La désignation d’un délégué à la protection des données (“DPO” ou « DPD ») est obligatoire ou volontaire selon le type de traitements de données, l’activité et le type d’organisation qu’il le met en oeuvre (privé ou publique) en tant responsable de traitement ou sous-traitant.
Selon l’article 37 (1) du règlement général sur la protection des données (RGPD), la désignation d’un DPO est obligatoire dans trois cas spécifiques:
Lorsque le traitement est mis en oeuvre par une autorité ou un organisme public (cas 1) ;
Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle (cas 2) ; ou
Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données ou de données à caractère personnel relatives à des condamnations et des infractions pénales(cas 3).
Même dans les cas où la désignation d’un DPO n’est pas obligatoire, il est recommandé de documenter la décision de ne pas nommer un DPO, notamment dans les cas les plus ambigues.
1. Les autorités ou organismes publics doivent nommer un DPO (cas 1)
Lorsqu’un responsable de traitement ou un sous-traitant est une autorité ou un organisme public, il doit désigner un DPO quel que soit le type de traitement de données effectué.
«L’autorité ou l’organisme public» n’est pas défini dans le RGPD, il conviendra donc de se reporter aux lois nationales.
Toutefois, la notion d’ « autorités ou organismes publics » devrait inclure les autorités nationales, régionales et locales, et sous réserve du droit des États membres, elles peuvent également inclure une série d’autres organismes de droit public.
Même lorsque ce n’est pas obligatoire, les autorités (G29) recommandent la désignation d’un DPO lorsque des personnes physiques ou morales de droit public ou privé exercent une fonction publique ou un pouvoir de service public.
Ces services peuvent être, selon le droit des États membres, des transports publics, de l’approvisionnement en eau et en énergie, des infrastructures routières, des services de radiodiffusion de service public, des logements publics ou des organismes disciplinaires pour des professions réglementées.
2. Les autres organismes doivent nommer un DPO s’ils remplissent certaines conditions (cas 2 et 3)
Lorsqu’il ne s’agit pas d’une autorité publique, tout autre responsable de traitement ou sous-traitant doit dommer un DPO si :
– il a une activité de base impliquant des traitements de données à grande échelle (condition commune ) ; et
– permettant de surveiller les individus (cas 2) ; ou
– nécessitant le traitement des données sensibles (cas 3)
2.1. Première condition : une activité de base impliquant des traitements de données à grande échelle
Pour que la nomination d’un DPO soit obligatoire, les activités de base du responsable de traitement ou du sous-traitant doivent consister en des opérations de traitement à grande échelle.
2.1.1. Qu’est ce qu’une «activité de base» ?
Le RGPD définit les «activités de base» comme les activités principales et exclut les traitements de données personnelles auxiliaires.
Il s’agit donc des opérations clés nécessaires pour atteindre les objectifs des responsables de traitement ou du sous-traitant.
Cela inclut les activités où le traitement des données est une partie inhérente de l’activité du responsable de traitement ou du sous-traitant (par exemple, l’hôpital doit traiter les données de santé pour fournir des services médicaux, la société de sécurité qui effectue la surveillance doit traiter les renseignements personnels pour des raisons de sécurité).
Cependant, les fonctions de support à l’activité principale de l’organisation doivent être exclues (par exemple, la paie, le support informatique, etc.)
2.1.2. Qu’est ce qu’un traitement de données à «grande échelle» ?
Il n’y a pas de seuil spécifique prévu dans le RGPD et pas assez de recul pour donner des indications spécifiques.
En attendant, les autorités recommandent de prendre en considération les facteurs suivants:
– le nombre de personnes concernées (soit en tant que nombre spécifique, soit en proportion de la population concernée ;
– le volume de données et / ou les différents éléments de données en cours de traitement ;
– la durée ou la permanence de l’activité de traitement des données ;
– l’étendue géographique de l’activité de transformation.
Les autorités ont fourni quelques exemples de ce que le traitement « à grande échelle » pourrait être dans la pratique:
– traitement de données sur les patients dans le cadre normal des activités d’un hôpital ;
– traitement de données de voyage des individus utilisant le système de transport public d’une ville ;
– traitement de données clients dans le cours normal des affaires par une compagnie d’assurance ou une banque ;
– traitement de données personnelles à des fins de publicité comportementale par un moteur de recherche.
Par conséquent, le traitement à grande échelle peut aller d’un traitement mis en oeuvre par un hôpital à un traitement mis en oeuvre par une entreprise nationale ou internationale (ex : une banque, google etc.).
Ce manque de cohérence des exemples proposés, notamment au niveau de la notion de volume ou nombre de personnes concernées peut, semble-t-il, s’expliquer, par la sensibilité des données traitées par les hôpitaux.
2.2. Conditions spécifiques
Dès lors que les activités de traitements d’un organisme remplissent la premiere condition, il convient, ensuite, de s’assurer que ses activités consistent à surveiller régulièrement et systématiquement les individus (cas 2) ou impliquent le traitement de données sensibles (cas 3).
2.2.1. L’activité de traitement doit consister à « surveiller régulièrement et systématiquement les individus » (cas 2)
La «surveillance des personnes concernées» concerne toutes les formes de suivi et de profilage sur Internet, y compris aux fins de publicité comportementale.
Cependant, il ne devrait pas être limité à l’environnement en ligne, tout type de surveillance étant concernée.
Les mots « réguliers et systématiques » doivent être définis comme suit:
« Réguliers » :
- en cours ou se produisant à des intervalles particuliers pour une période donnée
- récurrent ou répété à des heures fixes
- constant ou périodiquement
« Systématique » :
- se produisant selon un système
- pré-organisé
- organisé ou méthodique
- prenant place dans le cadre d’un plan général de collecte de données
- mise en oeuvre dans le cadre de la stratégie
Exemples : fourniture de services de télécommunication ou réseau, reciblage e-mail, profilage et notation pour l’évaluation des risques; les programmes de fidélisation, analyse de l’orientation comportementale, etc.
2.2.2. Traitement de « catégories particulières de données personnelles et de données relatives aux condamnations et aux infractions pénales » (cas 3)
Il s’agit de traitement des données relatifs à la santé, à l’orientation sexuelle, à la religion, aux opinions politiques etc. comme prévu à l’article 9 du RGPD ainsi que des données relatives aux condamnations pénales et aux infractions visées à l’article 10 du RGPD.
Il n’est pas nécessaire de traiter simultanément toutes les données mentionnées pour répondre à ce critère. Le traitement d’un type de ces données est suffisant pour remplir ce critère.
Lorsque les critères de l’un des cas sont remplis, un DPO doit être désigné par le responsable du traitement ou le sous-traitant.
3. Comment ces règles s’appliquent lorsque seul le sous-traitant remplit les conditions?
Il peut arriver que pour une même opération de traitement, le responsable du traitement ne soit pas obligé de nommer un DPO alors que son sous-traitant y est tenu.
Par exemple, une entreprise familiale utilise les services d’un sous-traitant dont l’activité de base est de fournir des services d’analyse de site Web et l’assistance à la publicité ciblée et au marketing pour un site internet ne brassant que quelqus centaines de visiteurs par mois (note: cette activité peut toutefois être considérée comme une activité de responsable de traitement si certaines conditions sont remplies).
Si le sous-traitant a beaucoup de clients, son activité principale est de surveiller régulièrement les personnes concernées à grande échelle. Il devra donc nommer un DPO alors que le responsable de traitement (c’est-à-dire l’entreprise familiale) ne sera pas tenu d’en nommer un.
Pour plus de détails sur le délégué à la protection des données (missions, responsabilités, positions etc.) , vous pouvez également lire nos deux articles sur le sujet :
Cette publication est également disponible en en_GB.