RGPD10 min de lectureMis à jour mars 2026

Qui doit se conformer au RGPD ? Comprendre l'applicabilité

L'une des questions les plus fréquentes des entreprises en croissance est de savoir si le RGPD s'applique à leurs activités. Le règlement a une portée large, et comprendre où se situe votre organisation aide à déterminer la bonne approche de conformité.

Alban Veauté

•

Security Engineer

Alban is a security engineer at Bastion with deep expertise in information security, SOC 2, and ISO 27001. He also specializes in data protection and privacy compliance, including GDPR requirements, and helps companies build robust security programs.

SOC 2ISO 27001GDPRCyber Essentials

Points clés

Point	Résumé
3 déclencheurs	Établissement dans l'UE, offre de biens/services à l'UE, surveillance d'individus européens
La localisation n'importe pas	Une entreprise américaine avec des utilisateurs européens doit se conformer
Indicateurs de ciblage	Langues européennes, prix en euros, livraison vers l'UE, marketing européen
La surveillance inclut	Analytics web, cookies, tracking comportemental sur les visiteurs européens
Représentant UE	Les entreprises hors UE doivent désigner un représentant dans l'UE (Article 27)
Les exemptions sont rares	Seules les entreprises véritablement domestiques sans aucune portée européenne sont exemptées

Réponse rapide : Le RGPD s'applique si vous : (1) avez des opérations dans l'UE, (2) offrez des biens/services à des résidents européens, ou (3) surveillez le comportement d'individus européens. La localisation de votre entreprise n'importe pas : si vous avez des utilisateurs européens, le RGPD s'applique.

Trois déclencheurs d'applicabilité du RGPD

Le RGPD s'applique généralement aux organisations répondant à l'un de ces critères :

1. Établissement dans l'UE
Les organisations ayant une présence physique dans un pays de l'UE/EEE (incluant bureaux, filiales ou employés à distance) sont généralement concernées.

2. Offre de biens ou services à des résidents européens
Les indicateurs incluent des sites web disponibles en langues européennes, des prix affichés en euros, des options de livraison vers des pays de l'UE, ou du marketing ciblant des audiences européennes.

3. Surveillance du comportement d'individus européens
Cela inclut le tracking des visiteurs web depuis l'UE, l'utilisation de cookies ou analytics sur des utilisateurs européens, ou le profilage comportemental de résidents européens.

Scénarios d'applicabilité détaillés

Scénario 1 : Vous avez des opérations dans l'UE

Si votre startup a une présence physique dans l'UE, le RGPD s'applique automatiquement.

Présence UE	RGPD applicable
Siège social dans l'UE	Oui
Bureau dans l'UE	Oui
Employés à distance dans l'UE	Oui
Entité enregistrée dans l'UE	Oui
Utilisation d'un data center UE uniquement	Dépend d'autres facteurs

Scénario 2 : Vous offrez des services à des résidents européens

Même sans présence dans l'UE, cibler des clients européens déclenche le RGPD :

Indicateurs de ciblage de l'UE :

Site web disponible en langues européennes (français, allemand, espagnol, etc.)
Prix affichés en euros (€)
Options de livraison vers des pays de l'UE
Moyens de paiement spécifiques à l'UE
Campagnes marketing ciblant des audiences européennes
Sélection de pays incluant des nations de l'UE
Références à des clients ou utilisateurs européens

Scénario 3 : Vous surveillez le comportement européen

Si vous trackez ou profilez des individus européens en ligne, le RGPD s'applique :

Activité de surveillance	RGPD applicable
Google Analytics sur visiteurs européens	Oui
Cookies trackant des utilisateurs européens	Oui
Publicité comportementale vers l'UE	Oui
A/B testing avec des utilisateurs européens	Oui
Heat maps/enregistrement de sessions	Oui
Retargeting de visiteurs européens	Oui

La taille de l'entreprise compte-t-elle ?

Le RGPD s'applique quelle que soit la taille de l'entreprise, bien que certaines exigences de documentation soient réduites pour les petites organisations.

Exigences fondamentales (toutes les organisations)

Base légale pour le traitement
Politique de confidentialité et transparence
Respect des droits des personnes concernées
Mesures de sécurité
Notification de violation

Exigences de documentation réduites (<250 employés)

Les organisations de moins de 250 employés peuvent avoir des exigences réduites de Registre des activités de traitement (ROPA) sauf si elles :

Traitent des données présentant un risque pour les droits et libertés des individus
Traitent des données plus qu'occasionnellement
Traitent des données de catégories particulières (santé, origine ethnique, religion, etc.)
Traitent des données relatives aux condamnations pénales

En pratique : La plupart des entreprises en croissance maintiennent quand même une documentation complète. Les business SaaS, les opérations marketing et toute organisation avec une base d'utilisateurs traitent généralement des données assez régulièrement pour que les exigences réduites ne s'appliquent pas.

Applicabilité par secteur

Secteur	Déclencheurs RGPD typiques
SaaS	Comptes utilisateurs, analytics, cookies
E-commerce	Commandes clients, données de paiement, adresses de livraison
Marketing Tech	Pixels de tracking, listes email, données comportementales
Santé	Données patients (catégorie particulière)
HR Tech	Données employés, données de recrutement
Fintech	Données financières, vérification d'identité
EdTech	Données étudiants, potentiellement données d'enfants

La question du B2B

Une question courante des entreprises B2B : "Nous vendons uniquement à des entreprises, pas à des consommateurs. Le RGPD s'applique-t-il ?"

La réponse est généralement oui. Le RGPD protège les individus plutôt que de distinguer entre contextes consommateur et business :

Les adresses email professionnelles (jean.dupont@entreprise.com) sont des données personnelles
Les bases de contacts B2B contiennent des données personnelles
Les informations des employés de vos clients sont des données personnelles
Les freelances et prestataires individuels sont protégés

Considérations géographiques

Le Royaume-Uni après le Brexit

Le Royaume-Uni a son propre UK GDPR qui reflète le RGPD européen avec des différences mineures :

Aspect	RGPD UE	UK GDPR
Âge de consentement	16 ans	13 ans
Autorité de contrôle	DPAs nationales	ICO
Transferts	Le UK est "adéquat"	L'UE est "adéquate"

Note sur l'adéquation UK : L'UE a accordé au Royaume-Uni une décision d'adéquation en juin 2021 (Décision d'exécution (UE) 2021/1772), mais elle inclut une clause de caducité nécessitant une révision périodique. La période d'adéquation initiale était fixée à quatre ans, la Commission européenne évaluant si le Royaume-Uni continue de fournir une protection adéquate. Les organisations transférant des données entre l'UE et le UK devraient surveiller les mises à jour sur le renouvellement ou tout changement du statut d'adéquation. De plus, cette reconnaissance est asymétrique : le Royaume-Uni reconnaît séparément et unilatéralement l'adéquation de l'UE pour les transferts dans l'autre sens.

Impact pratique : Si vous servez à la fois le UK et l'UE, conformez-vous aux deux frameworks (exigences très similaires).

Entreprises américaines

Les startups basées aux États-Unis doivent se conformer au RGPD si elles :

Ont des clients ou utilisateurs dans l'UE
Font du marketing vers des audiences européennes
Utilisent des analytics trackant des visiteurs européens
Traitent des données d'employés européens

Exigence de représentant UE (Article 27)

Les organisations hors UE soumises au RGPD ont une obligation supplémentaire : désigner un représentant au sein de l'UE.

Qui a besoin d'un représentant UE ?

Selon l'article 27, les responsables de traitement ou sous-traitants non établis dans l'UE mais soumis au RGPD doivent désigner un représentant dans un État membre de l'UE où se trouvent leurs personnes concernées. Ce représentant sert de point de contact local pour les autorités de contrôle et les personnes concernées.

Type d'organisation	Représentant UE requis ?
Entreprise US avec clients européens	Oui
SaaS canadien servant des utilisateurs européens	Oui
Entreprise UK post-Brexit servant l'UE	Oui
Entreprise avec filiale dans l'UE	Non (déjà établie dans l'UE)

Exceptions à l'exigence

Un représentant n'est pas requis si :

Le traitement est occasionnel et n'inclut pas de traitement à grande échelle de données de catégories particulières ou de données relatives aux condamnations pénales, et est peu susceptible d'entraîner un risque pour les droits et libertés des individus
L'organisation est une autorité ou organisme public

Important : Le "traitement occasionnel" est interprété de manière restrictive. Les opérations régulières comme maintenir une base clients, envoyer des emails marketing ou faire tourner des analytics web ne sont généralement pas considérées comme occasionnelles.

Implications pratiques pour les startups

Pour les startups hors UE, l'exigence de représentant UE signifie :

Identifier où se trouvent vos personnes concernées européennes - Votre représentant devrait être dans l'un de ces États membres
Budgéter pour les services de représentation - Des services de représentation tiers sont disponibles, coûtant généralement 2 000 à 10 000 €+ par an selon le périmètre
Inclure les coordonnées du représentant dans votre politique de confidentialité - Le RGPD exige de divulguer les coordonnées de votre représentant
Comprendre les implications de responsabilité - Le représentant peut faire l'objet de procédures d'exécution pour le compte du responsable/sous-traitant

Responsabilité du représentant	Description
Point de contact pour les DPAs	Reçoit les communications des autorités de contrôle
Point de contact pour les personnes concernées	Traite les demandes relatives aux droits
Maintien des registres de traitement	Conserve une copie des registres d'activités de traitement
Coopération avec les autorités	Assiste lors des enquêtes si nécessaire

Checklist d'auto-évaluation

Utilisez cette checklist pour déterminer si le RGPD s'applique :

Opérations business

Avez-vous des bureaux, employés ou prestataires dans l'UE ?
Votre entreprise est-elle enregistrée dans un pays de l'UE ?
Avez-vous des serveurs ou data centers dans l'UE ?

Base clients/utilisateurs

Avez-vous des clients dans des pays de l'UE ?
Les résidents européens peuvent-ils s'inscrire à votre service ?
Livrez-vous des produits vers l'UE ?
Votre site web est-il accessible depuis l'UE ?

Marketing et ventes

Votre site web est-il disponible en langues européennes ?
Affichez-vous des prix en euros ?
Menez-vous des campagnes marketing ciblant l'UE ?
Avez-vous des contacts européens dans votre CRM ?

Technologie

Utilisez-vous des analytics qui trackent des visiteurs européens ?
Votre site web utilise-t-il des cookies ?
Utilisez-vous du retargeting/remarketing ?
Collectez-vous des données de visiteurs européens ?

Si vous avez répondu "Oui" à l'une de ces questions, le RGPD s'applique probablement à votre startup.

Quand l'applicabilité est incertaine

Pour les organisations où l'applicabilité du RGPD n'est pas immédiatement claire, pencher vers la conformité fait souvent sens. Le coût de construire de bonnes pratiques de protection des données est généralement bien inférieur à :

Les sanctions réglementaires potentielles (jusqu'à 20M€ ou 4 % du CA mondial)
Les dommages réputationnels liés à la non-conformité
Les opportunités business perdues avec des clients qui exigent la conformité RGPD de leurs fournisseurs

Planifier l'applicabilité future

Même si le RGPD ne s'applique pas clairement aujourd'hui, les organisations bénéficient souvent de considérer la conformité tôt si elles prévoient de :

S'étendre aux marchés européens
Embaucher des employés dans des pays de l'UE
Accepter des clients européens
Lever des fonds auprès d'investisseurs européens

Intégrer les considérations de vie privée dans vos opérations dès le départ tend à être significativement plus facile que de retrofit les exigences de conformité plus tard.

Comment Bastion peut vous aider

Déterminer l'applicabilité du RGPD et planifier la bonne approche de conformité nécessite de comprendre à la fois la réglementation et le contexte spécifique de votre business. Notre équipe aide les organisations à naviguer ces questions efficacement.

Service	Comment nous aidons
Évaluation d'applicabilité	Revue experte de votre situation spécifique et de vos flux de données
Analyse des écarts	Identification claire de ce qui est nécessaire pour la conformité
Développement de roadmap	Plan priorisé avec des jalons réalistes
Support continu	Aide pour rester conforme à mesure que votre business et les réglementations évoluent

Travailler avec des partenaires expérimentés apporte une expertise supplémentaire pour gérer la complexité, contribuant à s'assurer que votre approche de conformité est complète et appropriée à votre situation.

Des questions sur vos obligations RGPD ? Parlons-en →

← PrécédentQu'est-ce que le RGPD ? Guide complet pour les startups Suivant →Les 7 principes du RGPD : fondements de la protection des données

Retour aux guides RGPD

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company