Article 27 du RGPD

Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 1 - obligations générales »  article 27

  1. Lorsque l’article 3, paragraphe 2, s’applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l’Union.
  2. L’obligation prévue au paragraphe 1 du présent article ne s’applique pas :
    • a) à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou
    • b) à une autorité publique ou à un organisme public;
  3. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi.
  4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du présent règlement.
  5. La désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Article 27 du RGPD : Ce qu'il faut comprendre

L’article 27 du RGPD concerne les situations où une entreprise ou un sous-traitant basé en dehors de l’Union européenne (UE) traite les données personnelles de personnes situées dans l’UE. Dans ce cas, l’entreprise ou le sous-traitant doit désigner un représentant dans l’UE, qui servira de point de contact pour les autorités de contrôle et les personnes concernées.

Exemptions

Cette obligation ne s’applique pas si :

a) Le traitement des données est occasionnel, ne concerne pas de données sensibles (comme les données de santé) ou des condamnations pénales, et n’engendre pas de risques importants pour les droits des personnes concernées.

b) L’entité est une autorité publique ou un organisme public.

Rôle du représentant

Le représentant doit être situé dans un des États membres où résident les personnes concernées, et il est mandaté pour traiter les questions liées à la protection des données. Ce représentant peut être contacté par les autorités ou les personnes concernées, à la place ou en plus du responsable du traitement situé en dehors de l’UE.

Responsabilité juridique

Même si un représentant est désigné, cela ne signifie pas que le responsable du traitement ou le sous-traitant basé en dehors de l’UE échappe à toute responsabilité légale. Des actions en justice peuvent toujours être intentées contre eux.

Article 27 du RGPD – Exemples concrets

  • Exemple 1 : Entreprise américaine vendant des produits en Europe
    Une entreprise américaine qui vend des produits en ligne à des clients européens doit désigner un représentant dans l’UE pour gérer les questions liées à la protection des données personnelles (par exemple, si un client européen demande la suppression de ses données).
  • Exemple 2 : Sous-traitant hors de l’UE
    Un sous-traitant indien qui gère des services de cloud pour une entreprise européenne doit désigner un représentant en Europe, si ce sous-traitant traite des données personnelles de citoyens européens dans le cadre de ses services.
  • Exemple 3 : Exemption pour une petite activité
    Une entreprise canadienne qui ne traite qu’occasionnellement des données de citoyens européens, par exemple en recevant des demandes de clients européens très ponctuelles, pourrait être exemptée de cette obligation, à condition que ces traitements ne comportent pas de risques significatifs pour les droits des personnes.

← Article 26 – Responsables conjoints du traitement
Article 28 – Sous-traitant →

Les articles du RGPD mentionnant l'article 27