Représentant RGPD, désignation par responsable de traitement ou sous-traitant non établi dans l’Union Européenne.

Il est obligatoire de désigner un représentant RGPD uniquement dans certains cas. Le Règlement général sur la protection des données (RGPD) précise le principe général selon lequel les sociétés qui ne sont pas présentes sur le territoire de l’Union Européenne (directement ou indirectement, notamment via une filiale, succursale, bureau de représentation ou autre forme d’établissement) et qui d’autre part, s’adressent aux individus de l’Union Européenne (en leur proposant des biens ou des services) ou qui surveillent le comportements de ces derniers, doivent nommer un représentant.

Le RGPD prévoit clairement le périmètre de la mission du représentant RGPD et de ses obligations: le représentant est le point de contact des autorités de contrôle (la CNIL en France) ainsi que des personnes concernées désirant exercer leurs droits, de plus il tient le registre des activités de traitement des données personnelles réalisées sur le territoire de l’UE.

La question de la responsabilité du représentant RGPD est bien entendu souvent abordée sur la base du Règlement, mais il est important de rappeler que d’autres sources viennent préciser l’étendue de sa responsabilité. Au-delà des obligations du RGPD, le représentant est engagé dans une relation contractuelle vis-à-vis de son client sous forme de mandat. Le service de représentation ne se limite pas à une simple déclaration auprès de la CNIL, l’étendue de la mission et des responsabilités doivent être précisées par écrit dans un mandat, afin de clarifier les obligations du mandant (le représentant) et de son mandataire (le client). 

Il convient de dissiper une ambiguïté récurrente concernant la responsabilité du représentant RGPD: le Représentant n’a pas vocation à jouer le rôle de pare-feu pour son client, en cas de faille mettant en jeu la responsabilité du client, ce dernier ne peut se réfugier de façon systématique derrière le mandat de représentation et la responsabilité de son représentant. 
“La désignation d’un représentant […] est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même”

Ainsi, en cas de faille de sécurité impliquant la mise en responsabilité d’un responsable de traitement ou d’un sous-traitant établi en dehors de l’UE, une autorité de contrôle telle que la CNIL va tout d’abord se tourner vers le représentant mandaté, celui-ci assumant sa mission de point de contact vis-à-vis de l’autorité. Dans un second temps, l’autorité va chercher à établir le partage des responsabilités éventuelles entre le mandant et son mandataire notamment à la lumière des obligations légales du représentant mais également des obligations prévues dans le mandat. 

Le respect des principes de transparence et de collaboration réciproque entre les deux parties sera pris en compte pour apprécier la responsabilité de chacun. Par exemple le représentant a pour obligation légale de tenir le registre des activités de son client, toutefois si la CNIL constate un manquement grave tel que l’omission d’une fiche de traitement jugée comme étant essentielle dans le registre, elle va rechercher si le traitement en question a été porté en toute transparence à la connaissance du représentant ou bien si cette activité de traitement lui a été dissimulée.

Concernant le mandat de représentant article 27 du RGPD, il est conseillé de faire figurer les informations suivantes: l’identité des parties et leur qualité de mandant ou mandataire, si le client agit en tant que responsable de traitement et/ou sous-traitant, durée du mandat, les informations relatives à l’étendue de la mission et rappel des obligations légales du représentant (point de contact de la CNIL, point de contact des personnes concernées désirant exercer leurs droits, tenue du registre des activités selon les informations fournies par le client), rémunération du service de représentation RGPD (voir la réponse apportée à la question “prix d’un service de représentant RGPD dans l’Union Européenne?”), rappel sur la distribution des responsabilités des parties en cas de litige, mention des conditions générales de service du Représentant.

Le représentant RGPD ne peut être à la fois DPO d’une même entité, l’incompatibilité est justifiée par l’existence d’un conflit d’intérêt entre les deux fonctions. En revanche, il est tout à fait possible pour un professionnel de la mise en conformité d’offrir des services de DPO ainsi que de Représentant RGPD pour des entités distinctes lorsque tout risque de conflit d’intérêt est écarté.

Le coût du service de représentant RGPD pour une société étrangère peut prendre en compte plusieurs modes de calcul: des frais de démarrage tels que des frais d’ouverture de dossier, une rémunération récurrente mensuelle ou annuelle pour la désignation auprès de la CNIL, puis en fonction des services accomplis (maintenance du registre, réponse aux personnes concernées, etc.) une rémunération (forfaitaire ou selon un taux horaire). D’autre part, l’exposition au risque de l’entreprise est souvent prise en compte dans le calcul de la rémunération du représentant. Les critères retenus pour évaluer ce risque sont généralement la taille de l’entreprise (en fonction du nombre d’employés, du nombre de filiales, de pays couverts), le type de données traitées (présence de catégories de données particulièrement sensibles) en fonction du secteur d’activité (par exemple concernant le secteur de la santé), le nombre de personnes concernées susceptible d’exercer leurs droits.

Tout d’abord il faut vous assurer, comme pour le choix de votre DPO, que votre représentant RGPD est un expert de la mise en conformité RGPD. Sa mission implique une connaissance approfondie de la réglementation, il vous représente auprès de l’autorité de contrôle et gère les demandes des personnes concernées par vos traitements. La mission du représentant n’est donc pas simplement administrative, en cas de contrôle de la CNIL ou encore de litige, les réponses apportées par ce dernier se révèlent souvent déterminantes sur le déroulement et l’issue des procédures initiées à l’encontre de votre entreprise. Rappelons également que si votre représentant ne peut être à la fois votre DPO, il peut tout de même vous donner des conseils précieux. Bien entendu la disponibilité du représentant RGPD est un critère important, comme pour tout mandat, la communication doit être simple et rapide. Dans le même sens, il faut s’assurer des modalités d’échange d’information, par exemple vérifier que les fiches de traitements de données peuvent facilement être mises à jour, que la gestion des notifications et des demandes des personnes concernées sont techniquement maîtrisées. Le représentant RGPD doit pouvoir fournir son attestation d’assurance couvrant son activité de « Représentant RGPD article 27 du RGPD” (pas uniquement de DPO). Cette énumération de critères de sélection de votre Représentant RGPD n’est pas exhaustive.

La procédure implique deux étapes principales. Tout d’abord, l’organisation non-UE doit signer un accord écrit formel avec la personne ou l’organisation nommée en tant que représentant RGPD. Cet accord doit définir les responsabilités du représentant, qui incluent la liaison avec les autorités de surveillance et les sujets de données. Deuxièmement, l’organisation non-UE doit mettre à jour sa politique de confidentialité pour inclure les coordonnées du représentant RGPD.

Pas nécessairement. Un groupe d’entreprises peut désigner un seul représentant RGPD dans l’UE, à condition que ce représentant puisse efficacement faire la liaison avec et être responsable devant toutes les autorités de protection des données concernées pour chaque entité du groupe. L’essentiel est que le représentant soit capable de gérer toutes les tâches liées au RGPD pour toutes les entités qu’il représente.

Un représentant RGPD peut être un individu, une entreprise ou une organisation basée dans l’UE. Il doit avoir une solide compréhension du RGPD et être capable de faire la liaison entre l’organisation qu’il représente et les autorités européennes pertinentes.

Non, selon l’article 27 du RGPD, le représentant doit être situé dans l’UE. Cela garantit que les sujets de données et les autorités de surveillance dans l’UE aient un point de contact local.

Oui, l’absence de nomination d’un représentant RGPD peut entraîner des amendes administratives pouvant atteindre 10 millions d’euros, ou 2% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.

Non, toutes les entreprises non-UE n’ont pas besoin d’un représentant RGPD. Les entreprises sont exemptées si leur traitement de données est occasionnel, n’inclut pas un traitement à grande échelle de catégories particulières de données, et est peu susceptible de constituer un risque pour les droits et libertés des personnes physiques.

Le délai peut varier, mais une fois qu’une organisation non-UE trouve une personne ou une organisation prête à agir en tant que son représentant RGPD, le processus de nomination peut être réalisé relativement rapidement. L’accord écrit peut être signé et la politique de confidentialité mise à jour en quelques jours.

Oui, mais il est généralement plus efficace d’avoir un seul représentant pour toutes les opérations de l’UE, surtout si votre entreprise opère dans plusieurs pays de l’UE. Le représentant doit être situé dans l’un des pays où se trouvent les sujets de données.

Le représentant RGPD n’est pas directement responsable de la conformité de l’organisation au RGPD. L’organisation elle-même conserve cette responsabilité. Cependant, le représentant joue un rôle crucial dans la facilitation de la conformité au RGPD et la liaison avec les autorités de surveillance et les sujets de données.

Les entreprises non établies dans l’UE qui offrent des biens ou des services à des sujets de données de l’UE, ou qui surveillent leur comportement, ont généralement besoin d’un représentant RGPD. Cela peut inclure des plateformes de commerce électronique, des services logiciels, des entreprises de marketing, et bien d’autres.

Oui, une entreprise non-UE peut changer son représentant RGPD à tout moment. Cependant, elle doit informer les autorités de protection des données concernées et mettre à jour sa politique de confidentialité pour refléter le changement.