Fil d'actualité Protection des données personnelles

Protection des données personnelles

Centre national de la recherche scientifique

Accueil du siteChamps d’applicationObligation de désigner un représentant des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union

Obligation de désigner un représentant des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union

Analyse du RGPD par le PFPDT de la Suisse

Page publiée le 17 janvier 2018

Obligation de désigner un représentant des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union

Codes de conduite et certifications


En cas d’application de l’article 3 § 2 RGPD, l’article 27 RGPD oblige les responsable du traitement mais aussi le sous-traitant qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement. Ce représentant doit être établi dans l’un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l’offre de biens ou de services qui leur est proposée ou dont le comportement est observé (art. 27 § 3).

Selon le considérant 80 du RGPD, le représentant constitue notamment l’interlocuteur des autorités de contrôle (cf. article 58 RGPD) et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel.

Ce dernier devra établir un registre de toutes les catégories d’activités de traitement de données à caractère personnel mises en œuvre sous sa responsabilité (cf. article 30 RGPD).

Il pourrait également faire l’objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant. Il est toutefois important de souligner que cela ne modifie en rien la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées puisque cette désignation est sans préjudice d’actions en justice qui pourraient être intentées contre les responsable du traitement et sous-traitant eux-mêmes.

L’article 27 § 2 précise que ce devoir de désignation ne s’applique pas :

a) «  à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement ; ou
b) à une autorité publique ou à un organisme public.
 »

Retour au sommaire

http://www.cil.cnrs.fr/CIL/spip.php...