Antisèche RGPD 7 : Un pour tous, tous pour un !

by | Mar 13, 2018 | Antisèches RGPD

L’enjeu de la nomination d’un DPO

Le RGPD débarque dans quelques semaines et vous ne savez toujours pas si vous devez désigner un DPO (Data Protection Officer). Ce délégué à la protection des données (en français DPD) est imposé à certaines sociétés par le nouveau règlement général sur la protection des données.

Une seule chose à savoir pour mesurer l’importance de cette obligation : le non respect de celle-ci peut entraîner l’application d’une sanction administrative pouvant aller jusqu’à 10 millions d’euros ou dans le cas d’une entreprise, jusqu’à 2% du CA annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) !

L’obligation de la désignation d’un DPO n’est donc pas à prendre à la légère. La sanction étant tellement lourde, la question d’un recrutement se pose très concrètement, que ce soit dans les organismes publics ou privés. Les responsables de traitement et sous-traitants de données personnelles se demandent s’ils ont ou non cette obligation de nommer un DPO.

Vous voulez tout savoir sur le RGPD ?

Le Data Protection Officer en pratique

Mais alors, comment savoir si son entreprise doit nommer un DPO ? L’article 37 du RGPD désigne trois cas particuliers où la désignation d’un DPO par un responsable de traitement ou par un sous-traitant est obligatoire. Pour bien identifier ces trois situations, il faut définir les termes utilisés dans l’article 37 du RGPD et se poser les bonnes questions :

  • Êtes-vous une autorité publique ou un organisme public qui traite des données personnelles ?

Par “autorité publique” ou “organisme public”, le G29 (groupe de travail des CNIL européennes) précise qu’il faut prendre en compte le droit national. Ce point concerne donc toute autorité nationale, régionale ou locale (par exemple : une commune, un conseil départemental).

Obligation de nommer un DPO ? OUI !

  • Vos activités de base consistent-elles en des traitements qui exigent, du fait de leur nature, de leur portée et/ou de leur finalité, un suivi régulier et systématique à grande échelle des personnes concernées ?

Plusieurs termes à définir dans cette question pour comprendre la portée des conditions nombreuses et cumulatives.

  • Une “activité de base” est une activité principale nécessaire pour atteindre les objectifs du responsable de traitement ou du sous-traitant selon le G29.
  • Le “suivi” correspond à tout type de suivi et profilage (que ce soit sur internet ou non), incluant ceux pour publicité comportementale.
  • Pour “réguler”, le G29 précise qu’il est question d’un élément en cours ou se produisant à des intervalles particuliers, récurrents ou répétés à des moments fixes, périodiquement ou constants.
  • De manière “systématique”, le G29 signifie qu’il s’agit d’un élément pré-organisé, organisé ou méthodique, utilisé à des fins stratégiques, développé dans le cadre d’un plan général de collecte de données.
  • Le terme “grande échelle” doit être compris comme un volume important de données, sur une longue durée et une étendue géographique élevée.

Obligation de nommer un DPO ? OUI !

  • Vos activités de base consistent-elles en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales ou à des infractions ?

Dans cette situation, si votre entreprise manipule des “catégories particulières de données” ou des données relatives à des condamnations pénales ou à des infractions à grande échelle, vous allez avoir besoin d’un DPO.

Mais des “catégories particulières de données”, qu’est-ce que c’est ? Elles correspondent à des données révélant l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques, l’appartenance syndicale, les préférences et orientations sexuelles, l’état de santé et les données génétiques ou biométriques.

Obligation de nommer un DPO ? OUI !

La question à se poser pour toutes les autres entreprises, qui ne sont donc pas obligées de nommer un DPO avec l’arrivée du RGPD, est la suivante : Ne devraient-elles pas en nommer un quand même ?

Questions à se poser

  • Mon entreprise est-elle obligée de nommer un DPO ?
  • Comment trouver un DPO expérimenté ?
  • Pourquoi nommer un DPO volontairement peut être une bonne idée ?

Source utile :

Devenir délégué à la protection des données

Share This