La désignation d’un délégué à la protection des données (“DPO” ou ancien Correspondant informatique et libertés (CIL)) est obligatoire ou volontaire selon le type de traitements mis en oeuvre par une entreprise ou une autorité publique et concerne à la fois les responsables de traitements et les sous-traitants.
Selon l’article 37 (1) du nouveau règlement sur la protection des données (GDPR), la désignation d’un DPO est obligatoire dans trois cas spécifiques:
  • Lorsque le traitement est effectué par une autorité ou un organisme public (cas 1)
  • Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle (cas 2) ;  ou
  • Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données ou de données à caractère personnel concernant des condamnations et des infractions pénales (cas 3)
Même si la désignation d’un DPO n’est pas obligatoire, il est recommandé de documenter l’analyse pour déterminer si un DPO doit ou non être nommé.
Par conséquent, chaque entreprise doit être en mesure d’expliquer pourquoi elle n’a pas nommé un DPO.

1.  Les autorités ou organismes publics doivent nommer un  DPO (cas 1)

Lorsqu’un responsable de traitement ou un sous-traitant est une autorité ou un organisme public, il doit désigner un DPO quel que soit le type de traitement de données effectué.

«L’autorité ou l’organe public» n’est pas défini dans le GDPR et les lois nationales devraient donc définir la notion.

Toutefois, les autorités ou organismes publics devraient inclure les autorités nationales, régionales et locales, et sous réserve du droit des États membres, elles peuvent également inclure une série d’autres organismes de droit public.

Même ce n’est pas obligatoire, les autorités (G29) recommandent la désignation d’un DPO lorsque des personnes physiques ou morales de droit public ou privé exercent une fonction publique ou un pouvoir de service public.

Ces services peuvent être, selon le droit des États membres, des transports publics, de l’approvisionnement en eau et en énergie, des infrastructures routières, des services de radiodiffusion de service public, des logements publics ou des organismes disciplinaires pour des professions réglementées.

Lorsqu’il ne s’agit pas d’une autorité publique, tout autre responsable de traitement ou sous-traitant ayant une activité de base de traitement de données à grande échelle ayant soit pour finalité de surveiller les individus (cas 2) soit de traiter des données sensibles  (cas 3) doivent nommer un délégué à la protection des données.

2.Les autres organismes  doivent nommer un DPO sous certaines conditions (Cas 2 et 3)

 

2.1. Conditions communes :  – “les activités de base” doivent être des activités de traitement “à grande échelle”

Dans les deux cas, les activités de base du responsable de traitement ou du sous-traitant doivent consister en des opérations de traitement à grande échelle.

Ensuite, un troisième critère les distingue puisque l’un (cas 2) est relatif à la surveillance régulière et systématique des individus tandis que dans l’autre cas (cas 3), il s’agit du traitement des données sensibles ou relatives aux infractions.

Si les deux premiers critères et l’un des critères spécifiques sont remplis, un DPO doit être nommé.

Premier critère: «activités de base»

Le GDPR définit les «activités de base» comme les activités principales et exclut les traitements de données personnelles auxiliaires.

Il s’agit donc des opérations clés nécessaires pour atteindre les objectifs des responsables de traitement ou du sous-traitant.

Cela inclut les activités où le traitement des données est une partie inhérente de l’activité du responsable de traitement ou du sous-traitant (par exemple, l’hôpital doit traiter les données de santé pour fournir des services médicaux, la société de sécurité qui effectue la surveillance doit traiter les renseignements personnels pour des raisons de sécurité).

Cependant, les fonctions de support à l’activité principale de l’organisation doivent être exclues (par exemple, la paie, le support informatique, etc.)

Deuxième critère: «Grande échelle»

Il n’y a pas de seuil spécifique prévu dans le GDPR et peut-être avec le temps, il sera possible de déterminer précisément à quoi correspond «grande échelle» dans chaque cas.

En attendant, le G29 recommande de prendre en considération les facteurs suivants:

  • le nombre de personnes concernées (soit en tant que nombre spécifique, soit en proportion de la population concernée
  • le volume de données et / ou la plage des différents éléments de données en cours de traitement
  • la durée ou la permanence de l’activité de traitement des données
  • l’étendue géographique de l’activité de transformation

Le G29 a fourni quelques exemples de ce que le traitement « à grande échelle » pourrait être dans la pratique:

  • traitement de données sur les patients dans le cadre normal des activités d’un hôpital
  • traitement de données de voyage des individus utilisant le système de transport public d’une ville
  • traitement de données clients dans le cours normal des affaires par une compagnie d’assurance ou une banque
  • traitement de données personnelles à des fins de publicité comportementale par un moteur de recherche

Par conséquent, le traitement à grande échelle peut aller d’un traitement mis en oeuvre par un hôpital à un traitement mis en oeuvre par une entreprise nationale ou internationale.

Toutefois, les petites entreprises ne devraient pas être concernées par les critères de traitement à grande échelle.

2.2. Conditions spécifiques à chacun des cas 2 et 3

Dès lors que l’organisme a une activité de base consistant en une activité de traitement de données à grande échelle, cette activité doit soit consister à surveiller régulièrement et systématiquement les individus (cas 2) ou concernée des catégories particulières de données (cas 3) pour que la nomination d’un DPO devienne obligatoire.

 Cas 2 : L’activité de traitement doit consister à « surveiller régulièrement et systématiquement les individus »

La «surveillance des personnes concernées» concerne toutes les formes de suivi et de profilage sur Internet, y compris aux fins de publicité comportementale.

Cependant, il ne devrait pas être limité à l’environnement en ligne, tout type de surveillance étant concernée.

Les mots « réguliers et systématiques » doivent être définis comme suit:

 » Réguliers «  :

  • en cours ou se produisant à des intervalles particuliers pour une période donnée
  • récurrent ou répété à des heures fixes
  • constant ou périodiquement

«Systématique»:

  • se produisant selon un système
  • pré-organisé
  • organisé ou méthodique
  • prenant place dans le cadre d’un plan général de collecte de données
  • mise en oeuvre dans le cadre de la stratégie

Exemples: Fourniture de services de télécommunication ou réseau, retargeting e-mail, profilage et notation pour l’évaluation des risques; Les programmes de fidélisation, l’orientation comportementale, etc.

Cas 3 : Traitement de  « catégories particulières de données personnelles et de données relatives aux condamnations et aux infractions pénales »

Il s’agit de traitement des données relatifs à la santé, à l’orientation sexuelle, à la religion, aux opinions politiques, comme prévu à l’article 9 du GDPR ainsi que des données relatives aux condamnations pénales et aux infractions visées à l’article 10 du GDPR.

Il n’est pas nécessaire de traiter simultanément toutes les données mentionnées pour répondre à ce critère. Le traitement d’un type de ces données est suffisant pourvu qu’il appartienne à l’une des catégories de données personnelles pré-citées.

Lorsque les trois critères de l’un des cas sont remplis, un DPO doit être désigné par le responsable du traitement ou le sous-traitant.

2.3 Comment ces règles s’appliquent lorsque seul le sous-traitant rempli les conditions?

Il peut arriver qu’un responsable de traitement ne satisfasse pas aux critères alors que le sous-traitant y répondent et soit donc tenu de nommer un DPO.

Par exemple, l’entreprise familiale utilise les services d’un sous-traitant dont l’activité de base est de fournir des services d’analyse de site Web et l’assistance à la publicité ciblée et au marketing.

Si le sous-traitant a beaucoup de clients, son activité principale est de surveiller régulièrement les personnes concernées à grande échelle. Il devra donc nommer un DPO alors que le responsable de traitement (c’est-à-dire l’entreprise familiale) ne sera pas tenu d’en nommer un.

Partage

DPO: Quand faut-il désigner un délégué à la protection des données?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *