Article 27 Représentants des responsables ou sous-traitants

Champ d'application de l'obligation de désignation

L'article 27, paragraphe 1, impose la désignation d'un représentant lorsque l'article 3, paragraphe 2, du RGPD s'applique, c'est-à-dire lorsque le responsable du traitement ou le sous-traitant n'est pas établi dans l'Union européenne mais traite des données à caractère personnel de personnes se trouvant sur le territoire de l'Union, dans le cadre de l'offre de biens ou de services à ces personnes ou du suivi de leur comportement.

Cette obligation s'applique indépendamment du lieu d'établissement du responsable du traitement ou du sous-traitant : qu'il soit situé aux États-Unis, en Chine, en Inde, ou dans tout autre pays en dehors de l'Union, dès lors qu'il offre des biens ou des services à des personnes se trouvant dans l'Union ou qu'il suit leur comportement, il est tenu de désigner un représentant dans l'Union.

Il est important de noter que l'obligation de désignation d'un représentant s'impose même si le responsable du traitement ou le sous-traitant dispose d'un établissement dans l'Union, dès lors que cet établissement n'est pas impliqué dans le traitement en cause et que le traitement relève de l'article 3, paragraphe 2.

Les exceptions à l'obligation de désignation

L'article 27, paragraphe 2, prévoit deux exceptions à l'obligation de désignation d'un représentant. La première concerne les traitements qui sont occasionnels, qui n'incluent pas un traitement à grande échelle de catégories particulières de données (données sensibles) ou de données relatives à des condamnations pénales et à des infractions, et qui ne sont pas susceptibles d'engendrer un risque pour les droits et libertés des personnes physiques.

Cette exception vise les traitements ponctuels, de faible ampleur, et ne présentant pas de risque significatif pour les personnes concernées. Toutefois, la notion de traitement « occasionnel » doit être interprétée restrictivement : un traitement récurrent ou systématique, même s'il porte sur un nombre limité de données, ne peut être qualifié d'occasionnel. De même, un traitement portant sur des catégories particulières de données ou sur des données relatives à des condamnations pénales ne peut bénéficier de cette exception, sauf s'il est effectué à une échelle très limitée.

La seconde exception concerne les autorités publiques ou les organismes publics. Cette exception se justifie par le fait que les autorités publiques sont soumises à des règles spécifiques de droit public et qu'elles disposent, en principe, d'interlocuteurs identifiés dans les États membres de l'Union.

Le choix de l'État membre d'établissement du représentant

L'article 27, paragraphe 3, précise que le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi. Cette exigence vise à garantir la proximité du représentant avec les personnes concernées et les autorités de contrôle compétentes.

Lorsque le responsable du traitement ou le sous-traitant traite des données de personnes se trouvant dans plusieurs États membres, il peut choisir d'établir son représentant dans l'un quelconque de ces États membres. Toutefois, il est recommandé de choisir l'État membre dans lequel se trouve le plus grand nombre de personnes concernées ou celui dans lequel l'activité de traitement est la plus importante.

Le représentant doit être une personne physique ou morale établie dans l'Union. Il peut s'agir d'un cabinet d'avocats, d'un cabinet de conseil spécialisé en protection des données, d'une société de services, ou de toute autre entité disposant des compétences nécessaires pour remplir les missions qui lui sont confiées.

Le mandat et les missions du représentant

L'article 27, paragraphe 4, précise que le responsable du traitement ou le sous-traitant mandate le représentant pour qu'il soit chargé de répondre aux demandes des personnes concernées et des autorités de contrôle pour toutes les questions liées au traitement, aux fins de garantir le respect du RGPD. Le représentant agit ainsi en plus du responsable du traitement ou du sous-traitant, ou en lieu et place de celui-ci.

Le mandat du représentant doit être formalisé par écrit et doit préciser l'étendue de ses missions, notamment en matière de réception et de traitement des demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, etc.), de réponse aux demandes d'information des autorités de contrôle, et de coopération avec ces autorités dans le cadre de leurs missions de contrôle.

Le représentant n'a pas vocation à se substituer intégralement au responsable du traitement ou au sous-traitant : il constitue un point de contact et un interlocuteur privilégié pour les personnes concernées et les autorités de contrôle, mais il n'assume pas la responsabilité juridique du traitement, qui demeure celle du responsable du traitement ou du sous-traitant établi en dehors de l'Union.

Les coordonnées du représentant et leur communication

Le responsable du traitement ou le sous-traitant doit communiquer les coordonnées de son représentant dans les informations fournies aux personnes concernées en application des articles 13 et 14 du RGPD. Ces coordonnées doivent permettre aux personnes concernées de contacter facilement le représentant pour exercer leurs droits ou obtenir des informations sur le traitement de leurs données.

Les autorités de contrôle peuvent également solliciter le représentant pour obtenir des informations sur les traitements réalisés par le responsable du traitement ou le sous-traitant établi en dehors de l'Union. Le représentant doit être en mesure de fournir ces informations dans des délais raisonnables et de coopérer avec les autorités de contrôle conformément aux exigences du RGPD.

Les conséquences de l'absence de représentant

L'article 27, paragraphe 5, précise que la désignation d'un représentant est sans préjudice des actions qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même. Cela signifie que les personnes concernées et les autorités de contrôle conservent la possibilité d'agir directement contre le responsable du traitement ou le sous-traitant établi en dehors de l'Union, même si un représentant a été désigné.

Le non-respect de l'obligation de désignation d'un représentant est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les autorités de contrôle peuvent notamment sanctionner l'absence de désignation d'un représentant lorsque cette obligation s'applique, ou la désignation d'un représentant ne disposant pas des moyens ou des compétences nécessaires pour remplir ses missions.

Distinction entre représentant et délégué à la protection des données

Il est important de ne pas confondre le représentant prévu à l'article 27 avec le délégué à la protection des données (DPO) prévu aux articles 37 à 39. Le représentant est un point de contact pour les personnes concernées et les autorités de contrôle, mandaté par le responsable du traitement ou le sous-traitant établi en dehors de l'Union. Le DPO, quant à lui, est une personne désignée au sein de l'organisation pour veiller au respect du RGPD et conseiller le responsable du traitement ou le sous-traitant.

Une même personne ou entité peut, en théorie, cumuler les fonctions de représentant et de DPO, à condition de disposer des compétences et des moyens nécessaires pour remplir les deux missions. Toutefois, dans la pratique, il est souvent préférable de distinguer ces deux fonctions, afin d'éviter les conflits d'intérêts et de garantir l'indépendance du DPO.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) recommande aux responsables de traitement et aux sous-traitants établis en dehors de l'Union de vérifier s'ils sont soumis à l'obligation de désignation d'un représentant et, le cas échéant, de désigner un représentant disposant des compétences et des moyens nécessaires pour remplir ses missions. Elle insiste sur l'importance de formaliser le mandat du représentant par écrit et de communiquer ses coordonnées aux personnes concernées.

Le Comité européen de la protection des données (CEPD) a publié des lignes directrices sur les notions de représentant et de point de contact (Guidelines 3/2018), dans lesquelles il précise les conditions d'application de l'article 27 et fournit des exemples pratiques. Il souligne que l'obligation de désignation d'un représentant s'impose dès lors que le responsable du traitement ou le sous-traitant relève de l'article 3, paragraphe 2, sauf à ce qu'il bénéficie de l'une des exceptions prévues à l'article 27, paragraphe 2.