La réponse est oui.
Toute personne morale est soumise au RGPD.
Par contre, si la société a moins de 250 personnes, si elle ne travaille pas sur des données sensibles ou sur un large éventail de personnes alors elle est soumise à moins d’obligations, en particulier elle n’a pas à nommer obligatoirement un DPD.
Article 2 : Champ d’application matériel
1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué:
|
a) |
dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; |
|
b) |
par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne; |
|
c) |
par une personne physique dans le cadre d’une activité strictement personnelle ou domestique; |
|
d) |
par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. |
3. Le règlement (CE) no 45/2001 s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.
4. Le présent règlement s’applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires.