arrow_back Retour à tous les articles

Article 27
Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 27 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 27 keyboard_arrow_up

(80) Lorsqu'un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l'Union et que ses activités de traitement sont liées à l'offre de biens ou de services à ces personnes dans l'Union, qu'un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union, il convient que le responsable du traitement ou le sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n'implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et soit peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public. Le représentant devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité de contrôle. Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui leur incombent en vertu du présent règlement. La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du présent règlement. Ce représentant devrait accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer avec les autorités de contrôle compétentes pour toute action visant à assurer le respect du présent règlement. Le représentant désigné devrait faire l'objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 27.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 4.2. de la Directive prévoyait que le responsable qui n’a pas d’établissement dans l’Union mais qui relève du droit de l’Union en vertu du critère d’application extraterritoriale de la réglementation européenne doit désigner un représentant sur le territoire de l’Etat membre dont il relève en vertu de l’article 4.1., c).

Belgique

Conformément à l’article 4.2 de la Directive, la loi du 8 décembre 1992 prévoit qu’en cas d’application extraterritoriale de la loi belge à un responsable qui n’a pas d’établissement en Belgique, ce dernier doit désigner un représentant établi sur le territoire belge. Cette désignation est sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

France

Conformément à l’article 4.2 de la Directive, la loi Informatique et Libertés oblige le responsable qui n’a pas d’établissement sur le territoire français mais qui relève de la loi française, à désigner un représentant établi sur ledit territoire. Cette désignation est sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

Où va-t-on ?

En cas d’application de l’article 3.2, l’article 27 du Règlement oblige les responsables du traitement mais aussi le sous-traitant qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement.

Comme exposé précédemment (cfr. commentaire de l’article 3.2), le Règlement est rendu applicable à un responsable ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées ou  à l'observation de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union européenne.

Rappelons ici que suivant l’article 4.17 du Règlement le représentant est « toute personne physique ou morale établie dans l'Union, (…) désignée par le responsable du traitement ou le sous-traitant par écrit, conformément à l'article 25, qui représente ce dernier ou le sous-traitant en ce qui concerne leurs devoirs respectifs en vertu du présent Règlement ». Soulignons d’ores et déjà qu’une convention écrite devient indispensable pour ladite désignation.

La disposition précise que ce devoir ne s’applique pas au traitement qui est occasionnel et qui n’inclut pas, sur une large échelle, le traitement de données sensibles au sens de l’article 9 (1) ou de données relatives aux condamnations et infractions pénales (art. 10) et ne crée probablement aucun risque pour les droits et des libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement. Il en va de même lorsque le responsable ou le sous-traitant est une autorité ou un organisme public.

Ce représentant doit être établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

Le représentant, qui agit pour le compte du responsable ou du sous-traitant, constitue notamment l’interlocuteur des autorités de contrôle (Cfr. article 58.) et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel. Ce dernier doit être expressément mandaté par écrit par le responsable du traitement ou le sous-traitant afin d'agir en son nom pour remplir les devoirs qui lui incombent en vertu du Règlement et d’être consulté en complément ou à la place du responsable ou du sous-traitant, notamment par les autorités de contrôle et les personnes concernées.

Il incombe également à ce représentant de tenir un registre de toutes les catégories d'activités de traitement de données à caractère personnel mises en œuvre sous leur responsabilité (Cfr. article 30)

La principale innovation du second projet de Règlement est de prévoir la possibilité de prononcer des mesures coercitives à l’encontre du représentant en cas de non-respect du présent Règlement par le responsable du traitement (cfr le considérant 80 et l’article 27 (4) du règlement). Cela étant, la désignation d’un représentant ne modifie en rien la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées puisque la désignation d’un représentant est sans préjudice d'actions en justice qui pourraient être intentées contre les responsable du traitement et sous-traitant eux-mêmes.

Difficultés probables

La désignation du représentant en Europe apparaît comme un début de solution afin de garantir l’efficacité de la réglementation européenne à l’égard des traitements dont le responsable est établi hors de l’Union. On saluera la possibilité prévue par le second projet de Règlement de prononcer des sanctions à l’encontre du représentant au cas où les activités de traitement ne sont pas conformes au Règlement.

Toutefois, les contours flous de la première exception à l’obligation de désigner un représentant nous semblent source d’insécurité juridique, dès lors qu’elle délaisse aux responsables du traitement ou sous-traitants établis hors de l’Union, le soin d’apprécier si le traitement envisagé présente des risques ou non au regard des droits et des libertés des personnes physiques résidant dans l’Union.

On regrette aussi que les autorités publiques étrangères soient automatiquement exemptées de l’obligation de désignation d’un représentant. Si on conçoit les difficultés diplomatiques qu’une telle désignation aurait pu entraîner, elle laisse sans défense les personnes concernées par de tels traitements. On aurait pu aussi imaginer soumettre l’Union à un devoir de négocier un traité ou un accord avec les Etats dont relèvent ces autorités afin de garantir la protection des personnes concernées.

Règlement
1e 2e

Art. 27

1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne parécrit un représentant dans l'Union.

2. Cette obligation ne s'applique pas:

a) à un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

b) à une autorité publique ou à un organisme public;

3. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques et dont les données à caractère personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.

4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.

5. La désignation d'un représentant par le responsable du traitement ou le sous- traitant est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.

Proposition 1 close

1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union.

2. Cette obligation ne s’applique pas:

a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41;

ou b) à une entreprise employant moins de 250 salariés;

ou c) à une autorité ou à un organisme publics;

ou d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union.

3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même.

Proposition 2 close

1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement désigne par écrit un représentant dans l'Union.

2. Cette obligation ne s'applique pas:

a) (…);

ou b) au traitement qui est occasionnel et peu susceptible de constituer un (...) risque au regard des droits et des libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement (...);

c) à une autorité ou à un organisme publics;

d) (…)

3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

3 bis. Le représentant est mandaté par le responsable du traitement afin d'être consulté en complément ou à la place du responsable du traitement, notamment par les autorités de contrôle et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel, aux fins d'assurer le respect du présent règlement.

4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même.

Directive

Art. 4

1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

France

Art. 5

 I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

Belgique

Art. 3bis

La présente loi est applicable au traitement de données à caractère personnel :

 1° lorsque le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge ou en un lieu où la loi belge s'applique en vertu du droit international public;

 2° lorsque le responsable du traitement n'est pas établi de manière permanente sur le territoire de la Communauté européenne et recourt, à des fins de traitement de données à caractère personnel, à des moyens automatisés ou non, situés sur le territoire belge, autres que ceux qui sont exclusivement utilisés à des fins de transit sur le territoire belge.

Dans les cas visés à l'alinéa précédent, 2°, le responsable du traitement doit désigner un représentant établi sur le territoire belge, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK