Vous êtes une entreprise ou une organisation située en dehors de l’Espace économique européen (EEE) et vous traitez des données à caractère personnel de personnes au sein de l’UE ? Si c’est le cas, ces informations sont cruciales pour vous. En vertu du règlement général sur la protection des données (RGPD), vous devrez peut-être désigner un représentant de l’UE, même si votre organisation n’a pas de présence physique dans l’UE.
À qui s’applique cette obligation ?
Cette règle s’applique aux responsables du traitement et aux sous-traitants qui :
- sont situés en dehors de l’Union européenne ou de l’EEE ;
- ont des bureaux, des succursales ou des filiales dans l’UE/EEE ;
- ou :
- offrir des biens ou des services à des personnes dans l’UE (même s’ils sont gratuits) ; ou
- surveiller le comportement des personnes dans l’UE, par exemple au moyen de cookies de suivi, d’analyses comportementales ou de profilage.
En résumé, si votre organisation traite des données personnelles de citoyens de l’UE à des fins commerciales ou analytiques, vous devez vous conformer au GDPR de l’UE et nommer un représentant GDPR de l’UE.
En quoi consiste la nomination d’un représentant de l’UE ?
Si vous relevez de cette disposition, vous devez conclure un accord écrit avec un représentant GDPR dans l’UE, tel que DPO Associates bv. Ce représentant agira au nom de votre organisation à l’égard de :
- les autorités chargées de la protection des données dans l’UE ;
- les personnes concernées (les individus dont vous traitez les données personnelles).
Le représentant peut être une personne physique ou une organisation (comme un prestataire de services de DPD de l’UE, un cabinet d’avocats ou un cabinet de conseil en matière de protection de la vie privée) et doit être basé dans un État membre de l’UE où se trouve au moins une partie de votre public cible.
Conformément à l’article 27 du GDPR, cette nomination est obligatoire pour les entreprises n’ayant pas d’établissement dans l’UE ou de siège social en dehors de l’EEE, qui sont soumises au GDPR.
Quelles sont vos obligations ?
- Désignez un représentant dans l’État membre concerné ;
- Conclure un accord écrit définissant le mandat du représentant ;
- Indiquez les coordonnées du représentant dans votre avis de confidentialité ou dans les informations que vous fournissez aux personnes concernées ;
- Mettez également ces informations à la disposition du public, par exemple sur votre site web ;
- La désignation d’un représentant ne vous dispense pas de votre propre responsabilité en vertu du GDPR.
Pour plus de précisions, veuillez consulter les lignes directrices officielles du Conseil européen de la protection des données (CEPD).
Exemple de situation
Exemple
Une entreprise canadienne de commerce électronique vend des articles de sport à des clients en Allemagne, en France et en Espagne. Elle n’a pas de présence physique en Europe, mais utilise Google Analytics pour suivre le comportement des visiteurs européens. Étant donné qu’elle offre activement des services aux consommateurs de l’UE et qu’elle surveille leur comportement, l’entreprise doit désigner un représentant de l’UE pour le GDPR.
Elle choisit de désigner un consultant en protection de la vie privée en Allemagne pour la représenter. Ce consultant sert de point de contact pour les régulateurs et les consommateurs allemands. Ses coordonnées seront incluses dans la déclaration de confidentialité sur le site web et pourront être facilement trouvées via la déclaration de confidentialité.
Vous cherchez un représentant de l’UE pour le GDPR ?
Si vous avez besoin d’aide pour désigner un représentant ou un DPD dans l’UE, nous vous proposons un service complet. Contactez-nous pour vous conformer à la législation européenne en matière de protection de la vie privée.
Lire la suite :
