Article 27 RGPD : le représentant de l'UE en pratique

L’article 27 du RGPD est l’angle mort des programmes de conformité des opérateurs non-européens. Quand une entreprise américaine, britannique, suisse, indienne ou singapourienne offre des biens ou services à des personnes situées dans l’Union, ou observe leur comportement sur le territoire européen, elle entre dans le champ d’application territorial de l’article 3(2) du RGPD — et l’Art. 27 lui impose une obligation simple mais structurante : désigner par écrit un représentant dans l’Union. C’est ce manquement, et non l’absence de base légale, qui a permis à la CNIL d’infliger 20 millions d’euros à Clearview AI en 2022 puis 5,2 millions d’euros d’astreinte en 2023, et au Datatilsynet norvégien de sanctionner Grindr à hauteur de 65 millions de couronnes. Dans ma pratique, je constate que la majorité des opérateurs étrangers sous-estiment cette obligation, la confondent avec le DPO ou la traitent comme une formalité de boîte aux lettres. Voici son décryptage paragraphe par paragraphe et le plan opérationnel que je recommande.

Ce que dit l’article 27 du RGPD

L’Art. 27 s’intitule « Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l’Union ». Il comporte cinq paragraphes structurants :

• Art. 27(1) pose l’obligation de principe : quand l’Art. 3(2) s’applique, le responsable ou le sous-traitant désigne par écrit un représentant dans l’Union ;
• Art. 27(2) énumère deux exceptions : traitement occasionnel n’incluant pas, à grande échelle, des données sensibles (Art. 9) ou pénales, et qui n’est pas susceptible de risque pour les droits et libertés ; OU autorité publique ou organisme public d’un pays tiers ;
• Art. 27(3) fixe la règle de localisation : le représentant doit être établi dans l’un des États membres où se trouvent les personnes concernées dont les données sont traitées ;
• Art. 27(4) définit le mandat fonctionnel : le représentant est chargé d’être le point de contact, en plus du ou à la place du responsable/sous-traitant, pour les autorités de contrôle et les personnes concernées sur toutes les questions relatives à la conformité ;
• Art. 27(5) ferme une porte : la désignation n’éteint pas les actions juridiques susceptibles d’être intentées contre le responsable ou le sous-traitant lui-même.

Le considérant 80 éclaire l’intention du législateur : permettre une mise en œuvre effective du RGPD à l’égard d’opérateurs hors UE, en créant un point de contact géographiquement saisissable par les autorités et les personnes concernées. Ce n’est pas une formalité de papier — c’est l’instrument par lequel le caractère extraterritorial du règlement (Art. 3(2)) devient opérationnel. Pour le cadre général de l’extraterritorialité, voir mon analyse de l’article 48 RGPD sur les injonctions étrangères et du transfert de données hors UE.

L’obligation de principe : Art. 27(1) et son champ d’application

Le déclencheur de l’Art. 27(1) est l’application de l’Art. 3(2) RGPD, qui retient deux critères alternatifs : l’offre de biens ou services à des personnes situées dans l’Union (que le paiement soit exigé ou non), et le suivi du comportement des personnes sur le territoire de l’Union (cookies, profilage, tracking publicitaire). Les Lignes directrices 3/2018 du CEPD du 12 novembre 2019 sur le champ d’application territorial (version 2.1) précisent ces deux critères et constituent la lecture de référence. Un site américain qui livre en France, accepte l’euro, dispose d’une version française, mentionne la TVA UE ou cible des clients européens dans sa publicité tombe sous le critère « offre de biens ou services ». Une adtech qui pose des pixels sur des sites européens tombe sous le critère « suivi du comportement ».

Quand l’Art. 3(2) s’applique, l’obligation Art. 27(1) est automatique. Elle vise tant le responsable du traitement que le sous-traitant. Ce dernier point est essentiel : un éditeur SaaS américain ou indien qui traite des données pour le compte de clients européens est lui-même tenu de désigner son propre représentant, indépendamment des obligations de son donneur d’ordre. C’est la lecture que la CNIL a appliquée aux opérateurs sanctionnés ces dernières années.

L’écrit est constitutif : la désignation doit prendre la forme d’un mandat écrit entre le responsable/sous-traitant et le représentant, précisant l’étendue de la mission et les modalités pratiques (canaux de contact, langues, délais de réponse, coopération avec la CNIL). Une lettre de mission ou un Service Agreement font l’affaire. L’absence d’écrit est un manquement autonome, sanctionnable au plafond bas de l’Art. 83(4)(a) — 10 M€ ou 2 % du chiffre d’affaires mondial.

Les exceptions étroites de l’Art. 27(2) : trois conditions cumulatives

L’Art. 27(2)(a) prévoit une exception au profit des traitements occasionnels sous trois conditions cumulatives : le traitement doit être occasionnel (et non régulier ou structurel) ; il ne doit pas inclure, à grande échelle, le traitement de données sensibles au sens de l’Art. 9 ou de données pénales au sens de l’Art. 10 ; et il ne doit pas être susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités.

Les Lignes directrices 3/2018 du CEPD lisent ces conditions de manière restrictive. La notion de traitement « occasionnel » exclut les traitements récurrents, planifiés, intégrés à un modèle économique. Un acteur du e-commerce qui vend trois fois par an en Europe pourrait à la rigueur invoquer l’exception ; un acteur qui vend en continu, même à faible volume, ne le peut pas. La notion de « grande échelle » de données sensibles ou pénales doit s’apprécier au regard des critères de l’EDPB pour les AIPD (nombre de personnes, volume de données, durée, étendue géographique). Et le test de risque, calqué sur l’Art. 35 et l’Art. 25, aboutit à exclure la quasi-totalité des traitements online tant le profilage et le suivi sont intrinsèquement risqués.

L’Art. 27(2)(b) prévoit la seconde exception : les autorités publiques ou organismes publics d’un pays tiers ne sont pas tenus de désigner un représentant. Cette exception, marginale en pratique, couvre principalement les agences gouvernementales étrangères qui interagissent avec des résidents UE dans le cadre de leurs missions de service public.

Dans ma pratique de conseil, je vois trois écueils récurrents. Premièrement, les opérateurs qui invoquent à tort l’exception « occasionnel » alors qu’ils opèrent en continu. Deuxièmement, ceux qui s’estiment hors champ parce que leur volume européen est faible — l’Art. 3(2) ne fixe aucun seuil quantitatif. Troisièmement, ceux qui croient que la simple présence d’un DPO européen ou d’une filiale dispense de l’obligation : ce n’est le cas que si la filiale qualifie d’« établissement » au sens de l’Art. 3(1), avec exercice effectif et réel d’activités via cette installation stable — critère apprécié par la CJUE dans l’arrêt C-230/14 Weltimmo du 1er octobre 2015 et confirmé dans l’arrêt C-191/15 Verein für Konsumenteninformation du 28 juillet 2016.

L’Art. 27(3) : la règle de localisation et son sous-jacent stratégique

L’Art. 27(3) impose que le représentant soit établi dans l’un des États membres où se trouvent les personnes concernées dont les données sont traitées. La formulation est volontairement souple : si le traitement concerne des personnes dans plusieurs États membres, le responsable peut désigner son représentant dans n’importe lequel d’entre eux, à condition que ce soit un État dans lequel se trouvent effectivement des personnes concernées.

Le choix de l’État de désignation n’est pas neutre. Contrairement à l’autorité chef de file de l’Art. 56 qui suppose un établissement principal dans l’Union, l’Art. 27 ne déclenche pas le mécanisme du one-stop-shop. La jurisprudence CJUE est constante sur ce point : un opérateur hors UE qui ne dispose que d’un représentant Art. 27 reste exposé à des poursuites de la part de toutes les autorités de contrôle des États membres où des personnes concernées résident, sans bénéfice du guichet unique. C’est exactement la situation de Clearview AI, simultanément sanctionnée par la CNIL (France, SAN-2022-019 du 20 octobre 2022), la Garante (Italie, 9 mars 2022), le Hellenic DPA (Grèce, 13 juillet 2022) et l’ICO (Royaume-Uni, mai 2022). Aucune autorité « chef de file » n’a pu agréger ces procédures parce que Clearview n’avait ni établissement ni — c’est précisément le manquement — de représentant en Europe.

Le choix doit donc se faire selon trois critères pratiques : la langue principale des personnes concernées (un opérateur dont le marché européen est essentiellement germanophone aura intérêt à désigner un représentant allemand) ; la proximité avec le marché principal pour faciliter la coopération opérationnelle ; et la prévisibilité du risque réglementaire — certaines autorités, comme la CNIL ou la Garante, sont structurellement plus actives sur les opérateurs étrangers. À l’inverse, désigner un représentant dans un État où aucune personne concernée ne réside crée un manquement autonome à l’Art. 27(3).

L’Art. 27(4) : le mandat fonctionnel et ses sept facettes

L’Art. 27(4) définit le rôle opérationnel du représentant. Le texte est dense : le représentant est mandaté pour être contacté « en plus ou à la place » du responsable ou du sous-traitant, par les autorités de contrôle et les personnes concernées, « sur toutes les questions relatives au traitement, aux fins d’assurer le respect » du règlement.

Sept facettes concrètes découlent de ce mandat. Premièrement, le représentant est point de contact de la CNIL et des autres autorités UE : il reçoit les demandes d’information, les convocations, les notifications de procédure, les copies des décisions de sanction. Deuxièmement, il est point de contact des personnes concernées pour l’exercice des droits Art. 12-22 (droit d’accès, rectification, effacement, opposition, portabilité). Troisièmement, il tient et met à disposition le registre des traitements mentionné à l’Art. 30, qui doit d’ailleurs comporter expressément les coordonnées du représentant (Art. 30(1)(a) et 30(2)(a)). Quatrièmement, il coopère avec l’autorité de contrôle au sens de l’Art. 31. Cinquièmement, ses coordonnées doivent figurer dans l’information délivrée aux personnes concernées au titre de l’Art. 13(1)(a) et de l’Art. 14(1)(a) (politique de confidentialité, mentions de collecte). Sixièmement, il est destinataire des notifications de violation au titre des Art. 33-34 lorsqu’elles concernent des personnes en Europe. Septièmement, il conserve la documentation accountability dans une mesure suffisante pour pouvoir la produire à première demande.

Sur le terrain, je constate trois confusions structurantes. D’abord, le représentant Art. 27 n’est pas un DPO au sens de l’Art. 37 — leurs missions, leurs qualifications et leur régime d’indépendance diffèrent radicalement. Un opérateur soumis à l’Art. 37(1) doit désigner les deux séparément. Ensuite, le représentant n’est pas un co-responsable de traitement au sens de l’Art. 26 : il ne détermine pas les finalités et moyens, il représente. Enfin, le représentant n’est pas un sous-traitant au sens de l’Art. 28 : il n’exécute pas d’opérations de traitement pour le compte du responsable, il porte un mandat de représentation. Cette qualification a des conséquences pratiques sur le contrat à conclure et sur le régime d’engagement de responsabilité.

L’Art. 27(5) : pas de bouclier juridique

L’Art. 27(5) ferme la dernière porte : la désignation d’un représentant « est sans préjudice des actions en justice qui pourraient être intentées contre le responsable du traitement ou le sous-traitant eux-mêmes ». La formule est cruciale parce qu’elle clarifie un malentendu fréquent. Le représentant n’est pas un bouclier juridique. L’opérateur étranger reste pleinement justiciable des sanctions administratives de l’Art. 83, des actions civiles de l’Art. 82, des plaintes administratives de l’Art. 77 et des recours juridictionnels de l’Art. 79.

Mais le considérant 80 et la pratique des autorités vont plus loin. La CNIL a, dans sa délibération SAN-2022-019 Clearview AI du 20 octobre 2022, considéré que l’absence de représentant constituait un manquement autonome sanctionnable au titre de l’Art. 27 (en sus des manquements de fond Art. 6, 15, 17). Et surtout, dans sa délibération SAN-2023-006 du 10 mai 2023, elle a prononcé une astreinte de 5,2 millions d’euros pour non-exécution de l’injonction de désigner un représentant et de cesser le traitement. La même logique a été appliquée par le Datatilsynet norvégien à Grindr (décision du 13 décembre 2021, 65 M NOK ramené à 35 M NOK puis à 15,5 M NOK après recours), par l’AEPD espagnole à Glovoapp23 (10 mai 2022, 2,5 M€) et par le DSB autrichien à NOYB/Google Analytics (22 décembre 2021, sans amende mais avec injonction).

La saga Clearview illustre la portée pratique de l’Art. 27(5). Faute de représentant, la société américaine ne pouvait pas être notifiée valablement au sens du droit national d’exécution. La CNIL a notifié via le ministère de l’Europe et des Affaires étrangères. L’astreinte court depuis octobre 2022. Au jour où j’écris, Clearview n’a toujours pas désigné de représentant Art. 27 et l’exécution forcée reste un défi de droit international privé.

Articulation avec le Digital Services Act et le AI Act

Le mécanisme du représentant ne se limite pas au RGPD. Le règlement (UE) 2022/2065 sur les services numériques (DSA) impose, dans son article 13, une obligation similaire de représentant légal pour les fournisseurs de services intermédiaires établis hors de l’Union qui offrent des services dans l’Union. Le règlement (UE) 2024/1689 sur l’IA (AI Act) impose, dans son article 25, l’obligation pour les fournisseurs de systèmes d’IA à haut risque établis hors UE de désigner un représentant autorisé dans l’Union avant la mise sur le marché. Le règlement (UE) 2024/1252 sur le marché unique des données (Data Act) prévoit également un mécanisme de représentation pour les détenteurs de données et fournisseurs de services tiers.

L’enjeu pour les opérateurs internationaux n’est plus de désigner un représentant — il est de mutualiser intelligemment les fonctions de représentation Art. 27 RGPD, Art. 13 DSA, Art. 25 AI Act, Art. 22 Data Act sur un dispositif cohérent. Plusieurs cabinets de représentation européens proposent désormais des offres groupées. L’arbitrage doit se faire sur trois critères : la substance juridique du représentant (cabinet d’avocats, société commerciale, structure dédiée) ; la capacité opérationnelle à répondre aux droits des personnes dans le délai d’un mois de l’Art. 12 ; la stabilité financière suffisante pour absorber un éventuel engagement de responsabilité, même si l’Art. 27(5) confirme que la responsabilité primaire reste à l’opérateur.

Plan opérationnel en six chantiers

Pour les opérateurs hors UE entrant dans le champ de l’Art. 3(2), je recommande la séquence suivante.

Chantier 1 — Qualification. Vérifier l’application de l’Art. 3(2) avec rigueur : critère offre de biens et services (ciblage commercial, langue, devise, livraison, mentions UE, conditions générales adaptées) et critère suivi du comportement (cookies, pixels, profilage, fingerprinting). Documenter le résultat dans une note d’analyse signée. Si l’Art. 3(2) ne s’applique pas, le justifier — c’est un préalable à toute défense.

Chantier 2 — Choix de l’État de désignation. Cartographier les personnes concernées par pays UE. Identifier l’État membre où la base est la plus volumineuse ou la plus exposée. Considérer les langues, l’activité de l’autorité de contrôle locale et la jurisprudence nationale. Documenter le choix.

Chantier 3 — Sélection et contractualisation. Évaluer les prestataires de représentation : cabinets d’avocats, sociétés spécialisées, filiales dédiées. Conclure un mandat écrit détaillé : périmètre de mission (responsable ou sous-traitant, traitements couverts), canaux de contact (adresse postale, email dédié, langue), délais de réponse internes, procédure de remontée des demandes, obligations d’archivage, indemnisation, durée et résiliation. Prévoir un Service Level Agreement sur le délai d’un mois de l’Art. 12.

Chantier 4 — Publicité et transparence. Mettre à jour la politique de confidentialité avec les coordonnées du représentant au titre des Art. 13(1)(a) et 14(1)(a). Mettre à jour le registre Art. 30 avec les coordonnées Art. 30(1)(a) ou Art. 30(2)(a) selon que l’on est responsable ou sous-traitant. Ajouter les coordonnées du représentant sur les pages de contact, de demande d’exercice des droits, de notification de violation.

Chantier 5 — Procédures internes. Construire le pipeline opérationnel : circuit de transmission des demandes reçues par le représentant vers les équipes internes (juridique, DPO, IT, sécurité) ; playbook de gestion des demandes de la CNIL et autres autorités ; modèle de procès-verbal de réception ; archivage des saisines avec horodatage ; tableau de bord mensuel des saisines et délais.

Chantier 6 — Coordination DPO et stratégie contentieuse. Si l’opérateur a désigné un DPO au titre de l’Art. 37, formaliser l’articulation entre le représentant Art. 27 et le DPO. Préparer la stratégie contentieuse : représentation par avocat aux Conseils en cas de recours devant le Conseil d’État sur le fondement de l’Art. 78, articulation avec l’éventuelle action de groupe post-loi n° 2024-364 du 22 avril 2024, couverture cyber-assurance.

C’est ce type de pipeline opérationnel que Legiscope automatise : registre Art. 30 avec coordonnées représentant pré-renseignées, traçabilité des demandes des personnes concernées, génération automatique des informations Art. 13/14, alertes sur les délais de réponse Art. 12.

Ce qu’il faut retenir

• L’Art. 27 RGPD oblige tout responsable ou sous-traitant hors UE entrant dans le champ de l’Art. 3(2) à désigner un représentant dans l’Union, sauf exceptions étroites de l’Art. 27(2).
• L’exception « traitement occasionnel » est lue restrictivement par les Lignes directrices 3/2018 du CEPD : la quasi-totalité des traitements online commerciaux ne peuvent l’invoquer.
• Le représentant doit être établi dans un État membre où résident les personnes concernées, et ce choix engage le risque réglementaire (l’Art. 27 ne déclenche pas le one-stop-shop).
• Le représentant n’est pas un DPO au sens de l’Art. 37, n’est pas un co-responsable au sens de l’Art. 26, n’est pas un sous-traitant au sens de l’Art. 28.
• L’absence de représentant constitue un manquement autonome sanctionnable au plafond bas de l’Art. 83(4)(a) — 10 M€ ou 2 % du CA mondial — comme l’a confirmé la CNIL dans SAN-2022-019 Clearview AI (20 M€) et SAN-2023-006 (5,2 M€ d’astreinte).
• La désignation ne crée pas de bouclier juridique : l’opérateur reste pleinement justiciable des sanctions Art. 83 et des recours Art. 79.

FAQ

Quelle est la différence entre un représentant Art. 27 RGPD et un DPO Art. 37 ?

Le représentant Art. 27 est un mandataire qui sert de point de contact géographique dans l’UE pour un opérateur étranger ; il est obligatoire au seul titre de l’Art. 3(2). Le DPO Art. 37 est un expert interne ou externe chargé de conseiller, contrôler et coopérer avec la CNIL ; il est obligatoire dans les trois cas de l’Art. 37(1) indépendamment de la nationalité de l’opérateur. Un opérateur américain soumis à l’Art. 37(1) doit désigner les deux.

Combien coûte la désignation d’un représentant RGPD en France ?

Les tarifs de marché en 2026 s’étagent entre 3 000 et 25 000 € par an selon la nature du représentant (cabinet d’avocats, société spécialisée, filiale dédiée), le volume de demandes anticipé, le secteur d’activité et les obligations connexes (DSA, AI Act). Les offres mutualisées RGPD + DSA + AI Act peuvent abaisser le coût unitaire. Il faut ajouter le coût interne de coordination (juridique, DPO, IT).

Un site américain qui vend en France doit-il désigner un représentant Art. 27 ?

Oui, sauf si l’exception de l’Art. 27(2)(a) s’applique — ce qui est très rarement le cas en pratique pour un site commerçant. Le simple fait d’accepter des commandes depuis la France, de livrer en France, d’utiliser l’euro et le français suffit à activer l’Art. 3(2). L’absence de représentant l’expose au plafond bas de 10 M€ ou 2 % du CA mondial au titre de l’Art. 83(4)(a), comme l’a confirmé la CNIL pour Clearview AI.

Le représentant Art. 27 engage-t-il sa responsabilité personnelle ?

L’Art. 27(5) précise que la désignation est sans préjudice des actions contre le responsable ou le sous-traitant — la responsabilité primaire reste à l’opérateur. Mais le considérant 80 indique que le représentant doit pouvoir être « soumis aux procédures coercitives en cas de non-respect ». En pratique, plusieurs autorités (notamment la CNIL et la Garante) considèrent que le représentant peut être directement destinataire d’injonctions et d’astreintes. Les contrats de représentation prévoient des clauses d’indemnisation entre opérateur et représentant pour traiter cette zone grise.

Comment vérifier qu’un opérateur étranger a bien désigné un représentant ?

Trois canaux. D’abord, sa politique de confidentialité : l’Art. 13(1)(a) et l’Art. 14(1)(a) imposent la publication des coordonnées du représentant. Ensuite, son registre Art. 30 : la coordination des coordonnées y est obligatoire (Art. 30(1)(a) et 30(2)(a)). Enfin, la liste publique des représentants que certains États membres tiennent (Allemagne notamment) ou les registres de transparence sectoriels (DSA, AI Act). L’absence de mention dans la politique de confidentialité est un indice fort de manquement.