La plupart des entreprises devront désigner un délégué à la protection des données (DPD) ou data protection officer (DPO) en anglais. Est-ce que votre entreprise est concernée ? Retrouvez notre analyse ci-dessous.
Désignation obligatoire d’un délégué à la protection des données
La désignation d’un délégué à la protection des données sera obligatoire dans quatre hypothèses :
1) Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique et à grande échelle des personnes concernées
Par «activités de base» il faut entendre les opérations essentielles, et nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant. Par exemple une société de sécurité privée assurant la surveillance de centres commerciaux privés doit désigner un DPD car son activité de base est la surveillance. C’est une activité qui est indissociable du traitement de données à caractère personnel. En revanche, les activités sont simplement auxiliaires lorsqu’elles soutiennent seulement l’action de base.
L’activité de base doit donc consister en un suivi régulier et systématique et à grande échelle.
Le règlement ne définit pas le suivi régulier et systématique. Selon notre expertise, ce sont les cas dans lesquels une personne est suivie plusieurs fois ou sur une période continue, afin de prendre des décisions la concernant ou d’analyser, prédire ses préférences, comportements et dispositions d’esprit.
L’activité de base doit en plus constituer un traitement à grande échelle.
Le règlement ne définit pas cette échelle. Le temps devrait permettre de préciser les contours de cette notion. Il est pour l’instant possible de s’interroger sur le nombre de personnes concernées, le volume des données traitées, la durée ou la permanence des activités de traitement des données ainsi que l’étendue géographique de l’activité de traitement. Par exemple, un médecin exerçant à titre individuel n’effectue pas un traitement à grande échelle.
2) Lorsque le traitement est effectué par une une autorité publique ou un organisme public
À l’exception des tribunaux, pour respecter le principe de séparation des pouvoirs, les autorités publiques et organismes publics devront désigner un délégué à la protection des données.
Il sera nécessaire pour les autorités nationales, régionales, et locales de se mettre en conformité avec le règlement.
Les personnes assurant ou exerçant un service public ne sont pas toujours des organismes publics. Cependant, les données peuvent être utilisées aux mêmes fins. Les particuliers n’ont alors pas souvent le choix d’accepter le traitement. II serait donc préférable de désigner là aussi un délégué à la protection des données.
3) Le délégué à la protection des données personnelles est obligatoire pour les catégories particulières de données
Il existe des données sensibles dont le traitement est interdit. Ce sont notamment, les données à caractère personnel qui révèlent l’origine raciale ou ethnique. Les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique. Il s’agit aussi des données concernant la santé. Ou encore les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Il y a des limites fixées par les Etats. Le RGPD prévoit toutefois un certain nombre d’exceptions, permettant le traitement des données. Tel est le cas, dans le domaine de la santé, des archives ou bien de la médecine du travail. Il en va de même lorsque la personne a explicitement donné son consentement ou a rendu manifestement publique l’information.
4) Les données relatives à des condamnations pénales et à des infractions
Dans ce cas il faut obligatoirement désigner un délégué à la protection des données. Les données en question sont en effet particulièrement sensibles.
La mise en vigueur du RGPD va changer les pratiques en matière de protection des données. Il sera particulièrement important de s’interroger sur la nécessité de désigner un délégué à la protection des données personnelles.
Désignation volontaire d’un délégué à la protection des données
Le règlement général sur la protection des données (RGPD) n’impose pas toujours la désignation d’un délégué à la protection des données. Il est nécessaire de commencer par effectuer une analyse interne. Cette analyse porte sur la nature, la portée, le contexte et les finalités du traitement des données personnelles. L’audit permet de quantifier les risques pouvant survenir. Cela permet ainsi de démontrer aux organismes de contrôles que le traitement peut être effectué sans recourir à un délégué à la protection des données.
Lorsqu’il n’est pas obligatoire de désigner un data protection officer (DPO), le règlement recommande tout de même fortement sa désignation. À défaut, il faut s’orienter vers des acteurs n’ayant pas la qualité de DPD, mais pouvant permettre la mise en place d’une politique de bonne conduite ou de certification délivrée par les autorités de contrôle.