Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union.
1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union.2. L'obligation prévue au paragraphe 1 du présent article ne s'applique pas:
- a) à un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou
- b) à une autorité publique ou à un organisme public;
4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.
5. La désignation d'un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.
En savoir plus...
L'article 27 du RGPD vise à garantir que le niveau de protection accordé aux personnes concernées basées dans l'UE n'est pas réduit lorsque des responsables du traitement ou des sous-traitants basés en dehors de l'UE traitent leurs données. Il vise à la fois à fournir un point de contact aux personnes concernées et à garantir la responsabilité juridique des activités de traitement en imposant la désignation d'un représentant. Ce représentant peut faire l'objet d'une procédure d'exécution en cas de non-respect du RGPD. Cet article contribue également à clarifier la portée des obligations imposées aux responsables du traitement et aux sous-traitants basés en dehors de l'UE.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
80. Lorsqu'un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l'Union et que ses activités de traitement sont liées à l'offre de biens ou de services à ces personnes dans l'Union, qu'un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union, il convient que le responsable du traitement ou le sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n'implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et soit peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public. Le représentant devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité de contrôle. Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui lui incombent en vertu du présent règlement. La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du présent règlement. Ce représentant devrait accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du présent règlement. Le représentant désigné devrait faire l'objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article cite...
Cet article est cité par...
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.
L’EDPB clarifie les règles relatives au partage de données avec les autorités de pays tiers et approuve la certification du sceau de protection des données. Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a publié des lignes directrices sur l’article 48 du RGPD (seulement disponibles en anglais pour […]
Non-désignation d’un délégué à la protection des données : clôture de la procédure à l’encontre de la commune de KOUROU La commune de KOUROU, comme toute autorité publique, a pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). La CNIL lui avait rappelé cette obligation à plusieurs reprises, successivement […]
Amende de 56 000 euros prononcée à l’encontre d’un club nautique traitant des données biométriques pour contrôler les accès Dans un communiqué publié ce jour, l’autorité a imposé une amende totale de 56 000 euros à l’encontre du Nautical Club of Vouliagmeni (N.O.V.), notamment pour avoir traité des données biométriques sans base légale et sans […]
Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, […]
Le CEPD adopte un avis sur les sous-traitants, des lignes directrices sur l’intérêt légitime, une déclaration sur le projet de règlement relatif à l’application du RGPD et le programme de travail 2024-2025 Lors de sa dernière plénière, le Comité européen de la protection des données (CEPD) a adopté un certain nombre de documents : Le […]
Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE […]
Curatelle: selon la CJUE, un ancien curateur traitant les données de la personne protégée doit être qualifié de responsable de traitement Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant ce qui semble être des particuliers, la Cour de Justice de l’UE a été amenée à préciser si un ancien curateur ayant […]
Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré […]
