fbpx

représentant rgpd

brexit et rgpd

Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021 !

Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021 ! 1200 800 Optimex Data

Optimex Data présente les enjeux pour les organismes suite avec le Brexit et RGPD.


Brexit et RGPD

Vous le savez, le Royaume-Uni a décidé de quitter l’Union européenne : cette sortie est prévue pour le 31 janvier 2021 à minuit. Récemment, il a été convenu d’un accord entre le Royaume-Uni et l’Union Européenne pour que le RGPD reste applicable au sein du pays, pour une durée de 6 mois maximum, pendant laquelle les données pourront continuer à y être transférées.

Pour autant, le mécanisme du “guichet unique” (qui a pour vocation d’harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers) ne sera plus applicable au Royaume-Uni à partir du 1er janvier 2021.

« A l’issue de cette période de 6 mois et à défaut d’une décision de la Commission européenne autorisant de façon générale les transferts de données personnelles vers le Royaume-Uni dite « décision d’adéquation », toute communication de données personnelles vers le Royaume-Uni sera considérée comme un transfert de données vers un pays tiers. » CNIL, 28 décembre 2020

Le mécanisme de décision d’adéquation permet d’attester qu’un Etat situé en dehors de l’Union européenne assure un niveau de protection adéquat des données personnelles.

Brexit et RGPD, Quels enjeux pour les organismes ?

  • Vous êtes concernés si :
    • Votre organisme transfère des données personnelles vers un responsable de traitement ou un sous-traitant au Royaume-Uni ;
    • Le flux de données perdurera en vertu de la sortie du Royaume-Uni de l’Union Européenne ;
  • Ces transferts ne pourront s’effectuer qu’avec la mise en place de garanties RGPD appropriées (clauses contractuelles types, règles contraignantes d’entreprises…)
  • Les ressortissants européens devront disposer de droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD.
  • Les responsables du traitement et les sous-traitants établis uniquement au Royaume-Uni dont les activités de traitement sont soumises à l’application du RGPD devront désigner un représentant de l’Union conformément à l’article 27 du RGPD.

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple. L’équipe Optimex Data vous explique en détail le rôle et les qualités d’un représentant RGPD.

Nous vous tiendrons bien-sûr informés de l’accord qui sera conclut entre l’Union européenne et le Royaume-Uni. Décision d’adéquation, règles d’entreprise contraignantes ou encore dérogation particulière pour le Royaume-Uni : l’avenir nous le dira !

représentant rgpd en ue

Représentant RGPD
dans l’Union Européenne

Représentant RGPD
dans l’Union Européenne
1200 800 Optimex Data

Optimex Data vous présente le rôle du représentant RGPD en UE. Sa mission est de représenter les organisations étrangères dans l’union européenne, dans le cadre de la conformité RGPD.

Représentant RGPD en UE

Nous évoquons souvent l’importance de désigner un Délégué à la Protection des Données (DPO / DPD) dans les projets de mise en conformité au RGPD. Le petit oublié – ou celui dont nous parlons peu – est le Représentant (GDPR Representative en anglais), prévu dans l’article 27 du règlement. Cette innovation originale est un nouveau statut complémentaire à celui de DPO. Alors quelles sont ses obligations, ses missions, ses responsabilités ? Et surtout qui est concerné par l’obligation de désigner un représentant ?

Ainsi, le représentant, comme son nom l’indique, a vocation à représenter les organisations étrangères, au sein de l’Union Européenne. Le RGPD a donc créé une obligation, dans certains cas, de nommer un représentant.

Qui est concerné ?

L’obligation de nommer un représentant concerne les organismes étrangers n’étant pas établis dans l’Union Européenne. Cela exclut donc toute compagnie ayant installé un siège social au sein de l’UE comme de nombreux GAFA par exemple.

Seules les entités privées sont soumises à l’obligation de nommer un représentant, les autorités et organismes publics bénéficiant d’une exemption. En revanche, la qualité de responsable de traitement ou sous-traitant est indifférente.

Enfin, concernant les activités visées, il s’agit de celles classiquement soumises au RGPD. A savoir, les activités d’offre de biens ou de services mettant en œuvre des traitements de données de personnes situées sur le territoire de l’Union Européenne ; ou des activités induisant un suivi du comportement de ces personnes.

Une exception a néanmoins été retenue lorsque le traitement mis en œuvre est uniquement occasionnel, n’implique pas de traitements à grande échelle de catégories particulières ; ou relatives à des condamnations pénales et infractions, tout en étant peu susceptible d’engendrer un risque pour les droits et libertés des personne concernées.

Quelles formalités et obligations pour le représentant ?

Tout d’abord, le représentant doit être une personne physique ou morale établie dans l’Union Européenne. Plus précisément, il doit être établie dans un des États membres dans lesquels se trouvent les personnes physiques.

Ensuite, la nomination d’un représentant doit se faire obligatoirement par écrit. Elle prend la forme d’un mandat permettant au représentant d’agir au nom et pour le compte de l’organisme qui l’a nommé.

Le RGPD vient préciser certaines obligations impératives vis-à-vis du représentant, au nombre de 3 :

  • Première obligation, être le point de contact des autorités de contrôles (la CNIL en France) pour toute question relative aux traitements.
  • Seconde obligation, être l’organisme auquel les personnes concernées peuvent s’adresser pour exercer leurs droits, l’identité du représentant devant, bien sûr, être communiquée aux personnes concernées au moment de leur information comme le rappelle les lignes directrices du G29.
  • Troisième obligation, le représentant doit aussi, selon le RGPD, tenir un registre des activités de traitement effectuées sur le territoire de l’UE.

Quelle responsabilité pour le Représentant RGPD en UE – Union Européenne

Concernant l’organisme faisant appel à un représentant, le RGPD précise en premier lieu que la désignation du représentant ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant vis-à-vis des traitements qu’il met en œuvre.

Du côté du représentant, une petite phrase en introduction du RGPD (Considérant 80) a semé le trouble en laissant penser que le représentant pouvait être tenu solidairement responsable du non-respect du RGPD par le mandataire. Le recul sur le sujet et la pratique permettent une interprétation plus cohérente ; à savoir que le représentant sera comptable du respect des obligations qui lui incombent en vertu du mandat signé. En ce sens, il ne pourra être tenu responsable d’une non-conformité relative à des éléments qu’il ignorait ; la coopération entre représentant et mandataire doit donc être totale.

Optimex Data reste à votre écoute pour répondre à vos questions sur le sujet, évaluer si vous êtes soumis à l’obligation de désigner un représentant et, le cas échéant, représenter votre structure au sein de l’Union Européenne.

Call Now Button