📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 27 du RGPD : Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’union

Sommaire

Introduction 

L’article 27 du Règlement Général sur la Protection des Données (RGPD) vise à assurer que les entités non établies dans l’Union européenne, mais qui traitent des données de personnes situées dans l’UE, soient tenues de respecter les obligations du RGPD. Pour ce faire, il leur impose de désigner un représentant dans l’un des États membres de l’Union. Ce mécanisme permet aux autorités de contrôle et aux personnes concernées d’avoir un interlocuteur local, garantissant ainsi une application effective du règlement même en dehors du territoire européen.

Explication de l’article 

L’obligation de désigner un représentant s’applique aux responsables du traitement ou sous-traitants qui ne sont pas établis dans l’Union européenne, mais qui traitent des données personnelles de personnes situées dans l’UE, soit pour offrir des biens ou services, soit pour surveiller leur comportement (par exemple via le suivi en ligne). Le représentant, désigné par écrit, agit comme point de contact pour les autorités de contrôle et les personnes concernées, et conserve les documents relatifs aux traitements effectués.

Toutefois, cette obligation ne s’applique pas lorsque le traitement est occasionnel, ne concerne pas de grandes quantités de données sensibles ou de données relatives à des condamnations pénales, et ne présente pas de risque élevé pour les droits et libertés des personnes. Elle est également inapplicable aux autorités publiques. La désignation du représentant ne décharge pas le responsable du traitement de ses obligations légales, qui reste pleinement responsable du respect du RGPD. 

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Lorsque l’article 3, paragraphe 2, s’applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l’Union.

2. Cette obligation ne s’applique pas:

a) à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

b) à une autorité publique ou à un organisme public;

3. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques et dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi.

4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du présent règlement.

5. La désignation d’un représentant par le responsable du traitement ou le sous- traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 4

1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public;

c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article  5

– Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre Etat membre de la Communauté européenne.

– Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

Article 5-1

Créé par la loi n°2018-493 du 20 juin 2018

Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France.

Toutefois, lorsqu’est en cause un des traitements mentionnés au 2 de l’article 85 du même règlement, les règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne.

Analyse des 3 textes qui précèdent 

L’article 27 du RGPD oblige les responsables du traitement et sous-traitants non établis dans l’UE à désigner un représentant établi dans un État membre de l’Union lorsque leurs activités de traitement concernent des personnes situées dans l’UE, notamment pour l’offre de biens ou services ou la surveillance du comportement. Ce représentant agit comme interlocuteur principal des autorités de contrôle et des personnes concernées, doit être mandaté par écrit, tenir un registre des traitements, et peut faire l’objet de mesures coercitives en cas de non-respect. L’obligation ne s’applique pas pour les traitements occasionnels, non à grande échelle, sans risque particulier sur les droits des personnes, ni aux autorités publiques.

Par comparaison, la Directive 95/46/CE, bien que plus ancienne, prévoyait déjà à son article 4.2 que le responsable non établi dans l’Union devait désigner un représentant dans l’État membre où il relevait de la réglementation européenne. Cependant, la directive introduisait cette notion avec moins de précisions sur les modalités pratiques et les exceptions, et la désignation se faisait pays par pays, contrairement au RGPD qui permet une désignation dans un seul État membre là où résident une part importante des personnes concernées.

Concernant la Loi Informatique et Libertés française, elle a transposé l’article 4.2 de la directive, imposant également la désignation d’un représentant sur le territoire français lorsqu’un responsable de traitement est soumis à la loi mais ne possède pas d’établissement en France. Cette obligation est également sans préjudice des actions en justice contre le responsable lui-même.

Le RGPD a ainsi renforcé et précisé cette obligation par rapport à la directive et à la LIL, en définissant clairement les critères d’application, le champ d’obligations du représentant, ses missions, ainsi que les sanctions possibles en cas de manquement. La spécificité du RGPD est aussi d’introduire une approche plus unique et harmonisée à l’échelle de l’Union, en remplaçant la logique fragmentée des désignations par États membres propre à la directive.

Jurisprudences 

Européennes 

C-131/12 (13 mai 2014) – Google Spain et Google

La décision aide à définir quand une entité étrangère est soumise au RGPD.

C-230/14 (1 octobre 2015) – Weltimmo

La CJUE a jugé que le droit d’un État membre peut s’appliquer à un responsable n’ayant pas son siège dans cet État s’il y exerce une activité réelle et stable, même minime, par exemple via un représentant.

C-191/15 (28 juillet 2016) – Verein für Konsumenteninformation

Cette décision traite de l’application du droit national en matière de protection des données dans le cadre du RGPD, notamment le critère d’établissement et l’application extraterritoriale. Elle éclaire la mise en œuvre pratique de l’article 27, qui précise la nécessité d’un représentant dans l’UE pour les responsables hors Union, afin d’assurer une application effective des règles.

Françaises 

Cass. Fr., n°04-80.048 (16 mars 2004)

Cette décision française précise que l’utilisation d’un appareillage informatique ne suffit pas à caractériser un traitement automatisé au sens des lois de protection des données. Elle est liée à l’évaluation des obligations du responsable de traitement, dont la désignation d’un représentant sous article 27, notamment pour apprécier si des traitements relèvent du RGPD et donc des obligations afférentes.

Recommandations 

CEPD 

Lignes directrices 3/2018 relatives au champ d’application territorial du RGPD (article 3)

Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD

CNIL

Guide CNIL pour les sous-traitants, intégrant la question de la représentation 

 

Chaque entreprise est différente. Nos DPO externes s’adaptent à votre réalité.

Déchargez vous de votre conformité RGPD
Faites vous accompagner par un DPO externe dédié, et protégez votre entreprise et ses données.
Demandez votre démo
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.