Mon entreprise doit-elle désigner un délégué à la protection des données (DPD) ?

La plupart des entreprises devront désigner d’ici le 25 mai 2018 un délégué à la protection des données (DPD) ou data protection officer (DPO) en anglais. Votre entreprise est-elle concernée ? Retrouvez notre analyse ci-dessous.

 

Désignation obligatoire d’un délégué à la protection des données

La désignation d’un délégué à la protection des données sera obligatoire dans quatre hypothèses  :


1)  L
orsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique et à grande échelle des personnes concernées

Par «activités de base» il faut entendre les opérations essentielles, et nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant. Par exemple une société de sécurité privée assurant la surveillance de centres commerciaux privés doit désigner un DPD car son activité de base est la surveillance, qui est indissociable du traitement de données à caractère personnel. En revanche, les activités sont simplement auxiliaires lorsqu’elles soutiennent simplement l’action de base. 

L’activité de base doit donc consister en un suivi régulier et systématique et à grande échelle.
Le règlement ne définit pas le suivi régulier et systématique. Selon notre expertise, ce sont les cas dans lesquels une personne est suivie plusieurs fois ou sur une période continue, afin de prendre des décisions la concernant ou d’analyser, ou prédire ses préférences, comportements et dispositions d’esprit.

L’activité de base doit en plus constituer un traitement à grande échelle.
Le règlement ne définit pas cette échelle.  Le temps devrait permettre de préciser les contours de cette notion. Il est pour l’instant possible de s’interroger précisément sur le nombre de personnes concernées, sur le volume des données traitées, la durée ou la permanence des activités de traitement des données ainsi que l’étendue géographique de l’activité de traitement. Par exemple, un médecin exerçant à titre individuel n’effectue pas un traitement à grande échelle.

2) Lorsque le traitement est effectué par une une autorité publique ou un organisme public

À l’exception des tribunaux, pour respecter le principe de séparation des pouvoirs, les autorités publiques et organismes publics devront désigner un délégué à la protection des données.
Il sera nécessaire pour les autorités nationales, régionales, et locales de se mettre en conformité avec le règlement général sur la protection des données.

Les personnes assurant ou exerçant un service public, ne sont pas toujours des organismes publics, mais les données peuvent être utilisées aux mêmes fins. Les particuliers n’ont alors pas souvent le choix d’accepter le traitement. II serait donc préférable de désigner là aussi un délégué à la protection des données.

3) Plus spécifiquement, le délégué à la protection des données personnelles est obligatoire pour les catégories particulières de données

Il existe des données sensibles dont  le traitement est interdit. Ce sont notamment, les données à caractère personnel qui révèlent l’origine raciale ou ethnique. Les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé. Ou encore les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Hormis les limites légitimes que les États fixeraient, le RGPD prévoit toutefois un certain nombre d’exceptions, permettant le traitement des données. Tel est le cas, dans le domaine de la santé, des archives ou bien de la médecine du travail. Il en va de même lorsque la personne a explicitement donné son consentement ou a rendu manifestement publique l’information.

4) Les données relatives à des condamnations pénales et à des infractions

Sans que cela n’appelle d’avantages de précisions, il devra obligatoirement être désigné un délégué à la protection des données pour le traitement de données relatives à des condamnations pénales et à des infractions tant les données traitées sont sensibles.

Il est donc clair que la mise en vigueur du RGPD va changer les pratiques en matière de protection des données. Il sera particulièrement  important de s’interroger sur la nécessité de désigner un délégué à la protection des données personnelles au regard de ce qu’il vient d’être énoncé.

Désignation volontaire d’un délégué à la protection des données

Le règlement général sur la protection des données (RGPD)  n’impose pas toujours la désignation d’un délégué à la protection des données.  Il est nécessaire de commencer par effectuer une analyse interne portant sur la nature, la portée, le contexte et les finalités du traitement des données personnelles. Cet audit permettra de quantifier les risques pouvant survenir et de démontrer aux organismes de contrôles que le traitement peut être effectué sans recourir à la désignation d’un délégué à la protection des données.

Lorsqu’il n’est pas obligatoire de désigner un data protection officer (DPO), le règlement recommande tout de même fortement sa désignation sur une base volontariste. À défaut, les organismes devront s’orienter en toute transparence vers des acteurs n’ayant pas la qualité de DPD, mais pouvant permettre la mise en place d’une politique de bonne conduite ou de certification délivrée par les autorités de contrôle.

Deshoulières Avocats vous accompagne pour votre mise en conformité au RGPD. Deshoulières Avocats intervient comme délégué à la protection des données pour de nombreux clients dans le secteur des nouvelles technologies.

Bouton Devis final