Le RGPD
Le RGPD s’applique aux traitements de données à caractère personnel dans les deux situations suivantes :
1 – Le responsable du traitement (ou le sous-traitant) est établi dans l’Union européenne, que le traitement ait lieu ou non dans l’Union
Le RGDP est applicable aux traitements de données à caractère personnel effectués dans le cadre des activités des organismes établis (de façon stable) sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
Point de vigilance : L’Inserm devra s’assurer de la conformité au RGPD des traitements de données à caractère personnel mis en en œuvre dans le cadre d’un projet de recherche mené en Guinée, même si aucune donnée n’est traitée en France ou en Europe.
2 – Le responsable du traitement (ou le sous-traitant) est établi en dehors de l’Union européenne mais cible des résidents européens
Afin de garantir aux résidents européens un niveau de protection équivalant quel que soit le lieu de traitement de leurs données, le législateur a doté le RGPD d’un effet extraterritorial (art. 3). Le RGPD s’applique au traitement de données personnelles relatives à des résidents européens même si le responsable de traitement est établi en dehors de l’Union européenne lorsque :
- les activités de traitement concernent l’offre de biens ou services à ces personnes ;
- les activités de traitement concernent la surveillance des comportements de ces personnes concernées, pour autant que ce comportement a lieu au sein de l’Union européenne.
Dans ce cas, le responsable du traitement ou le sous-traitant a l’obligation de désigner par écrit un représentant établi dans un des États membres de l’Union (celui dans lesquels se trouvent les personnes qui font l’objet d’un traitement) auquel les autorités de contrôle et les personnes concernées pourront s’adresser, pour toute question relative au traitement. Cette obligation n’est pas applicable lorsque le responsable du traitement ou le sous-traitant établi hors de l’UE est une autorité publique ou à un organisme public.
Les spécificités nationales
Le chapitre IX de la loi « Informatique et libertés » applicable à la recherche en santé, s’applique en plus du RGPD dès lors qu’une personne concernée par le traitement réside en France, y compris lorsque le responsable de traitement n’est pas établi en France (LIL, art. 5 – 1).
Critères et application du RGPD
Le RGPD s’applique aux traitements effectués dans le cadre des activités du responsable du traitement et du sous-traitant
- Établi sur le territoire de l’Union européenne (critère de l’établissement)
- Établi hors de l’Union européenne mais visant les personnes se trouvant sur le territoire de l’UE pour (critère du ciblage) :
- leur offrir des biens ou des services
- suivre leur comportement au sein de l’UE
Pour la recherche en santé (spécificités nationales),la loi Informatique et libertés s’applique en plus du RGPD (critère de résidence française)
- Dès lors que des résidents français sont concernés
- Que le responsable de traitement soit établi en France ou non