Vous êtes soumis au Règlement général sur la protection des données qui entrera en vigueur le 25 mai 2018 et vous avez besoin d’un représentant au sein de l’UE, sans savoir à qui vous adresser ?
Le réseau international Lexing dispose d’avocats spécialisés en protection des données dans 10 pays de l’Union européenne.
Nous sommes à même d’honorer cet engagement à des conditions claires et précises, fixées dans le pack intitulé « Représentant – 27 RGPD ».
Selon le Préposé fédéral à la protection des données et à la transparence, en cas d’application de l’article 3 § 2 RGPD, l’article 27 RGPD oblige les responsables du traitement mais aussi les sous-traitants qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement.
Ce représentant (personne physique ou morale) doit être établi dans l’un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l’offre de biens ou de services qui leur est proposée ou dont le comportement est observé (art. 27 § 3).
Selon le considérant 80 et l’article 27 § 4 du RGPD, le représentant constitue notamment l’interlocuteur des autorités de contrôle (cf. article 58 RGPD) et des personnes concernées (qui sont informées de son identité et ses coordonnées via la police vie privée), sur toutes les questions relatives au traitement de données à caractère personnel.
Ce dernier devra établir, avec le responsable du traitement, un registre des activités de traitement de données à caractère personnel mises en oeuvre (cf. article 30 RGPD).
Il pourrait également faire l’objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant. Il est toutefois important de souligner que cela ne modifie en rien la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées puisque cette désignation est sans préjudice d’actions en justice qui pourraient être intentées contre les responsable du traitement et sous-traitant eux-mêmes.
L’article 27 § 2 précise que ce devoir de désignation ne s’applique pas :
- a) « à un traitement qui est occasionnel, qui n’implique pas un traitement à grande échelle des catégories particulières de données visées à l’article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10, et qui n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; cette exception sera donc rarement d’application;
- ou b) à une autorité publique ou à un organisme public.»
Vous l’aurez compris le choix de son représentant est essentiel pour toute organisation soumise au RGPD sans être établie dans l’Union européenne. Faire le choix d’un cabinet Lexing établi dans l’Union européenne, compte tenu des compétences en matière de protection des données de leurs membres, peut donc s’avérer judicieux.
Notre conseil :
Nous vous offrons, dans le strict respect des exigences légales, d’exercer cette fonction avec les garanties suivantes :
- secret professionnel
- absence de conflits d’intérêt
- maîtrise des technologies avancées et des normes juridiques européennes
- capacité de gestion des flux intracommunautaires et extracommunautaires
- maîtrise des principales langues
N’hésitez pas à nous contacter à cet effet et à nous soumettre toute demande.
Au plaisir de pouvoir vous servir.