Comment démontrer la conformité à l'article 27 du RGPD

Représentants des responsables du traitement ou des sous-traitants non établis dans l'Union

Demander demo

bas,vue,de,gratte-ciel,modernes,dans,quartier,des,affaires,contre,bleu

RGPD Article 27 traite en grande partie de la protection des droits des citoyens britanniques (ou européens), dans le cas où leurs données sont traitées par des organisations en dehors de leur pays d'origine (ou en dehors de leur union politique résidente), en grande partie par la nomination d'un représentant formel.

Article 27 du RGPD Texte juridique

Version RGPD de l'UE

Représentants des responsables du traitement ou des sous-traitants non établis dans l’Union

  1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant dans l'Union.

  2. L'obligation prévue au paragraphe 1 du présent article ne s'applique pas :

    • Le traitement qui est occasionnel n'inclut pas, à grande échelle, le traitement de catégories particulières de données visées à l'article 9, paragraphe 1, ni le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10, et il est peu probable qu'il entraîner un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement ; ou

    • Une autorité ou un organisme public.

  3. Le représentant est établi dans l'un des États membres où se trouvent les personnes concernées dont les données à caractère personnel sont traitées dans le cadre de l'offre de biens ou de services qui leur sont proposées ou dont le comportement est surveillé.

  4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être adressé en complément ou à la place du responsable du traitement ou du sous-traitant, notamment par les autorités de contrôle et les personnes concernées, sur toutes les questions liées au traitement, aux fins de garantir le respect du présent Régulation.

  5. La désignation d'un représentant par le responsable du traitement ou le sous-traitant est sans préjudice des actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant eux-mêmes.

Version du RGPD au Royaume-Uni

Représentants des responsables du traitement ou des sous-traitants non établis au Royaume-Uni

  1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne par écrit un représentant au Royaume-Uni.

  2. L'obligation prévue au paragraphe 1 du présent article ne s'applique pas :

    • Le traitement qui est occasionnel n'inclut pas, à grande échelle, le traitement de catégories particulières de données visées à l'article 9, paragraphe 1, ni le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10, et il est peu probable qu'il entraîner un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement ; ou

    • Une autorité ou un organisme public.
  3. Le représentant sera mandaté par le responsable du traitement ou le sous-traitant pour s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, notamment au commissaire et aux personnes concernées, sur toutes les questions liées au traitement, aux fins de garantir le respect du présent Régulation.

  4. La désignation d'un représentant par le responsable du traitement ou le sous-traitant est sans préjudice des actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant eux-mêmes.
Aller au sujet

Commentaire technique

Le maintien de la conformité est mesuré dans l’article 27 du RGPD à travers quatre domaines principaux :

  1. Les conditions d'applicabilité – c'est-à-dire qui est en mesure de représenter le responsable du traitement, qu'il s'agisse d'un cabinet d'avocats, d'un cabinet de conseil ou d'une entreprise privée ;

  2. Exonérations ;

  3. Où les représentants doivent être situés ;

  4. Les obligations et responsabilités des représentants.

Clause 27701 de la norme ISO 6.3.1.1 (rôles et responsabilités en matière de sécurité de l'information) et article 27 du RGPD de l'UE

Dans cette section, nous parlons des articles 27 (1), (2)(a), (2)(b), (3), (4) et (5) du RGPD.

Les organisations doivent définir des rôles et des responsabilités spécifiques aux fonctions individuelles contenues dans leur politique de protection de la vie privée – à la fois leur politique générale et leurs politiques spécifiques à un sujet.

Les personnes ayant des responsabilités spécifiques doivent être suffisamment compétentes pour effectuer des tâches liées à la confidentialité, qui doivent inclure :

  • La protection des informations personnelles et de tout actif lié à la confidentialité ;

  • Exécuter les procédures de protection de la vie privée ;

  • Activités de gestion des risques liées aux informations personnelles, y compris les mesures correctives ;

  • Toute personne qui utilise les informations et les données de l'organisation, y compris l'utilisation d'actifs TIC ;

  • Personnes ayant une responsabilité de haut niveau en matière de protection de la vie privée et déléguant des tâches à d'autres.

L'ISO reconnaît que chaque organisation est unique dans la manière dont elle traite l'information. Les domaines de responsabilité ci-dessus doivent être accompagnés de directives spécifiques au site et à l'installation qui prennent en compte les facteurs du monde réel affectant les opérations de traitement des informations personnelles d'une organisation.

Toutes les responsabilités et domaines de sécurité ci-dessus doivent être clairement documentés et mis à la disposition de tous les membres du personnel concernés.

Les organisations doivent désigner une personne que les clients (et les autorités externes) peuvent utiliser comme point de contact dédié pour toutes les questions liées aux informations personnelles (voir ISO 27701, clause 7.3.2).

En outre, les organisations doivent déléguer la responsabilité à une ou plusieurs personnes pour élaborer un programme organisationnel de gouvernance de la confidentialité qui renforce le respect des lois et réglementations locales et nationales sur les informations personnelles.

Prise en charge des clauses ISO 27701

  • ISO 27701 Article 7.3.2

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 27 (1) à (5) du RGPD de l’UEISO 27701 6.3.1.1ISO 27701 7.3.2

Comment ISMS.online vous aide

Nous disposons de fonctionnalités faciles à utiliser qui vous permettent de commencer à travailler sur la confidentialité des données dès que vous vous connectez, que vous soyez un novice ou un expert cherchant à intégrer plusieurs normes et réglementations.

La cartographie des données est facile avec notre solution PIMS. Grâce à notre outil dynamique d'enregistrement des activités de traitement préconfiguré, vous pouvez facilement enregistrer et consulter tout cela.

Si vous travaillez sur des normes ou des réglementations en matière de confidentialité, vous devrez démontrer que vous gérez bien les demandes de droits des personnes concernées (DRR). Notre espace RRC sécurisé conserve tout cela au même endroit, en le soutenant avec des rapports et des informations automatisés.

Découvrez comment nous pouvons vous aider atteignez vos objectifs RGPD en réservant une démo de 30 minutes.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage