Le RGPD débarque dans quelques semaines et vous ne savez toujours pas si vous devez désigner un DPO (Data Protection Officer). Ce délégué à la protection des données (en français DPD) est imposé à certaines sociétés par le nouveau règlement général sur la protection des données.
Une seule chose à savoir pour mesurer l’importance de cette obligation : le non respect de celle-ci peut entraîner l’application d’une sanction administrative pouvant aller jusqu’à 10 millions d’euros ou dans le cas d’une entreprise, jusqu’à 2% du CA annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) !
L’obligation de la désignation d’un DPO n’est donc pas à prendre à la légère. La sanction étant tellement lourde, la question d’un recrutement se pose très concrètement, que ce soit dans les organismes publics ou privés. Les responsables de traitement et sous-traitants de données personnelles se demandent s’ils ont ou non cette obligation de nommer un DPO.
Mais alors, comment savoir si son entreprise doit nommer un DPO ? L’article 37 du RGPD désigne trois cas particuliers où la désignation d’un DPO par un responsable de traitement ou par un sous-traitant est obligatoire. Pour bien identifier ces trois situations, il faut définir les termes utilisés dans l’article 37 du RGPD et se poser les bonnes questions :
Par “autorité publique” ou “organisme public”, le G29 (groupe de travail des CNIL européennes) précise qu’il faut prendre en compte le droit national. Ce point concerne donc toute autorité nationale, régionale ou locale (par exemple : une commune, un conseil départemental).
Obligation de nommer un DPO ? OUI !
Plusieurs termes à définir dans cette question pour comprendre la portée des conditions nombreuses et cumulatives.
Obligation de nommer un DPO ? OUI !
Dans cette situation, si votre entreprise manipule des “catégories particulières de données” ou des données relatives à des condamnations pénales ou à des infractions à grande échelle, vous allez avoir besoin d’un DPO.
Mais des “catégories particulières de données”, qu’est-ce que c’est ? Elles correspondent à des données révélant l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, les opinions politiques, l’appartenance syndicale, les préférences et orientations sexuelles, l’état de santé et les données génétiques ou biométriques.
Obligation de nommer un DPO ? OUI !
La question à se poser pour toutes les autres entreprises, qui ne sont donc pas obligées de nommer un DPO avec l’arrivée du RGPD, est la suivante : Ne devraient-elles pas en nommer un quand même ?
Source utile :