Représentant RGPD dans l’Union Européenne

Nous évoquons souvent l’importance de désigner un Délégué à la Protection des Données (DPO / DPD) dans les projets de mise en conformité au RGPD. Le petit oublié – ou celui dont nous parlons peu – est le Représentant (GDPR Representative en anglais), prévu dans l’article 27 du règlement. Cette innovation originale est un nouveau statut complémentaire à celui de DPO. Alors quelles sont ses obligations, ses missions, ses responsabilités ? Et surtout qui est concerné par l’obligation de désigner un représentant ?

Ainsi, le représentant, comme son nom l’indique, a vocation à représenter les organisations étrangères, au sein de l’Union Européenne. Le RGPD a donc créé une obligation, dans certains cas, de nommer un représentant.

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple.

Seules les entités privées sont soumises à l’obligation de nommer un représentant, les autorités et organismes publics bénéficiant d’une exemption. En revanche, la qualité de responsable de traitement ou sous-traitant est indifférente.

Enfin, concernant les activités visées, il s’agit de celles classiquement soumises au RGPD. A savoir, les activités d’offre de biens ou de services mettant en œuvre des traitements de données de personnes situées sur le territoire de l’Union Européenne ; ou des activités induisant un suivi du comportement de ces personnes.

Une exception a néanmoins été retenue lorsque le traitement mis en œuvre est uniquement occasionnel, n’implique pas de traitements à grande échelle de catégories particulières ; ou relatives à des condamnations pénales et infractions, tout en étant peu susceptible d’engendrer un risque pour les droits et libertés des personne concernées.

Tout d’abord, le représentant doit être une personne physique ou morale établie dans l’Union Européenne. Plus précisément, il doit être établie dans un des États membres dans lesquels se trouvent les personnes physiques.

Ensuite, la nomination d’un représentant doit se faire obligatoirement par écrit. Elle prend la forme d’un mandat permettant au représentant d’agir au nom et pour le compte de l’organisme qui l’a nommé.

Le RGPD vient préciser certaines obligations impératives vis-à-vis du représentant, au nombre de 3 :

• Première obligation, être le point de contact des autorités de contrôles (la CNIL en France) pour toute question relative aux traitements.
• Seconde obligation, être l’organisme auquel les personnes concernées peuvent s’adresser pour exercer leurs droits, l’identité du représentant devant, bien sûr, être communiquée aux personnes concernées au moment de leur information comme le rappelle les lignes directrices du G29.
• Troisième obligation, le représentant doit aussi, selon le RGPD, tenir un registre des activités de traitement effectuées sur le territoire de l’UE.

Concernant l’organisme faisant appel à un représentant, le RGPD précise en premier lieu que la désignation du représentant ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant vis-à-vis des traitements qu’il met en œuvre.

Du côté du représentant, une petite phrase en introduction du RGPD (Considérant 80) a semé le trouble en laissant penser que le représentant pouvait être tenu solidairement responsable du non-respect du RGPD par le mandataire. Le recul sur le sujet et la pratique permettent une interprétation plus cohérente ; à savoir que le représentant sera comptable du respect des obligations qui lui incombent en vertu du mandat signé. En ce sens, il ne pourra être tenu responsable d’une non-conformité relative à des éléments qu’il ignorait ; la coopération entre représentant et mandataire doit donc être totale.

Optimex Data reste à votre écoute pour répondre à vos questions sur le sujet, évaluer si vous êtes soumis à l’obligation de désigner un représentant et, le cas échéant, représenter votre structure au sein de l’Union Européenne.