R.U. : Fin de la transition pour les exportateurs de l’U.E.  Plus d’info  |  Seuils Intrastat 2024  Plus d’info
Rechercher
Fermer ce champ de recherche.

RGPD : le représentant pour la protection des données

Temps de lecture : 4 minutes

Suite à l’entrée en vigueur du RGPD, un grand nombre d’entreprises  extra-européennes ont l’obligation de nommer un représentant RGPD.

En 2018, la Commission européenne a introduit le Règlement Général sur la Protection des Données (RGPD). Ce dernier est d’une influence sans précédent car il impacte non seulement les entités résidentes en Union européenne mais aussi les structures extra-européennes. Le RGPD est, de facto, le plus vaste ensemble de règlements relatifs à la protection de la vie privée actuellement en vigueur.

Suite à son implémentation, de nouveaux corps de métier, spécialisés dans la protection des données, ont vu le jour. En particulier, le RGPD impose aux entreprises établies hors de l’UE concernées par le règlement de nommer un représentant pour la protection des données, ou représentant RGPD, pour assurer la liaison entre les organisations et les instances réglementaires européennes.

Le représentant pour la protection des données

L’article 27 du RGPD institue l’obligation de nommer un représentant RGPD pour les entreprises établies hors de l’Union européenne si elles traitent des données personnelles d’individus européens. Les entreprises qui n’ont pas d’établissement dans l’Union européenne sont donc dans l’obligation de désigner un représentant dans l’un des États membres de l’UE.

Cela s’applique aux responsables de traitement des données, ainsi qu’aux sous-traitants qui travaillent pour le compte d’autres entreprises.

Votre représentant devra remplir en votre nom 3 obligations vis-à-vis des instances réglementaires européennes :

  • Être le point de contact avec les autorités de contrôle pour toutes questions relatives au traitement de données à caractère personnel.
  • Être l’organisme auquel les personnes dont sont traitées les données peuvent s’adresser pour exercer leurs droits.
  • Tenir un registre des activités de traitement des données personnelles effectuées sur le territoire de l’Union européenne.

NOTE :

En ce qui concerne le Royaume-Uni, comme il ne fait désormais plus partie de l’Union européenne, il dispose de son propre Règlement Général sur la protection des données : le « RGPD-UK ». Si vous êtes une entreprise non-britannique et traitez de données personnelles au RU, il faudra donc nommer un représentant RGPD au Royaume-Uni. Celui-ci prendra en charge les obligations de représentation sur le territoire britannique.

Pourquoi nommer un représentant pour la protection des données ?

Tout d’abord, la nomination d’un représentant est, dans certains cas, obligatoire. En effet, comme mentionné précédemment, toute entité privée étrangère qui ne dispose pas d’un établissement en Union européenne est soumise à l’obligation de désigner un représentant RGPD, en vertu de l’article 27 du Règlement.

Pour ce qui est des types d’activités ciblés, il s’agit des activités habituellement soumises au RGPD :

  • Les offres de biens ou de services qui mettent en œuvre des traitements de données de personnes situées sur le territoire de l’UE ;
  • Les activités qui permettent un suivi du comportement de personnes situées sur le territoire de l’UE.

Par ailleurs, la désignation d’un représentant permet également à votre entreprise de respecter plus facilement ses obligations au titre du RGPD et d’éviter de lourdes amendes.

Retenez bien que vous devrez vous conformer au RGPD même si vous n’êtes pas soumis à l’obligation de nommer un représentant RGPD.

Quelles sont les exceptions à l’obligation de nommer un représentant RGPD ?

Pour commencer, l’obligation de nommer un représentant ne s’applique pas aux entreprises européennes.

De plus, les organisations publiques sont exemptées de cette obligation.

Enfin, les entreprises peuvent être exemptées de désigner un représentant pour la protection des données lorsque le traitement mis en œuvre remplit les trois critères suivants :

  • Il est uniquement occasionnel ;
  • Il n’implique pas de traitements à grande échelle de catégories particulières ou relatives à des condamnations pénales et infractions ;
  • Et il est peu susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

Comment choisir son représentant RGPD ?

Voici les points les plus importants que vous devez couvrir lorsque vous faites votre choix :

Qui peut être représentant pour la protection des données  ?

Votre représentant pour la protection des données peut être n’importe quelle personne physique ou morale établie en Union européenne.

Le RGPD étant un domaine extrêmement complexe, il est fortement recommandé de faire appel à un expert en protection des données. Il sera le plus qualifié pour traiter vos problématiques efficacement et assurera votre conformité avec le RGPD.

Où devez-vous nommer votre représentant pour la protection des données ?

Cela dépend de vos activités de traitement des données.

Si vous traitez de données dans plusieurs États-membres de l’Union européenne de manière uniforme, vous n’avez besoin de nommer un représentant que dans un seul et unique pays de l’UE. Le représentant s’occupera alors de l’ensemble des activités de traitement opérées à l’intérieur de l’Union européenne.

En effet, le RGPD s’applique uniformément dans tous les États-membres.

Une fois votre représentant nommé, il vous sera difficile de changer. Pour cette raison, il est essentiel de bien choisir le pays où vous désignerez votre représentant. Il peut s’agir d’un des pays dans lesquels vous exercez vos activités ou d’un des pays où se trouvent les instances européennes, par exemple.

Comment désigner un représentant RGPD ?

Les responsables de traitement ou les sous-traitants doivent désigner un représentant par écrit.

Dans la plupart des cas, vous pouvez le faire en créant un contrat. Celui-ci doit comprendre :

  • les coordonnées de votre organisation,
  • les coordonnées de votre représentant,
  • et une référence aux dispositions du RGPD en ce qui concerne les représentants européens.

D’autres clauses doivent également être incluses dans votre contrat, comme :

  • Des clauses décrivant les obligations de chaque partie
  • Des clauses de responsabilité
  • Des clauses d’indemnisation
  • Des clauses de non-divulgation

Vous devriez également vous assurer que l’accord ne prévoit pas de résiliation automatique si votre entreprise subit une violation de données. 

Devez-vous noter les coordonnées de votre représentant dans votre politique de confidentialité ?

Oui, vous devez également partager ses coordonnées pour les mettre à la disposition des organismes de réglementation et des personnes concernées. Pour la plupart des entreprises, il suffit d’ajouter les coordonnées du représentant à votre politique de protection de la vie privée.

En conclusion, il est important de choisir le bon représentant. C’est votre obligation en vertu de la loi, et c’est également un gage de service de qualité.

Vous pensez avoir besoin d’un représentant pour la protection des données personnelles ? Contactez les experts d’ASD Group.

ASD Group, votre interlocuteur privilégié expert en développement international, TVA et taxes internationales, opérations douanières, réglementation sociale et stratégie d’entreprise.

ASD Group travaille pour vous en utilisant les dernières technologies logicielles disponibles et les compétences avancées de nos équipes. Contactez-nous !

les articles qui pourraient vous intéresser

contactez nos experts

Vous souhaitez en savoir plus sur nos offres ?
Nous vous répondrons dans les plus brefs délais.
Mini contact
Ce site est protégé par reCAPTCHA. Les règles de confidentialité et les conditions d’utilisation de Google s’appliquent.