Article 27 du RGPD : Représentant des responsables de traitement ou des sous-traitants non établis dans l’Union

L’Article 27 du RGPD impose aux responsables du traitement ou sous-traitants non établis dans l’Union européenne mais qui ciblent des résidents de l’UE, de désigner un représentant dans l’UE pour faciliter la communication avec les autorités et les personnes concernées.

L’Article 27 du RGPD expliqué

Tout responsable ou sous-traitant qui :

N’est pas établi dans l’UE, mais
Offre des biens ou services à des personnes dans l’UE, ou surveille leur comportement,

doit désigner par écrit un représentant dans un État membre où se trouvent les personnes concernées.

Ce représentant agit comme point de contact pour les autorités de contrôle (ex. la CNIL) et pour les personnes concernées.

Why is this article important for your GDPR compliance?

Il garantit que les autorités européennes puissent faire appliquer le RGPD, même vis-à-vis d’acteurs établis hors de l’UE. C’est une obligation légale essentielle pour les entreprises internationales opérant sur le marché européen.

Comment se mettre en conformité avec l’Article 27 du RGPD ?

Si vous êtes basé hors de l’UE mais ciblez des utilisateurs européens, désignez un représentant RGPD en Europe.
Rédigez un contrat clair avec ce représentant précisant ses missions.
Mentionnez ce représentant dans vos politiques de confidentialité.
Assurez-vous qu’il soit apte à répondre aux demandes et à collaborer avec les autorités.

Exemples d’application de l’Article 27 du RGPD

Une société e-commerce américaine vend en France : elle nomme un représentant RGPD basé à Paris.
Une application mobile canadienne suit les comportements d’utilisateurs allemands : elle désigne un représentant à Berlin.
Une plateforme chinoise de services en ligne, active en Espagne, engage un cabinet RGPD espagnol comme représentant.