- Au niveau matériel
Le RGPD s’applique à tout traitement de données personnelles, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel qui sont contenues ou pourraient être contenues dans un fichier.
Il NE s’applique par ailleurs PAS aux traitements de données effectués :
- par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
- par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de
poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ; - dans le cadre d’activités hors champs d’action juridique de l’UE ;
- et exceptions.
- Au niveau territorial
Le RGPD s’applique à tout responsable de traitement ou sous-traitant (organisme, entreprise…) :
- qui est établi dans l’Union européenne; et ce, que le traitement en lui-même ait lieu dans l’UE ou non ;
- qui n’est pas établi dans l’UE, pour le traitement de données de personnes concernées qui sont quant à elles dans l’UE, lorsque les activités de traitement concernent :
- soit, l’offre de biens ou services à cette personne,
- soit, la surveillance des comportements de ces personnes concernées pour autant que ce comportement a lieu au sein de l’UE.
En résumé, toute entreprise, association, etc. établie dans l’UE, ou traitant des données personnelles de citoyens européens à des fins d’offre de biens/services ou de surveillance, disposant d’informations contenues dans un fichier ou pouvant l’être et se rapportant à une personne physique identifiée ou identifiable, est concernée par le RGPD.