Article 27 du RGPD : Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’union

Sommaire :

Comprendre l’article 27

L’article 27 du RGPD indique que lorsque le responsable de traitement ou le sous-traitant se trouve en dehors de l’Union, et que le traitement vise des personnes concernées situées sur le territoire de l’Union (article 3) il doit désigner un représentant présent sur le territoire de l’Union. Cette obligation comporte plusieurs exceptions, des situations dans lesquelles responsable de traitement et sous traitant n’ont pas l’obligation de désigner un représentant. On retrouve parmi les exceptions un traitement occasionnel de données personnelles (non sensibles et ne concernant pas des condamnations pénales et des infractions) non susceptible d’engendrer des risques pour les droits et libertés des personnes physiques, si le traitement est réalisé par une autorité publique ou un organisme public. Le représentant désigné doit être présent sur le territoire des personnes concernées par le traitement. Ce représentant fait office de contact pour les autorités de contrôle et les personnes concernées.

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 27 du RGPD

  1. « Lorsque l’article 3, paragraphe 2, s’applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l’Union.
  2. L’obligation prévue au paragraphe 1 du présent article ne s’applique pas:

    a) à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

    b) à une autorité publique ou à un organisme public;

     

  3. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi.

     

  4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du présent règlement.

     

  5. La désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même. »

Jurisprudence

Aucune jurisprudence sur cet article ! 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €