Le RGPD a créé une obligation pour les organismes étrangers de nommer un représentant dans l’Union européenne. Votre entreprise est-elle concernée par la désignation de ce représentant de données personnelles au sein de l’UE ? On répond à toutes vos questions.
1. Qui est concerné ?
L’obligation de nommer un représentant au sein de l’UE est régie par le Règlement général sur la protection des données (RGPD). Cette obligation s’applique aux entreprises étrangères qui ne disposent d’aucune succursale, bureau ou établissement dans l’UE. Toutefois, cette obligation s’applique surtout aux organismes étrangers qui proposent des biens ou des services à des particuliers dans l’UE ou surveillent le comportement de particuliers dans l’UE.
Cependant, trois exceptions permettent d’être dispensé d’une représentation européenne. Elles concernent :
- Les organisations publiques ;
- Les traitements occasionnels ou relatifs à des condamnations pénales ;
- Les entreprises qui ont un établissement principal au sein d’un pays de l’UE.
2. Quel est le rôle du représentant dans votre entreprise ?
Le représentant RGPD, comme son nom l’indique, représente et agit au nom de son mandataire dans l’exercice de sa mission. Votre entreprise va devoir définir par écrit les conditions de la relation qui unit les parties au mandat de représentation.
Attention, le rôle de représentant est incompatible avec l’exercice indépendant des fonctions de votre entreprise et des tâches du délégué à la protection des données.
3. Quelles obligations pour le représentant ?
Le RGPD prévoit trois obligations impératives qui pèsent sur le représentant.
D’abord, il doit être le point de contact avec les autorités de contrôle. Le représentant doit coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du RGPD. Il doit être en mesure de faciliter tout échange d’informations.
Ensuite, il doit être l’organisme auquel les personnes concernées peuvent s’adresser pour exercer leurs droits. Le représentant doit faciliter la communication entre les personnes concernées et l’organisme situé à l’étranger afin que l’exercice des droits des personnes concernées soit effectif. La disponibilité d’un représentant est donc essentielle.
Enfin, le représentant doit tenir un registre des activités de traitement effectuées sur le territoire de l’UE. Il tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte de son mandataire. Ce dernier doit simultanément fournir à son représentant toutes les informations exactes et actualisées afin que le registre puisse être conservé et mis à jour.
4. Quelle responsabilité du représentant ?
Le représentant au sein de l’UE est bien responsable en vertu du RGPD. D’abord, il est responsable pour l’ensemble des obligations qui lui incombent conformément au RGPD. Le représentant doit également respecter les obligations du mandat qu’il a signé avec son mandataire. Le représentant n’est donc pas responsable d’une non-conformité relative à des éléments qu’il ignorait. Pour cette raison, il est absolument impératif de bien encadrer le mandat de représentation et d’assurer une coopération totale entre les parties. Enfin, le RGPD n’établit pas une responsabilité substitutive du représentant en lieu et place du mandataire qu’il représente dans l’Union.
Deshoulières Avocats vous fait des recommandations juridiques et techniques pour assurer le respect des dispositions du RGPD. Nous vous accompagnons à chaque étape de votre mise en conformité RGPD grâce à notre méthodologie en 20 étapes.
