Objet et objectifs du GDPR
1 Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2 Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection des données à caractère personnel.
3. la libre circulation des données à caractère personnel au sein de l’Union ne doit pas être restreinte ou interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Champ d’application matériel du GDPR
1. Le présent règlement s’applique aux traitements entièrement ou partiellement automatisés, ainsi qu’aux traitements de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. le présent règlement ne s’applique pas au traitement des données à caractère personnel :
(a) dans le cadre d’activités ne relevant pas du champ d’application du droit de l’Union ;
(b) par les États membres lorsqu’ils exercent des activités relevant du champ d’application de l’UE ;
(c) par une personne physique dans le cadre d’une activité purement personnelle ou domestique ;
(d) par les autorités compétentes aux fins de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales ou de l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces
3 Le règlement (CE) n° 45/2001 s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) n° 45/2001 et les autres actes juridiques de l’Union applicables à ce traitement de données à caractère personnel sont adaptés aux principes et règles du présent règlement conformément à l’article 98.
4 Le présent règlement est sans préjudice de l’application de la directive 2000/31/CE, et notamment des règles des articles 12 à 15 de cette directive concernant la responsabilité des prestataires de services intermédiaires.
Champ d’application territorial de la législation GDPR
1 Le présent règlement s’applique au traitement des données à caractère personnel dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union, que le traitement ait lieu ou non dans l’Union.
Ainsi, dès qu’une organisation dispose d’un établissement dans l’Union, le GDPR s’applique. Que la transformation ait lieu ou non dans l’Union !
Exemple : Microsoft, Facebook ont une filiale européenne, le paragraphe 1 s’applique donc. Twitter et Google n’ont pas cette possibilité, d’où la présence d’un membre ?
2. Le présent règlement s’applique au traitement de données à caractère personnel de personnes concernées situées dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque le traitement est lié :
(a) offrir des biens ou des services à ces personnes concernées dans l’Union, que les personnes concernées exigent ou non un paiement ; ou
(b) surveiller leur comportement, dans la mesure où ce comportement a lieu dans l’Union.
Ils doivent cependant désigner un représentant dans l’Union (art. 27).
3 Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union, mais dans un lieu où le droit des États membres est applicable en vertu du droit international public.
Exemple : traitements effectués par les consulats et autres établissements diplomatiques des États membres de l’Union, en dehors de l’Union
