menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : France) language
Contactez notre membre local en France mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 27
Article suivantarrow_forward

Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union

Textes
Officiels Guidelines Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 27 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 27 keyboard_arrow_up

Articles liés à l'article 27

Mots clés liés à l'article 27

Afficher les considérants du Règlement liés à l'article 27 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 27 keyboard_arrow_up

(80) Lorsqu'un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l'Union et que ses activités de traitement sont liées à l'offre de biens ou de services à ces personnes dans l'Union, qu'un paiement leur soit demandé ou non, ou au suivi de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union, il convient que le responsable du traitement ou le sous-traitant désigne un représentant, à moins que le traitement soit occasionnel, n'implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et soit peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public. Le représentant devrait agir pour le compte du responsable du traitement ou du sous-traitant et peut être contacté par toute autorité de contrôle. Le représentant devrait être expressément désigné par un mandat écrit du responsable du traitement ou du sous-traitant pour agir en son nom en ce qui concerne les obligations qui leur incombent en vertu du présent règlement. La désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du présent règlement. Ce représentant devrait accomplir ses tâches conformément au mandat reçu du responsable du traitement ou du sous-traitant, y compris coopérer avec les autorités de contrôle compétentes pour toute action visant à assurer le respect du présent règlement. Le représentant désigné devrait faire l'objet de procédures coercitives en cas de non-respect du présent règlement par le responsable du traitement ou le sous-traitant.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 27.

Le GDPR

En cas d’application de l’article 3.2, l’article 27 du Règlement oblige les responsables du traitement mais aussi le sous-traitant qui ne sont pas établis dans l’Union à y désigner par écrit un représentant, lorsque le Règlement s’applique à leurs activités de traitement.

Comme exposé précédemment (cfr. commentaire de l’article 3.2), le Règlement est rendu applicable à un responsable ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes concernées ou  à l'observation de leur comportement, dans la mesure où celui-ci a lieu au sein de l'Union européenne.

Rappelons ici que suivant l’article 4.17 du Règlement le représentant est « toute personne physique ou morale établie dans l'Union, (…) désignée par le responsable du traitement ou le sous-traitant par écrit, conformément à l'article 25, qui représente ce dernier ou le sous-traitant en ce qui concerne leurs devoirs respectifs en vertu du présent Règlement ». Soulignons d’ores et déjà qu’une convention écrite devient indispensable pour ladite désignation.

La disposition précise que ce devoir ne s’applique pas au traitement qui est occasionnel et qui n’inclut pas, sur une large échelle, le traitement de données sensibles au sens de l’article 9 (1) ou de données relatives aux condamnations et infractions pénales (art. 10) et ne crée probablement aucun risque pour les droits et des libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement. Il en va de même lorsque le responsable ou le sous-traitant est une autorité ou un organisme public.

Ce représentant doit être établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

Le représentant, qui agit pour le compte du responsable ou du sous-traitant, constitue notamment l’interlocuteur des autorités de contrôle (Cfr. article 58.) et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel. Ce dernier doit être expressément mandaté par écrit par le responsable du traitement ou le sous-traitant afin d'agir en son nom pour remplir les devoirs qui lui incombent en vertu du Règlement et d’être consulté en complément ou à la place du responsable ou du sous-traitant, notamment par les autorités de contrôle et les personnes concernées.

Il incombe également à ce représentant de tenir un registre de toutes les catégories d'activités de traitement de données à caractère personnel mises en œuvre sous leur responsabilité (Cfr. article 30)

La principale innovation du second projet de Règlement est de prévoir la possibilité de prononcer des mesures coercitives à l’encontre du représentant en cas de non-respect du présent Règlement par le responsable du traitement (cfr le considérant 80 et l’article 27 (4) du règlement). Cela étant, la désignation d’un représentant ne modifie en rien la responsabilité du responsable du traitement ou du sous-traitant à l’égard des autorités et des personnes concernées puisque la désignation d’un représentant est sans préjudice d'actions en justice qui pourraient être intentées contre les responsable du traitement et sous-traitant eux-mêmes.

La Directive

L’article 4.2. de la Directive prévoyait que le responsable qui n’a pas d’établissement dans l’Union mais qui relève du droit de l’Union en vertu du critère d’application extraterritoriale de la réglementation européenne doit désigner un représentant sur le territoire de l’Etat membre dont il relève en vertu de l’article 4.1., c).

France

Conformément à l’article 4.2 de la Directive, la loi Informatique et Libertés oblige le responsable qui n’a pas d’établissement sur le territoire français mais qui relève de la loi française, à désigner un représentant établi sur ledit territoire. Cette désignation est sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même.

Difficultés probables ?

La désignation du représentant en Europe apparaît comme un début de solution afin de garantir l’efficacité de la réglementation européenne à l’égard des traitements dont le responsable est établi hors de l’Union. On saluera la possibilité prévue par le second projet de Règlement de prononcer des sanctions à l’encontre du représentant au cas où les activités de traitement ne sont pas conformes au Règlement.

Toutefois, les contours flous de la première exception à l’obligation de désigner un représentant nous semblent source d’insécurité juridique, dès lors qu’elle délaisse aux responsables du traitement ou sous-traitants établis hors de l’Union, le soin d’apprécier si le traitement envisagé présente des risques ou non au regard des droits et des libertés des personnes physiques résidant dans l’Union.

On regrette aussi que les autorités publiques étrangères soient automatiquement exemptées de l’obligation de désignation d’un représentant. Si on conçoit les difficultés diplomatiques qu’une telle désignation aurait pu entraîner, elle laisse sans défense les personnes concernées par de tels traitements. On aurait pu aussi imaginer soumettre l’Union à un devoir de négocier un traité ou un accord avec les Etats dont relèvent ces autorités afin de garantir la protection des personnes concernées.

arrow_back Article précédentArticle 27Article suivant arrow_forward
arrow_back Article précédentArticle 27 Article suivant arrow_forward
arrow_back Article précédent Article 27 Article suivant arrow_forward

Sommaire

Union Européenne

France

Union Européenne

Jurisprudence de la CJUE

C-131/12 (13 mai 2014) - Google Spain et Google

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu 

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-191/15 (28 juillet 2016) - Verein für Konsumenteninformation

1)      Le règlement (CE) no 593/2008 du Parlement européen et du Conseil, du 17 juin 2008, sur la loi applicable aux obligations contractuelles (Rome I) et le règlement (CE) no 864/2007 du Parlement européen et du Conseil, du 11 juillet 2007, sur la loi applicable aux obligations non contractuelles (« Rome II »), doivent être interprétés en ce sens que, sans préjudice de l’article 1er, paragraphe 3, de chacun de ces règlements, la loi applicable à une action en cessation au sens de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs, dirigée contre l’utilisation de clauses contractuelles prétendument illicites par une entreprise établie dans un État membre qui conclut des contrats par voie de commerce électronique avec des consommateurs résidant dans d’autres États membres et, notamment, dans l’État du for, doit être déterminée conformément à l’article 6, paragraphe 1, du règlement no 864/2007, alors que la loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement no 593/2008, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective.

2)      L’article 3, paragraphe 1, de la directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doit être interprété en ce sens qu’une clause des conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur, est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, en vertu de l’article 6, paragraphe 2, du règlement no 593/2008, de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause, ce qu’il appartient à la juridiction nationale de vérifier à la lumière de toutes les circonstances pertinentes.

3)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre. Il appartient à la juridiction nationale d’apprécier si tel est le cas.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire Retour au sommaire

France

Jurisprudence française

Cass. Fr., n°04-80.048 (16 mars 2004)

Il résulte de l'arrêt attaqué et des pièces de la procédure que, pour les besoins d'une enquête préliminaire portant sur des faits de vols aggravés auxquels se seraient livrés des individus d'origine roumaine, les services de gendarmerie ont regroupé sous forme de tableaux des informations obtenues tant d'un officier d'état civil que d'un témoin, à partir desquels ils ont, dans un procès-verbal de synthèse, dégagé les liens existant entre des personnes, des véhicules et des domiciles ;

L'utilisation d'un appareillage informatique ne suffit pas, à elle seule, à caractériser un traitement automatisé au sens de l'article 5 de la loi "informatique et libertés", et que rien ne permet de retenir que les informations collectées aient fait l'objet d'un traitement automatisé, ni même qu'elles aient été conservées au-delà de leur édition sur support papier.

Arrêt rendu

Retour au sommaire
arrow_back Article précédent Article 27 Article suivant arrow_forward
Règlement
1e 2e

Art. 27

1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement ou le sous-traitant désigne parécrit un représentant dans l'Union.

2. Cette obligation ne s'applique pas:

a) à un traitement qui est occasionnel, qui n'implique pas un traitement à grande échelle des catégories particulières de données visées à l'article 9, paragraphe 1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10, et qui n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement; ou

b) à une autorité publique ou à un organisme public;

3. Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques et dont les données à caractère personnel font l'objet d'un traitement lié à l'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.

4. Le représentant est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui, notamment, les autorités de contrôle et les personnes concernées doivent s'adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.

5. La désignation d'un représentant par le responsable du traitement ou le sous- traitant est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant lui-même.
Proposition 1 close

1. Dans le cas visé à l'article 3, paragraphe 2, le responsable du traitement désigne un représentant dans l'Union.

2. Cette obligation ne s’applique pas:

a) à un responsable du traitement établi dans un pays tiers lorsque la Commission a constaté par voie de décision que ce pays tiers assurait un niveau de protection adéquat conformément à l'article 41;

ou b) à une entreprise employant moins de 250 salariés;

ou c) à une autorité ou à un organisme publics;

ou d) à un responsable du traitement n'offrant qu'occasionnellement des biens ou des services à des personnes concernées résidant dans l'Union.

3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même.
Proposition 2 close

1. Lorsque l'article 3, paragraphe 2, s'applique, le responsable du traitement désigne par écrit un représentant dans l'Union.

2. Cette obligation ne s'applique pas:

a) (…);

ou b) au traitement qui est occasionnel et peu susceptible de constituer un (...) risque au regard des droits et des libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement (...);

c) à une autorité ou à un organisme publics;

d) (…)

3. Le représentant est établi dans l'un des États membres dans lesquels résident les personnes physiques dont les données à caractère personnel sont traitées dans le contexte de l'offre de biens ou de services qui leur est proposée ou dont le comportement est observé.

3 bis. Le représentant est mandaté par le responsable du traitement afin d'être consulté en complément ou à la place du responsable du traitement, notamment par les autorités de contrôle et les personnes concernées, sur toutes les questions relatives au traitement de données à caractère personnel, aux fins d'assurer le respect du présent règlement.

4. La désignation d'un représentant par le responsable du traitement est sans préjudice d'actions en justice qui pourraient être intentées contre le responsable du traitement lui-même.
Directive close

Art. 4

1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;

b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;

c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.
France
compare_arrows
visibility Ancienne loi

Art. 5

 I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.

Art. 5-1

Créé par la loi n°2018-493 du 20 juin 2018

Les règles nationales prises sur le fondement des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.

Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa du présent article sont celles dont relève le responsable de traitement, lorsqu'il est établi dans l'Union européenne.
Ancienne loi close

Art. 5

 I. - Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne.

II. - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.
Italy close

Art. 5 D.Lgs. 196/2003 - Subject-Matter and Scope of Application

1. This Code shall apply to the processing of personal data, including data held abroad, where the processing is performed by any entity established either in the State’s territory or in a place that is under the State’s sovereignty.

2. This Code shall also apply to the processing of personal data that is performed by an entity established in the territory of a country outside the European Union, where said entity makes use in connection with the processing of equipment, whether electronic or otherwise, situated in the State’s territory, unless such equipment is used only for purposes of transit through the territory of the European Union. If this Code applies, the data controller shall designate a representative established in the State’s territory with a view to implementing the provisions concerning processing of personal data.

3. This Code shall only apply to the processing of personal data carried out by natural persons for exclusively personal purposes if the data are intended for systematic communication or dissemination. The provisions concerning liability and security referred to in Sections 15 and 31 shall apply in any case.
arrow_back Article précédentArticle 27 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.