Aujourd’hui, tant l’extraterritorialité du RGPD (article 3.2) que son obligation connexe de désigner un représentant dans l’UE (article 27) sont des particularités bien connues.
Ainsi, une entité ne disposant pas d’établissement européen mais néanmoins soumise au RGPD doit-elle désigner un représentant dédié dans l’UE. Le rôle et les responsabilités de ce dernier ont eu l’occasion d’être détaillées dans de nombreux articles et lignes directrices.
Or, comme pour toute règlementation, le risque RGPD se jugule par une mise en balance. On identifie d’une part la probabilité et la gravité d’une sanction, avant de la comparer avec le coût des mesures permettant de mitiger ou faire disparaître le risque.
Alors qu’en est-il du risque réellement encouru ici ?
Cet article 27, relativement obscur et éloigné des principes cardinaux du RGPD, fait-il vraiment la priorité des autorités de contrôle ? A l’inverse, l’absence de toute présence européenne ne permet-elle pas d’exclure ce paramètre du système de gestion des risques d’une entreprise ?
Jusqu’à mi-2020, cette position se défendait largement. Or, une nouvelle volonté politique de la Commission (I) s’est depuis traduite en une myriade de sanctions administratives, qui portent tant sur l’absence de représentant (II) que sur une mauvaise exécution concrète de sa fonction (III).
Dans un premier temps, l’instauration confuse du RGPD au sein de l’Espace Economique Européen constituait une tâche suffisamment gargantuesque pour monopoliser tant la Commission que les autorités de contrôle nationales.
Toutefois, et à mesure que l’application intra-européenne se systématisait, la Commission européenne a souhaité relancer la dynamique des contrôles extra-européens par une communication de juin 2020 (en anglais uniquement).
Dans cette dernière, la Commission rappelle ainsi qu’un « aspect important […] des règles de protection des données de l’UE est le champ d’application territorial étendu du RGPD, qui couvre également les activités de traitement des opérateurs étrangers actifs sur le marché de l’UE ».
De même, elle estime « essentiel que cette extension soit reflétée […] dans les mesures d’application prises par les autorités chargées de la protection des données ».
Enfin, elle conclut par une injonction à l’endroit des autorités de contrôle : « Le Comité est invité à […] assurer une mise en application effective à l’encontre des opérateurs établis dans des pays tiers relevant du champ d’application territorial du GDPR, notamment en ce qui concerne la désignation d’un représentant, le cas échéant (article 27) »
Depuis lors, force est de constater que cet appel a été suivi d’effet.
Dans un premier temps, des procédures de sanction ont été ouvertes envers les entreprises ne disposant pas représentant RGPD. Deux cas sont particulièrement notables : ceux de « Locatefamily » et de « Clearview AI ».
Le 12 mai 2021, l’autorité de contrôle des Pays-Bas infligeait une amende (en néerlandais uniquement) de 525 000 euros à l’entreprise Locatefamily.com,
La plateforme, dont l’activité consiste à répertorier des données personnelles sur internet, s’est en l’espèce vue sanctionner au seul motif de ne pas avoir désigné un représentant RGPD dans l’UE.
En outre, la PME s’est vue sommée d’effectuer cette désignation dans les plus brefs délais, sous astreinte de 20 000 euros supplémentaires par 15 jours de non-conformité.
Le 10 février 2022, l’autorité de contrôle italienne prononçait à l’encontre de l’entreprise américaine Clearview une amende (en italien uniquement) de 20 millions d’euros. Constatant les mêmes manquements le 13 juillet 2022, c’était au tour de l’autorité grecque de prononcer à son encontre une sanction identique et additionnelle (en grec uniquement) de 20 millions d’euros.
En l’espèce, l’activité de Clearview AI consiste à scraper le web pour collecter des images de personnes à des fins de reconnaissance faciale. Elle s’est ainsi vu reprocher de nombreux manquements au RGPD, dont l’absence de représentant RGPD pour l’UE.
C’est toutefois sa mauvaise gestion des droits des personnes qui a attiré l’attention des autorités de contrôle. Sans DPO ou représentant dans l’UE, la société n’a ainsi pas su traiter plusieurs demandes d’exercice de droit, qui se sont ensuite muées en réclamations auprès des autorités.
Outre le défaut de représentant RGPD dans l’UE, les autorités européennes se tournent également vers la désignation de représentants inadaptés, ou n’exécutant pas toutes les obligations de l’article 27.
Dans un second temps, les autorités européennes ont entamé des contrôles de l’effectivité des désignations de représentant RGPD dans l’UE. En la matière, deux cas se dénotent spécifiquement : ceux de Senseonics et d’Alpha Exploration.
Le 7 juillet 2022, l’autorité de contrôle italienne prononçait une sanction (en italien uniquement) de 45 000 euros à l’encontre de l’entreprise Senseonics.
En l’espèce, cette entreprise américaine sans établissement dans l’UE introduisait des dispositifs médicaux sur le marché européen.
A ce titre, elle avait désigné un « mandataire unique » au sens de la directive 93/42/CEE relative aux dispositifs médicaux, dont le rôle était de la représenter auprès des autorités européennes. L’autorité italienne a cependant considéré que la désignation d’un représentant au titre de cette directive n’était « pas adaptée pour répondre également aux exigences du RGPD ». Loin d’être un simple « médiateur qui se contente de mettre en relation, le représentant RGPD doit ainsi être personne qui agit au nom du représenté en ce qui concerne les obligations du RGPD.
Du fait des efforts consentis pour se mettre immédiatement en conformité, dont notamment la désignation d’un représentant RGPD dédié, la société n’aura finalement écopé que d’une sanction relativement légère.
Le 6 octobre 2022, l’autorité de contrôle italienne prononçait une sanction (en italien uniquement) de 2 millions d’euros à l’encontre de la société Alpha Exploration.
En l’espèce, si la société d’exploration minière se voyait reprocher plusieurs manquements, le représentant RGPD dans l’UE qu’elle avait désignée ne remplissait pas pleinement les fonctions dont il avait la charge.
Ainsi, l’entreprise indiquait aux personnes concernées que toute communication adressée au représentant devait lui être adressé en parallèle pour être traitée. En outre, au lieu d’une adresse mail dédiée, le représentant RGPD devait nécessairement être contacté par un formulaire web hébergé sur une autre url, et soumis à une autre politique de confidentialité.
Il semble donc que le représentant jouait, au mieux un rôle de médiateur passif, au pire un rôle d’homme de paille visant à protéger ses clients d’une sanction.
Aujourd’hui, force est de constater que les autorités européennes se sont emparées du sujet. Pour une entité sans établissement européen et soumise au RGPD, la représentation RGPD dans l’UE relève d’une obligation bien réelle. Clairement délimitée en théorie, abondamment surveillée et sanctionnée en pratique, elle ne laisse d’autre choix que de l’intégrer dans nos systèmes de gestion des risques.
DPO Consulting peut vous représenter dans l’UE. N’hésitez pas à nous contacter pour un devis.
Martin Deloy