ÉVALUATION

Faites notre test d'évaluation pour savoir si vous devez nommer un délégué à la protection des données.

Article 27 du site RGPD stipule que les entreprises situées en dehors de l'UE doivent désigner un représentant pour la protection des données (sauf si certaines exceptions limitées appliquer).

Découvrez si vous devez désigner un représentant de l'UE et/ou du Royaume-Uni en remplissant le test d'évaluation ci-dessous.

Votre entreprise offre-t-elle des biens ou des services à des personnes physiques qui se trouvent dans l'UE et/ou au Royaume-Uni (à titre onéreux ou gratuit) ?

Article 27

1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union.

2. L'obligation prévue au paragraphe 1 du présent article ne s'applique pas :

a) un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

b) une autorité ou un organisme public.

3. Le représentant est établi dans l'un des États membres où se trouvent les personnes concernées dont les données à caractère personnel sont traitées en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé.

4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être saisi, en plus ou à la place du responsable du traitement ou du sous-traitant, notamment par les autorités de contrôle et les personnes concernées, de toutes les questions relatives au traitement, afin d'assurer le respect du présent règlement.

5. La désignation d'un représentant par le responsable du traitement ou le sous-traitant est sans préjudice des actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même

Existe-t-il des exceptions à l'application de l'article 27 du RGPD aux entreprises non européennes ?

Le RGPD ne s'applique pas aux entreprises non européennes si elles sont une autorité ou un organisme public ou si les conditions cumulatives suivantes sont remplies :

(i) la société ne traite qu'occasionnellement les données à caractère personnel de personnes dans l'UE

ii) le traitement ne comprend pas le traitement à grande échelle de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations et infractions pénales et

iii) la nature, le contexte, la portée et la finalité du traitement ne risquent pas de présenter un risque pour les droits et libertés.