Loading…
L'Article 27 du RGPD impose aux responsables du traitement et sous-traitants hors UE qui offrent des biens ou services à des personnes dans l'UE, ou qui suivent le comportement de personnes dans l'UE, de désigner par écrit un Représentant établi dans l'un des États membres de l'UE où se trouvent ces personnes concernées. Le Représentant est le point de contact unique des autorités de contrôle et des personnes concernées.
Il existe deux exemptions étroites : (1) un traitement occasionnel et à faible risque qui exclut les données de catégorie particulière et les données relatives aux condamnations pénales, et (2) les autorités et organismes publics. Mal comprendre ces exemptions est l'erreur la plus coûteuse que commettent les entreprises hors UE.
L'absence de désignation d'un Représentant constitue une violation de catégorie 4 de l'Article 83(4) — des amendes pouvant atteindre 10 millions € ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Plusieurs autorités de contrôle (la CNIL, l'APD de Hambourg, l'AEPD espagnole) appliquent activement cette obligation depuis 2021.
L'Article 27(1) du RGPD se lit ainsi :
« Lorsque l'Article 3(2) s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union. »
Cette phrase brève crée une obligation opérationnelle majeure. L'Article 3(2) — la clause de portée extraterritoriale — s'applique dès lors que le traitement est lié à : (a) l'offre de biens ou de services à des personnes concernées dans l'UE, ou (b) le suivi du comportement de personnes concernées dans l'UE.
Le Représentant constitue donc un rattachement structurel au traitement hors UE : une boîte aux lettres dans l'Union, un point de contact et un point d'ancrage de la responsabilité. Il s'interpose entre vos opérations hors UE et les 27 autorités de contrôle nationales de l'UE.
Vous avez besoin d'un Représentant si vous cochez l'ensemble de ces quatre cases :
Deux précisions importent en pratique :
L'Article 27(2) prévoit deux exemptions étroites :
Un traitement qui est (a) occasionnel, (b) ne comporte pas, à grande échelle, de données de catégorie particulière au titre de l'Article 9 ou de données relatives aux condamnations pénales au titre de l'Article 10, et (c) est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de sa nature, de son contexte, de sa portée et de ses finalités, est exempté.
Les trois conditions doivent être réunies. Les Lignes directrices 3/2018 de l'EDPB sont strictes sur la notion d'« occasionnel » — elle désigne un traitement ponctuel ou sporadique, jamais des opérations commerciales régulières. Un pistage continu, une analytique récurrente ou tout flux de données permanent ne remplit que rarement cette condition.
Les autorités et organismes publics ne sont pas tenus de désigner un Représentant. Cette exemption joue rarement pour les entreprises commerciales, mais elle est pertinente pour les agences gouvernementales étrangères, les banques centrales et les organisations internationales.
L'Article 27(4) définit le rôle du Représentant :
« Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement. »
Surtout, le Représentant ne se substitue pas à un DPO. Les deux rôles peuvent être assurés par des parties différentes, et l'obligation de désigner un DPO (Art. 37) est déclenchée par des critères distincts.
L'Article 27(3) exige que le Représentant soit établi dans l'un des États membres où se trouvent les personnes concernées dont les données personnelles sont traitées. En pratique, vous disposez d'une marge de manœuvre : si vos utilisateurs de l'UE sont répartis sur plusieurs États membres, vous pouvez choisir celui dont l'autorité de contrôle correspond le mieux à votre modèle d'exploitation.
Choix courants : l'Irlande (anglophone, favorable à la tech), l'Allemagne (davantage d'autorités à coordonner mais stricte), les Pays-Bas (régulateur parlant couramment l'anglais), la France (la CNIL jouit d'une solide réputation en matière d'application) et l'Espagne (l'AEPD avec une application active).
Les modalités :
L'identité et les coordonnées du Représentant doivent être communiquées aux personnes concernées (Articles 13(1)(a) et 14(1)(a)). Concrètement, cela signifie inclure le nom, l'adresse postale et l'adresse e-mail de contact du Représentant dans :
L'absence de publication du Représentant constitue en soi une violation des obligations de transparence (Article 12), passible d'amendes de niveau inférieur au titre de l'Article 83(4).
L'Article 27(5) est sans ambiguïté : la désignation d'un Représentant n'affecte pas les actions en justice qui pourraient être engagées contre le responsable du traitement ou le sous-traitant lui-même. Le Représentant n'assume pas la responsabilité des violations sous-jacentes du responsable du traitement.
Toutefois, le Représentant peut faire l'objet de mesures d'exécution liées à ses propres obligations — rendre les registres disponibles, coopérer avec les autorités de contrôle, et rester joignable. Un Représentant qui n'exécute pas la fonction qui lui est confiée s'expose à une suspension par le responsable du traitement qui l'a désigné et à une atteinte à sa réputation sur le marché des services de représentation.
L'absence de désignation d'un Représentant constitue une violation de l'Article 27 lui-même — une violation de catégorie 4 au titre de l'Article 83(4) du RGPD. Le plafond d'amende applicable est :
L'application est constante depuis 2021. Parmi les cas notables figurent les actions de la CNIL contre des acteurs de l'ad-tech basés aux États-Unis, l'enquête de Hambourg sur des fournisseurs d'analytique étrangers, et les conclusions de l'AEPD contre des réseaux publicitaires internationaux. Même lorsqu'elle n'est pas le seul fondement d'une amende, l'absence de Représentant signale souvent une lacune de conformité plus large qui aggrave les sanctions.
L'Article 27 du UK GDPR reflète l'obligation de l'UE mais s'applique aux responsables du traitement et sous-traitants hors Royaume-Uni qui ciblent des personnes au Royaume-Uni. Depuis le 1er janvier 2021, les Représentants de l'UE et du Royaume-Uni sont des rôles distincts — vous avez besoin des deux si vous ciblez les deux.
Conseil opérationnel : de nombreuses entreprises désignent un prestataire de représentation qui propose à la fois la représentation UE et UK via des structures juridiques alignées, évitant ainsi de dupliquer les processus de signalement des violations, de communication avec l'ICO/l'EDPB et de traitement des demandes des personnes concernées.
Non. Le Représentant doit être établi dans l'UE/EEE. La Suisse (malgré l'équivalence de sa nLPD) est en dehors de l'EEE à cet effet. L'Islande, le Liechtenstein et la Norvège sont éligibles.
Avant de commencer le traitement entrant dans le champ d'application, en principe. En pratique, les autorités de contrôle considèrent que la désignation doit être en place avant tout traitement substantiel de données de personnes concernées de l'UE. Une désignation rétroactive ne constitue pas un moyen de défense contre un non-respect passé.
Uniquement si l'entité satisfait aux exigences d'indépendance et d'expertise des Articles 37 à 39. La plupart des prestataires de représentation dédiés proposent les deux en tant que services distincts, assurés par des équipes distinctes, afin d'éviter les conflits.
Vous devez désigner un remplaçant et mettre à jour rapidement vos mentions publiées. Une interruption de la couverture du Représentant pendant la poursuite du traitement de données de personnes concernées de l'UE constitue une violation.
Non. Un seul Représentant couvre l'ensemble du traitement dans l'UE/EEE. Le Représentant est établi dans un État membre ; le choix de cet État membre dépend de l'endroit où vos personnes concernées sont principalement situées.
Pas en soi — le fournisseur de CDN est un sous-traitant soumis à ses propres obligations. La question est de savoir si votre activité commerciale sous-jacente cible ou suit les utilisateurs de l'UE. La plupart le font.
RegulatoryBridge fournit des services de Représentant dans l'UE et de Représentant au Royaume-Uni au titre de l'Article 27 dans l'ensemble des 27 États membres de l'UE. Point de contact unique, support multilingue, tarification fixe transparente, couverture complète des autorités de contrôle.