champ d’application du RGPD si elles proposent des biens ou des services à des particuliers dans l’UE.

On peut donc en déduire que toute personne se trouvant sur le territoire de l’UE dont les données personnelles sont traitées, est protégée par le RGPD. En revanche une personne qui se trouve hors de l’UE n’est pus protégée par le RGPD, à moins que ses données personnelles ne soient traitées par une société exerçant sur le sol européen.
Le RGPD s’applique donc bien dans l’UE et en dehors de l’UE, les instances européennes tirant profit du principe de l’extraterritorialité ce qui était pour l’instant l’apanage des USA. L’Europe ne s’est pas cependant autorisée à pouvoir fouiller les données de citoyens non européens, résidents hors de l’Union.