Accueil " 4 des erreurs les plus courantes commises par les entreprises américaines en RGPD

1- PREMIÈRE ERREUR DU RGPD ? SUPPOSER QUE LES PETITS VOLUMES DE DONNÉES DE L'UE NE TOMBENT PAS SOUS LE COUP DU RGPD

De nombreuses entreprises américaines ne se rendent pas compte de la quantité de données qu'elles collectent sur les citoyens de l'UE, en particulier dans le cas des visiteurs de sites web.

Les entreprises américaines prétendent souvent qu'elles n'ont qu'un site web et qu'aucune donnée à caractère personnel de l'UE n'est jamais collectée par l'intermédiaire de ce site. Mais en y regardant de plus près, tout visiteur qui arrive sur votre site web est déjà suivi si vous utilisez un logiciel d'analyse tel que Google Analytics.

Google Analytics ou des technologies similaires collectent les adresses IP dès qu'un visiteur arrive sur votre page. De plus, une multitude d'informations sont collectées sur le navigateur de ce visiteur, sa localisation et même ses comportements en ligne - toutes considérées comme des données à caractère personnel au sens du RGPD si ces informations peuvent être identifiées ou liées à une personne physique identifiable. 

En raison de cette collecte systématique de données à caractère personnel, une entreprise américaine ne peut pas faire valoir que les volumes de données à caractère personnel collectées sont faibles, ni que la collecte de données à caractère personnel est occasionnelle. 

2- UNE AUTRE ERREUR DU RGPD ? CONFONDRE LE DPO AVEC LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Les entreprises qui doivent désigner un délégué à la protection des données (DPD) peuvent choisir de nommer une personne au sein de leur entreprise ou d'externaliser la fonction de DPD. Cependant, ce qui n'est pas communément connu, et donc le plus souvent complètement ignoré par les entreprises non européennes, c'est l'obligation de nommer un représentant de la protection des données. Ce n'est pas la même chose !

Les entreprises non européennes qui relèvent du RGPD doivent nommer un représentant de l'UE* dans un État membre de l'UE, qui sera leur point de contact pour les demandes des personnes concernées en Europe et les demandes de renseignements des autorités de contrôle de l'UE.

*Sauf si les exceptions limitées de l'article 27, paragraphe 2, s'appliquent.

3D ERREUR DU RGPD - NÉGLIGER L'OBLIGATION OUBLIÉE DU RGPD

Bien que le RGPD ait une portée extraterritoriale, peu d'attention a été accordée à la manière dont le RGPD devrait être mis en œuvre dans la pratique par les entreprises non européennes.

Si vous n'avez pas entendu parler de l'obligation pour les entreprises non européennes de nommer un représentant de l'UE dans le cadre RGPD , c'est probablement parce que presque tout ce qui a été écrit ou discuté autour du RGPD était centré sur l'Europe. Les entreprises européennes ne sont pas tenues de désigner un représentant de l'UE, car l'article 27 du RGPD ne s'applique qu'aux entreprises situées en dehors de l'UE.

Comme tout a été écrit d'un point de vue européen, y compris les orientations émises par les autorités de protection des données de l'UE, l'obligation de nommer un représentant de l'UE RGPD est tout simplement oubliée.

4ÈME ERREUR DU RGPD : CROIRE QUE LE RGPD NE S'APPLIQUE PAS AU COMMERCE B2B

Si vous traitez des données à caractère personnel qui vous permettent d'identifier directement ou indirectement une personne dans l'UE, vous entrez dans le champ d'application du RGPD. Ainsi, même si vous ne traitez que des noms, des courriels professionnels, des numéros de téléphone professionnels ou des adresses IP, vous devez vous conformer au RGPD. 

Vous n'échapperez au champ d'application du RGPD que si les données que vous traitez se rapportent clairement - et uniquement - à une entreprise (par exemple, le nom de l'entreprise, l'adresse de l'entreprise ou des adresses électroniques générales telles que "info@" et "support@").