525 000 euros pour absence de représentant
L'autorité de contrôle néerlandaise a infligé le 12 mai 2021 une sanction de 525 000 euros à une société canadienne qui n'avait aucun représentant dans l'Union européenne (UE).
Le site internet Locatefamily.com, édité par la société éponyme de droit canadien, a pour activité la recherche de personne qui pourrait être dans sa famille. A ce titre, elle publie les noms, adresses et téléphones de personnes sans recueillir leur consentement.
La société n'avait pas d'établissement dans l'UE et traitement les données d'au moins 700 000 hollandais.
L’autorité de contrôle néerlandaise a reçu des dizaines de plaintes concernant ce site et les difficultés de pouvoir faire retirer ses coordonnées sur le site. Les personnes concernées n’étaient pas informées que leurs coordonnées étaient rendues publiques et pouvaient s’étonner de voir quelqu’un frapper à leur porte.
Une démarche de coopération a été mise en place entre 9 autorités de contrôle en lien avec le comité européen de protection des données afin d’apporter une réponse aux plaignants.
L'autorité de contrôle du Canada, le Commissariat à la protection de la vie privée du Canada, a également été impliquée dans le processus.
Une amende a été infligée en grande partie pour absence de désignation de représentant dans l’UE au sens de l'article 27 du RGPD. En effet, l’absence de représentant empêchait les personnes concernées de se retourner contre une structure européenne afin de faire valoir leurs droits, notamment leur droit d’opposition et d’effacement.
C’est la première fois qu’une autorité sanctionne une entreprise pour ce type de manquement.
C'est quoi un représentant ?
Le considérant 80 et l’article 27 du RGPD nous apportent des éléments de réponse.
Le représentant est défini comme étant « une personne physique ou morale établie dans l'Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l'article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement » (article 4 du RGPD).
Dans quelles conditions désigner un représentant ?
Il doit être désigné dans les conditions suivantes :
- il doit représenter un responsable de traitement(RT) ou le sous-traitant (ST) qui n’est pas établi dans l’UE ;
- le RT ou ST traite des données de personnes concernées qui se trouvent dans l’UE ;
- les activités de traitement sont liées à l'offre de biens ou de services à ces personnes dans l'UE, qu'un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l'UE.
En pratique, l'utilisation de données personnelles de personnes sur le territoire européen dans le cadre d'un annuaire sur un site internet constitue une offre de biens et de services à ces personnes.
Cette règle ne s’applique pas si
- le RT ou le ST n’est pas dans l’obligation de tenir un registre des activités de traitement ou catégories d’activités de traitement. En effet, les critères d’exemption sont les mêmes (traitement occasionnel, traitement qui ne comporte pas de données sensibles ou de données d’infraction) ;
- si le RT ou le ST est un organisme public ou une autorité publique.
Comment désigner un représentant ?
Il faut un mandat écrit par le responsable du traitement ou le sous-traitant.
Quelles responsabilités ?
Le représentant est le point de contact des autorités de contrôle dans l’UE et agit au nom du RT ou du ST dans le cadre de leurs obligations au sens du RGPD.
Le représentant peut faire l’objet de poursuites par les autorités de contrôle en cas de non-respect des règles pas les RT et ST mais cela n’empêche pas les RT ou ST de faire l’objet de mesures coercitives directement. La sanction de Locatefamily.com est un bon exemple.