RGPD : Nommer un représentant au sein de l’Union Européenne

Qui est le représentant RGPD au sein de l’Union Européenne ?

L’un des acteurs clés du Règlement Général sur la Protection des Données est le représentant de l’UE. Il s’agit selon l’article 4¹ du RGPD, d’une personne physique ou morale établie dans l’UE désignée par un organisme se trouvant en dehors de l’Union. Cette obligation consistant à nommer un représentant de l’UE a été introduite par l’article 27² du RGPD. Elle doit être effectuée par un mandat écrit et concerne tous les responsables de traitement et sous-traitants qui se trouvent hors UE, mais qui collectent et traitent des données de résidents européens dans le cadre d’offres de biens ou de services ou de suivi du comportement de personnes.

Le représentant de l’UE représente le responsable de traitement ou le sous-traitant concernant les obligations qui lui incombent en matière de protection des données personnelles, et doit être établi dans l’un des Etats membres où les données des européens sont traitées. Ainsi, une entreprise basée au Japon qui offre des produits en ligne à des personnes se trouvant en Europe doit nommer un représentant de l’UE. Il en est de même pour une entreprise qui se trouve au Canada et qui cible des résidents européens dans le cadre de ses campagnes publicitaires en ligne ou encore de sa prospection commerciale.

Quelles sont les missions du représentant de l’UE ?

Le représentant de l’UE doit accomplir ses missions conformément au mandat reçu du responsable de traitement ou du sous-traitant. Sa désignation n’entraine, toutefois, pas un changement dans les responsabilités du responsable de traitement et du sous-traitant qui doivent veiller à assurer le bon respect de l’ensemble des exigences applicables.

Le représentant de l’UE doit agir comme point de contact entre l’organisme et les autorités de contrôle de l’UE (la CNIL en France) ainsi que les résidents européens dont les données sont traitées, au même titre que le DPO. Il doit ainsi collaborer avec les autorités de protection des données à caractère personnel en Europe en fournissant toutes les informations nécessaires concernant le traitement de données à caractère personnel effectué par l’entreprise qu’il représente. Ces informations peuvent porter sur les finalités du traitement, les catégories de données personnelles concernées, les mesures de sécurité des données mises en place, etc. Il doit également coopérer avec les résidents européens dont les données sont traitées et répondre à leurs éventuelles questions concernant le traitement de leurs données personnelles, et leur fournir les informations nécessaires sur leurs droits fondamentaux en matière de protection des données et de protection de la vie privée.

Le représentant de l’UE doit par ailleurs mettre en place un registre des traitements de données de l’entreprise qu’il représente. Ce registre doit notamment contenir des informations sur les finalités du traitement, les catégories de données personnelles traitées, les destinataires des données, les transferts de données personnelles vers des pays tiers, ainsi que les mesures technique & organisationnelles de sécurité intégrées pour protéger ces données.

Le représentant de l’UE joue donc un rôle important pour assurer la conformité des entreprises non établies dans l’UE à la règlementation européenne sur la protection des données. Le fait de désigner un représentant de l’UE montre que l’organisme concerné veille à assurer la protection des données qu’il collecte et qu’il prend au sérieux ses obligations en la matière.

Est-il obligatoire de nommer un représentant RGPD au sein de l’Union Européenne ?

L’obligation de désigner un représentant de l’UE n’est pas absolue, et certaines exceptions existent. Elle ne s’applique pas dans le cas où le responsable de traitement ou le sous-traitant ne se trouvent pas dans l’Union européenne, et que les traitements de données effectués sont occasionnels, n’impliquant pas un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales et à des infractions, susceptibles d’engendrer un risque pour les droits et libertés des personnes. Cette obligation ne s’applique pas non plus à une autorité publique ou un organisme public. Aussi, si le traitement des données personnelles concerne uniquement des personnes situées en dehors de l’Union européenne, le responsable de traitement ou le sous-traitant sont exemptés de cette obligation, et ce même s’il s’agit de citoyens de l’Union européenne,

Ces exceptions sont toutefois interprétées de manière restrictive et ne dispensent pas les responsables de traitement ou les sous-traitants de leur obligation de se conformer aux autres obligations du RGPD.

Sources

¹ RGPD article 4

² RGPD article 27