S’inscrivant dans un réel procès d’expansion normative extraterritoriale contextualisé d’abord par la mondialisation puis par les évolutions technologiques, le législateur européen depuis quelques années cherche à étendre l’application des normes juridiques qu’il produit, afin de garantir les droits fondamentaux au-delà des frontières et responsabiliser les sociétés situées à l’étranger. Cet article vise à donner une vue d’ensemble de ce processus et en apprécier l’application au sein des normes en vigueur en matière de protection des données personnelles. Ainsi, nous étudierons les critères d’application extraterritoriale des règles sur la protection des données, l’obligation des entités situées à l’étranger de désigner un représentant et les obligations de ce dernier, qui sont communes avec les responsables du traitement et les sous-traitants, issues d’abord de la Directive (95/46). Ensuite, nous nous concentrerons sur les changements induits par le RGPD et les orientations des lignes directrices du Comité européen sur la protection des données.
En droit de l’Union européenne (UE), l’obligation de désigner un représentant n’est pas nouvelle. Elle existe depuis la Directive 95/46. L’introduction du représentant par ce texte est une manière qu’a le législateur européen de responsabiliser les organismes qui se trouvent hors de l’Union européenne, dans un contexte où la circulation de données à caractère personnelles progressait rapidement grâce à l’arrivée d’Internet. La volonté de créer la fonction de représentant avait pour objet principal de faciliter le travail des autorités nationales de contrôle en cas de violation de la réglementation sur la protection des données. La notion de représentant n’est pas née de cette Directive et n’est pas propre au droit de la protection des données personnelles. Ainsi, des figures analogues existent dans d’autres disciplines, comme en droit fiscal par exemple, ou en droit des produits cosmétiques. Il s’agit là de mandataires désignés par des personnes physiques ou morales établies hors de l’Union européenne pour accomplir des obligations imposées du fait d’avoir des activités au sein du territoire de l’UE.
Le texte européen prévoyait l’application extraterritoriale à son article 4(1)(c). En application de cette norme , chaque État membre avait l’obligation d’adopter des dispositions nationales concernant des traitements de données à caractère personnel lorsque : « […] le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté […] ».
Ces conditions d’application de l’article 4(1) divergent de celles introduites par le RGPD. En dépit de ces différences, ces règles ont comme finalité de déterminer les facteurs de connexion permettant d’étendre le périmètre d’application de la législation européenne et permettre une efficacité homogène du texte aux entités implantées en UE et en-dehors de son territoire.
Dans les dispositions adoptées par la Directive abrogée, le sous-traitant n’était pas considéré comme un acteur responsable dans la chaine de traitement, c’est pourquoi l’obligation s’appliquait seulement au Responsable du traitement.
L’article 4 de la Directive disposait que :
« Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même […] ».
Un premier constat qui relève de ce passage est la consécration du principe qui permet de garantir aux personnes concernées et aux autorités de contrôle :
Ce principe est repris par le Règlement Général sur la Protection des Données (RGPD) et est même étendu du responsable du traitement au sous-traitant.
Le second constat est que la désignation du représentant se faisait dans l’état membre dans lequel le responsable du traitement avait recouru à des moyens, automatisés ou non, pour traiter des données à caractère personnel.
Comme il sera expliqué par la suite, le RGPD supprime ce critère que l’on pourrait associer à la notion de « nexus » en droit des Etats-Unis. Ainsi, depuis l’entrée en vigueur du RGPD, le représentant doit être établi dans un seul des pays membres où le responsable du traitement cible ou suit des personnes concernées et non pas dans chaque État membre, et ceci dans l’esprit d’une Union européenne dont l’ambition est de gommer l’effet des frontières entre ses États membres.
Les articles 10 et 11 de la Directive prévoyaient l’obligation d’informer les personnes concernées en cas de collecte directe ou indirecte de leurs données personnelles, obligation pesant aussi bien sur le responsable de traitement que sur le représentant. Le représentant voyait donc sa responsabilité engagée au titre de cette obligation, de la même manière que le Responsable du traitement.
En plus de l’obligation d’information, l’article 18 imposait au responsable du traitement et au représentant, le cas échéant, l’obligation de déclarer tous les traitements aux autorités de contrôle avant la mise en œuvre dudit traitement. De plus, l’article 19 disposait que le nom du représentant devait figurer dans toute notification.
Le RGPD a modifié les conditions d’application extraterritoriale de règles sur la protection des données personnelles afin de s’adapter aux évolutions technologiques d’affaires et de mondialisation de l’économie. Il a adopté deux critères qui se fondent sur le ciblage et la surveillance des personnes concernées. Comme indiqué précédemment, en application de la Directive, un seul critère sous-tendait l’application extraterritoriale de ses dispositions : avoir recours à des moyens de traitement situés dans l’Union européenne.
Le RGPD instaure les nouveaux critères de l’extraterritorialité au paragraphe 2 de son article 3. Les nouveaux critères sont les suivants :
Pour comprendre l’étendue des deux critères de ciblage, il est nécessaire de s’appuyer sur les considérants 23 et 24 du RGPD, lesquels dressent une liste d’indices pour distinguer et caractériser les activités pouvant être considérées comme offres de biens ou de services ou de suivi de personnes. En plus, il est indispensable de suivre les lignes directrices 3/2018 du Comité européen de la protection des données (CEPD) relatives aux champs d’application territorial du RGPD.
Nous soulignerons que le Comité, dans les lignes directrices susvisées englobe, pour ce qui est du suivi comportemental, un large éventail d’activités. Cette définition extensive comprend, par exemple :
De plus, il est important de préciser que les lignes directrices du Comité européen indiquent que l’application exterritoriale s’étend non seulement au RGPD mais aussi à d’autres textes, comme les législations sectorielles de l’UE, les législations sectorielles des États membres et les législations nationales de chaque État membre.
Cela étant, si les conditions d’application de l’extraterritorialité sont réunies, il faudra toujours identifier aussi bien d’autres législations européennes ou nationales applicables aux personnes concernées. Pour ces dernières, il sera nécessaire d’analyser le droit applicable selon le pays de résidence ou de nationalité des personnes concernées, ou d’autres facteurs de connexion éventuellement utilisés. À titre d’exemple, une personne qui se trouve dans l’Union européenne et qui est de nationalité française bénéficiera de la protection du RGPD mais aussi de celle de la loi française informatique et libertés.
En conclusion, l’extraterritorialité dont jouit le RGPD profite également aux textes nationaux ou sectoriels de l’UE ayant un objectif analogue. En conséquence, si un responsable du traitement ou un sous-traitant ne respecte pas les obligations du RGPD ou des autres textes applicables ci-avant indiqués, les autorités de contrôle peuvent, conformément à l’article 58(2) du RGPD, adopter les sanctions prévues par ces textes sur le territoire de l’Union. On peut songer, par exemple, à l’application d’une mesure correctrice comme la suspension de transmission des flux de données ou l’interdiction de maintenir un traitement automatisé.
Oui, le RGPD maintient dans son article 27 l’obligation de désignation d’un représentant dans certains cas. Il faut que le responsable du traitement ou le sous-traitant ne soit pas établi dans l’Union européenne. Dans le cas contraire, nous ne trouvons plus dans un cas d’application extraterritoriale mais dans une application du RGPD en vertu du critère de l’établissement. Un représentant n’est alors plus nécessaire, mais la désignation d’un délégué à la protection des données (DPO) peut l’être.
À ce sujet, il convient de souligner que le Comité, dans ses lignes directrices 3/2018, précise que la présence d’un mandataire dans l’UE ne constitue pas un « établissement » d’un responsable du traitement ou d’un sous-traitant en vertu de l’article 3 du RGPD.
En outre, l’obligation de désigner un représentant dépend de la régularité, des risques et du volume des données.
Il doit s’agir de traitements réguliers, soit à grande échelle des données sensibles, soit d’infractions pénales ou qui comportent des risques pour les droits et libertés des personnes concernées. Il n’est pas exigé que le risque soit élevé. La notion de grande échelle est relative et il faut tenir compte du nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée, du volume de données et/ou le spectre des données traitées, de la durée, de l’étendue géographique de l’activité de traitement. Ces critères ont été définis par les lignes directrices concernant les DPD dans sa version adoptée en 2017.
La désignation est donc obligatoire dès lors que l’un de ces critères est rempli et pour l’activité du traitement spécifique des personnes localisées dans l’UE.
Existe-t-il des exceptions à l’obligation de désigner un représentant ?
L’article 27 (2) dispose que l’obligation ne s’applique pas si le traitement est « occasionnel » ou ne s’effectue pas à grande échelle, ou encore s’il ne porte pas sur des données sensibles, pénales ou qui comportent un risque pour les droits et libertés de personnes.
De plus, l’obligation ne s’applique aux personnes morales de droit public. Elles sont donc exemptées de l’obligation de désigner un représentant.
En d’autres termes, pour que naisse l’obligation, il faut que le responsable du traitement ou le sous-traitant soit une personne physique ou morale de droit privé.
Dans quel pays doit être désigné le représentant ?L’article 27(3) du RGPD prévoit que « le représentant doit être établi dans l’un des États membres où se trouvent les personnes concernées, dont les données à caractère personnel sont traitées en relation avec l’offre de biens ou de services, ou dont le comportement est surveillé ». Cette disposition diffère de la Directive qui imposait un représentant par pays.
Dans les lignes directrices 3/2018, le Comité européen de la protection des données réaffirme que le mandataire doit être établi dans le même État que les personnes concernées « […] dans les cas où une proportion importante des personnes concernées dont les données à caractère personnel sont traitées se trouvent dans un État membre donné, que le représentant soit établi dans ce même État membre ».
Les lignes directrices n’expliquent pas clairement quoi faire si le traitement concerne des personnes se trouvant dans plusieurs États membres avec une proportion importante de personnes concernées. Ainsi, il semblerait qu’il revienne au Responsable du traitement ou au sous-traitant de choisir l’un des États où est localisée une proportion importante des personnes concernées. Dans tous les cas, « le lieu de traitement n’est pas un facteur pertinent pour déterminer le lieu d’établissement du mandataire ».
De plus, le Comité indique que le représentant doit rester facilement accessible aux personnes concernées, y compris pour celles qui ne sont pas présentes dans l’État où le représentant est établi.
Quelles sont les formalités pour la désignation ?
Auparavant, le représentant devait être désigné par le responsable du traitement après de l’autorité de contrôle. Le RGPD ne prévoit aucune obligation pour le responsable du traitement ou pour le représentant lui-même de notifier la désignation de ce dernier à une autorité de contrôle. Or, le CEPD qualifie cette notification de bonne pratique.
L’article 27(4) du RGPD dispose que le représentant doit être mandaté et le considérant 80 précise que « le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom ».
La violation de l’obligation de désignation est sanctionnée par l’amende prévue à l’article 83(4) du RGPD, c’est-à-dire 2% du chiffre d’affaires annuel mondial ou jusqu’à dix millions d’euros, et pourrait être assortie d’une mesure d’astreinte ou accompagnée d’une mesure correctrice, comme celles mentionnées précédemment.
Qui peut être désigné représentant ?
Le représentant peut être une personne physique ou morale, à condition qu’il soit capable juridiquement de représenter ses mandataires. À ce sujet, le CEPD explique :
Est-ce que la désignation a pour effet de déresponsabiliser le responsable du traitement ou le sous-traitant ?
Comme le prévoyait la Directive de 1995, le Règlement a maintenu le principe de responsabilisation du responsable du traitement et du sous-traitant. Cela signifie que le fait de mandater un représentant ne dédouane pas le responsable de traitement ou le sous-traitant de leurs responsabilités au regard du règlement. En effet, l’article 27(5) dispose que « la désignation d’un représentant par le responsable du traitement ou le sous-traitant est sans préjudice d’actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même ». Le mandat serait donc un mandat de représentation.
Est-ce que le représentant doit informer les personnes concernées ?
Le Règlement n’impose pas aux représentants mandatés l’obligation d’informer les personnes concernées en cas de collecte directe ou indirecte de leurs données personnelles conformément aux articles 12, 13 et 14, puisqu’il s’agit d’une obligation revenant exclusivement au responsable du traitement. Toutefois, en France, l’article 82(1) de la Loi informatique et libertés dispose que tout abonné ou utilisateur d’un service de communication électronique doit être informé de manière claire et complète, sauf s’il l’a été au préalable par le responsable du traitement ou son représentant.
Cette disposition nous semble prévoir que, en cas de dépôt de cookies ou tout autre traceur électronique, l’obligation d’information pèse sur l’un comme sur l’autre, de manière non cumulative. En cas de non-respect de cette obligation d’information, l’un comme l’autre peut donc être poursuivi.
Est-ce que le représentant doit tenir le registre du traitement et le mettre à disposition des autorités de contrôle ?
La réponse est affirmative. L’article 30 du RGPD oblige aussi bien les responsables du traitement, les sous-traitants et le représentant à tenir un registre des activités de traitement et de le mettre à disposition de l’autorité de contrôle. Cette obligation est donc commune et partagée entre ces trois acteurs. L’obligation de tenir le registre portera uniquement sur les activités de traitements des personnes localisées dans l’Union européenne.
Pour le CEPD, le responsable du traitement et le sous-traitant continuent d’être responsables de la tenue de registre, ceux-ci ne peuvent donc pas se décharger de cette obligation en arguant qu’un représentant a été désigné pour tenir le registre.
De plus, le CEPD considère qu’ils doivent fournir au représentant toutes les informations exactes et à jour afin que le registre puisse être maintenu à jour et mis à disposition des autorités le cas échéant.
Est-ce que le représentant a pour mission de servir de point de contact ?
Oui, celle-ci est l’une de obligations centrales du représentant et communes avec son mandant. L’article 27(4) du RGPD prévoit que le représentant est la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser pour toutes questions relatives aux traitements. Le considérant 80 précise que « ce représentant devrait accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant […] pour assurer le respect du présent règlement ».
Le même article 27(4) précise aussi qu’il peut être un point de contact principal ou secondaire avec le Responsable du traitement et le sous-traitant. Cette obligation est donc commune entre le représentant et son mandant, à l’instar de la tenue du registre.
La désignation du représentant n’empêche donc pas les personnes concernées ou les autorités de contrôle de prendre contact directement avec le responsable du traitement et le sous-traitant.
L’obligation de coopération avec les autorités de contrôle fait-elle partie des obligations pesant sur le représentant ?
Oui, l’article 31 du Règlement dispose que le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants doivent coopérer avec l’autorité de contrôle, à la demande de celle-ci. Le considérant 80 indique que « ce représentant devrait […] coopérer avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du présent règlement ». Cette exigence est aussi l’une des obligations communes du représentant avec le responsable du traitement et le sous-traitant, et est attachée à l’obligation de faciliter la communication afin d’assurer le respect du règlement.
Pour le CEPD, dans ses lignes directrices 3/2018 « en pratique, cela signifie qu’une autorité de contrôle prendrait contact avec le représentant pour toute question relative aux obligations de conformité […] et le mandataire doit être en mesure de faciliter tout échange d’informations ou de procédure ».
Revient-il au représentant de présenter les formalités devant les autorités de contrôle ?
La réponse est affirmative, c’est une des obligations communes avec le responsable de traitement et/ou le sous-traitant.
En effet, les demandes d’avis adressées aux autorités de contrôle doivent préciser l’identité et l’adresse du représentant si le responsable du traitement ou le sous-traitant n’est pas établi dans un État membre de l’Union européenne.
Or, compte tenu du régime de responsabilisation active adopté par le RGPD, il n’est pas obligatoire de déclarer la plupart des traitements donc cela relève d’une activité plutôt exceptionnelle.
Les déclarations devant les autorités de contrôle s’appliquent qu’à certains traitements. En France sont soumis aux formalités préalables, celles réalisés à des finalités régaliennes ou pour la recherche médicale.
Alexandre Marin