7 erreurs RGPD à éviter si vous faites des affaires avec l'UE
Vos produits ou services sont-ils destinés au marché européen ?
Découvrez les 7 erreurs qui peuvent conduire à bloquer l'accès de vos produits ou services au marché de l'Espace économique européen (l'EEE).
En effet, les organismes établis en dehors de l'EEE sont tenus de prendre des mesures pour protéger les données à caractère personnel des personnes. Par exemple, si vous êtes établi en dehors de l'EEE, mais que vous collectez quand même le nom, l'adresse, le courriel, le numéro de téléphone des résidents des pays de l'EEE, vous devez désigner un représentant au sein de l'EEE pour assurer le respect du RGPD. De même, il est demandé que certains de ces organismes désignent un délégué à la protection des données (le "DPD" ou le “DPO”).
À première vue, ces rôles peuvent sembler similaires. Pourtant, les responsabilités de chaque rôle, les exigences à remplir pour exercer ces fonctions et les circonstances qui nécessitent leur nomination présentent des différences significatives.
Avec cet article, vous obtiendrez en plus une meilleure compréhension de ces différences afin dans le but de respecter les obligations du RGPD.
Ne pas nommer un représentant dans l'EEE
Un représentant de l'UE est nécessaire chaque fois qu'un organisme sans siège dans l'UE collecte et traite des données à caractère personnel de résidents d'au moins un des États membres de l'EEE. En l’absence d’une telle nomination, vous pouvez vous empêcher d'accéder au marché européen.
Seules deux exceptions vous permettent de déroger à cette obligation.
La première exception est déclinée en trois conditions cumulatives. Ainsi, vous ne devez pas désigner un représentant européen uniquement si le traitement de données à caractère personnel que vous effectuez :
- est occasionnel ;
- n'inclut pas le traitement à grande échelle de catégories particulières de données ou le traitement de données à caractère personnel relatives à des condamnations et infractions pénales ; et
- n'est pas susceptible de mettre à risque les droits et libertés des personnes physiques.
La seconde dérogation est la suivante : si vous êtes une autorité ou un organisme public étranger, vous n'êtes pas tenu de désigner un représentant dans l'Union européenne (l'UE).
Les sites web accessibles depuis l'UE, par exemple, traitent sans doute des données personnelles de résidents de l'UE chaque jour, pourra difficilement prétendre que le traitement est occasionnel.
Ainsi, si vous vous ne trouvez pas dans l’une de deux situations précitées, vous n’avez pas à nommer un représentant pour la protection des données personnelles dans l’UE.
Ce représentant peut être une personne physique ou morale. Ce représentant peut être un individu ou une personne morale, ayant les compétences nécessaires pour exercer ses fonctions. Cela laisse de la place à la deuxième erreur que vous pourriez commettre lorsque vous désignerez votre représentant.
Ne pas connaître les fonctions de votre représentant européen
Une simple nomination d'un représentant ne suffit pas si celui-ci ne comprend pas ce qu'il faut faire ou encore s'il n'est pas en mesure d'acquérir les connaissances nécessaires à l'exercice de ses fonctions.
Les représentants de l'UE doivent donc répondre à deux grandes attentes.
1) Le premier volet des fonctions de votre représentant consiste à agir en tant que point de contact pour les personnes concernées et pour les autorités chargées de la protection des données (les DPA) dans l'EEE, ce qui implique notamment de fournir toutes les informations dont ces dernières ont besoin pour les audits, et de détenir une copie du registre des activités de traitement de l'organisme situé en dehors de l'UE.
2) Le deuxième volet consiste à apporter une assistance et un appui pour les notifications de violation de données. Cette tâche découle de l'obligation de notifier une violation de données aux autorités de protection des données (DPA) respectives, qui pèse sur les entreprises basées en dehors de l'UE. Celles-ci doivent notifier toute violation de données susceptibles d'affecter considérablement les libertés et droits fondamentaux de leurs clients aux autorités de protection des données des pays où se trouvent les personnes touchées. Si l'ensemble des pays de l'EEE sont concernés par une violation de données, l'organisme devra potentiellement notifier un total de 46 DPA, car certains États membres, comme l'Allemagne, ont plus d'une DPA. Étant donné que chaque DPA peut avoir des règles particulières en matière de notification des violations de données, notamment en ce qui concerne le respect de la langue officielle du pays, l'ensemble du processus peut être très difficile, compte tenu notamment du délai strict de 72 heures.
Ne pas différencier les rôles de représentant de l'UE et de délégué à la protection des données
L'obligation de nommer un représentant de l'UE est souvent négligée, et assimilée à celle de désigner un délégué à la protection des données. Pourtant, les différences existent.
Le rôle du délégué à la protection des données est de conseiller, d'informer et d'accompagner les organisations sur les aspects liés à la protection des données et à la conformité interne. Les DPD doivent être indépendants et ne peuvent recevoir aucune instruction concernant l'exercice de leurs tâches.
C'est tout le contraire du rôle du représentant de l'UE, qui n'agit au nom de la société hors UE en fonction des instructions qu'il reçoit de cette dernière.
En fait, lorsque les rôles du DPO et du représentant sont différenciés, il est essentiel qu'ils soient correctement répartis. Il a été confirmé que le fait de confier les deux rôles à la même personne en même temps est incompatible ; mais les deux fonctions peuvent parfois se chevaucher. Prenons par exemple le cas où le DPO et le représentant jouent tous deux le rôle de point de contact pour les demandes des personnes concernées et les DPA. Dans ce cas, il est primordial de mettre en place une procédure pour clarifier "qui fait quoi".
Ne pas maintenir un lien étroit de fait avec votre représentant de l'UE
De même que le rôle du délégué à la protection des données peut être externalisé, le rôle de représentant peut également être assuré par un professionnel basé dans l'UE. Mais celui-ci ne peut pas répondre seul aux demandes des personnes concernées ou des autorités chargées de la protection des données. En effet, le représentant de l'UE ne peut agir que selon vos instructions. En outre, par définition, le représentant sera toujours basé en dehors de votre organisme, puisqu'il doit être basé dans l'UE. Cela signifie que votre représentant n'a pas accès aux bases de données de vos clients et ne peut fournir de manière indépendante un contenu aux personnes concernées ou aux DPA compétentes.
Autrement dit, le représentant de l'UE ne fait que prendre les messages et transmettre les informations au responsable du traitement et au sous-traitant situés à l'étranger, puis communique à nouveau avec la personne concernée ou la DPA, après avoir reçu des instructions du responsable du traitement ou du sous-traitant.
Ne pas nommer de représentant par peur des sanctions relatives au conformité RGPD
Certains organismes non européens ne semblent pas vouloir nommer un représentant de l'UE, de peur de se voir infliger des amendes au titre du RGPD. Ils pensent qu'en agissant ainsi, ils risquent de se faire démasquer. Vous devez savoir qu'il existe une coopération internationale importante entre les juridictions de l'UE et des pays tiers sur ces questions et que l'argument ne tiendra peut-être pas très longtemps. Et les sanctions seront multipliées.
A titre d'exemple, il y a un cas datant du 3 juillet 2019 devant la DPA autrichienne dans lequel le responsable du traitement est une société basée aux États-Unis et il avait nommé un représentant auprès de l'UE aux Pays-Bas. La DPA a décidé d'adresser sa décision directement à la société américaine plutôt qu'au représentant de l'UE. En effet, le RGPD n'implique pas de transfert de responsabilité. Cela montre clairement que les autorités européennes n'hésitent pas à s'adresser à des entreprises situées en dehors de l'UE/EEE.
Au-delà de cette question des sanctions, la plupart des entreprises non européennes ayant désigné un représentant de l'UE jusqu'à présent l'ont fait parce qu'elles travaillent avec des partenaires européens qui exigent d'être en conformité avec le RGPD pour pouvoir continuer leur collaboration. Ainsi, vous pouvez montrer à vos clients européens que la protection des données personnelles revêt une grande importance pour votre organisation avec la nomination notamment, d’un interlocuteur dans l'UE/EEE comme point de contact sur ce sujet.
Ne pas définir un régime de responsabilité
À première vue, certains peuvent dire que la responsabilité directe du représentant de l'UE se limite à ses obligations de détenir une copie du registre des activités de traitement des pays tiers (hors UE/EEE) et de fournir toute information requise par les autorités pour l'accomplissement de leurs tâches.
Cependant, la responsabilité indirecte implique que les représentants de l'UE sont soumis à des procédures d'exécution. Par exemple, la législation nationale espagnole prévoit que le représentant de l'UE est conjointement responsable avec le responsable du traitement ou le sous-traitant établi hors de l'UE.
Le Comité européen de protection des données a clairement indiqué que "l'intention était de permettre aux autorités de contrôle (...) d'adresser au représentant les mesures correctives ou les amendes et sanctions administratives imposées au responsable du traitement ou au sous-traitant non établi dans l'Union". Il est donc très probable qu'une autorité de contrôle transmette l'amende au représentant de l'UE. Il est donc fondamental que vous disposiez d'un solide accord de mandat couvrant cette question.
Ne pas faire appel à un délégué à la protection des données
La seule nomination d'un représentant de l'UE ne suffira pas à vous conformer. En effet, pour s’occuper de votre conformité interne vous avez besoin du chef d'orchestre : le DPO. Il faut donc désigner un DPO, en plus d'un représentant de l'UE.
Votre organisme doit désigner un délégué à la protection des données si vos activités principales :
- nécessitent un suivi régulier, systématique et à grande échelle des personnes (par exemple, publicité comportementale en ligne, centres d'appel, services à la clientèle) ou
- consistent en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations et infractions pénales (par exemple, moteurs de recherche, compagnies d'assurance, sociétés d'analyse de sites web).
Un délégué à la protection des données peut également être obligatoire en vertu de la législation de certains États membres. De plus, les autorités européennes le recommandent, car elles considèrent le DPD/DPO comme la pierre angulaire de la responsabilisation, facilitant le respect des obligations en matière de protection des données.
Cette obligation s'applique, quel que soit le lieu d'établissement de votre organisme. Sachez que les autorités européennes de contrôle de la protection des données ont recommandé que le délégué à la protection des données soit situé dans l'UE, même si votre organisme ne l'est pas. Cela permet à vos actions de conformité d'être en accord avec les évolutions dans l'UE - cette proximité est primordiale. Votre délégué à la protection des données doit également être en mesure de coopérer avec différentes autorités de protection des données, dont les règles peuvent varier, tout comme la langue utilisée.
Si vous cherchez un DPO/DPD ou Représentant de l’UE pour votre organisme, nous serons ravis de recueillir vos besoins et de réfléchir ensemble à la meilleure solution RGPD selon vos obligations légales / budget / priorités business qui vous incombent.