Désignation du DPO auprès de la CNIL : conditions et obligations
La désignation d'un DPO auprès de la CNIL est recommandée par les autorités. Le DPO peut être interne ou externe à l'entreprise.
Pour mémo, le Délégué à la Protection des Données est en charge de surveiller et conseiller sur le respect du RGPD et des politiques et procédures internes en matière de protection des données personnelles. En pratique, le DPO est aussi en charge des tâches opérationnelles associées à la mise en conformité du RGPD au sein de l’organisation (qu’il s’agissent d’une entreprise, collectivité, association, ONG, etc.).
Désignation obligatoire du DPO auprès de la CNIL
Si vous remplissez 1 de ces 4 conditions, vous serez dans l'obligation de nommer un DPO auprès de la CNIL.
Vous êtes une autorité ou un organisme public (1/4)
A l'exception des instances juridictionnelles agissant dans le cadre judiciaire, toutes les autorités et organismes publics doivent nommer un DPO.
Vous traitez des données à caractère personnel pour atteindre vos principaux objectifs et cela à grande échelle (2/4)
Si vous devez traiter des données à caractère personnel pour atteindre vos principaux objectifs associatifs, organisationnels, commerciaux (autrement dit le traitement d'informations découlant de votre activités principales). La forme de suivi (par voie électronique ou sur papier) de l'information n'a pas d'importance dès lors qu'une personne entre en contact avec vous pour bénéficier de vos biens ou services et cela à grande échelle.
Vos activités principales consistent en un traitement de données sensibles (3/4)
Ou de données relatives aux condamnations pénales et aux infractions.
Vous traitez des données personnelles de résidents dont le droit national exige la nomination de DPO (4/4)
Exemples avec certaines lois nationales de l'Allemagne, de la Croatie, de la Hongrie et de l'Espagne.
Pour mieux comprendre les cas 2 et 3 précédents, il convient d'examiner si le traitement des données est effectué à grande échelle par votre organisation.
Désignation du DPO et traitement à grande échelle
Pour savoir si la désignation est obligatoire dans les situations 3 et 4, il faut caractériser un traitement à grande échelle. Voici des éléments qui pourront vous servir pour identifier un traitement à grande échelle :
- quel est le nombre de personnes concernées par vos traitements ?
- quel est le volume des données à caractère personnel traitées ?
- quel est l'éventail des différentes données traitées ?
- quelle est l'étendue géographique de l'activité ?
- quelle est la durée ou le caractère persistant de l'activité de traitement ?
- est-ce que mon organisme traite des données sensibles ?
Désignation du DPO et traitement de données sensibles
Précisions relatives au cas numéro 3 : le RGPD et la Loi Informatique et Libertés, viennent préciser les catégories particulières de données présentant un caractère “sensible” ou les données relatives aux condamnations pénales et aux infractions. L'objectif ici est d'identifier si votre organisme traite l'une (ou plusieurs) de ces données spécifiques.
Voici la liste des données dites sensibles au sens du RGPD, à considérer :
- la prétendue de l'origine raciale ou ethnique,
- les opinions politiques,
- les convictions religieuses ou philosophiques
- l'appartenance syndicale
- des données génétiques, des données biométriques permettant d’identifier une personne physique de manière unique,
- des données concernant la santé
- des données concernant la vie sexuelle ou l'orientation sexuelle
- des données à caractère personnel relatives aux faits des condamnations pénales et aux infractions
- des données concernant les personnes vulnérables
Vous noterez que tout traitement des données concernant les personnes vulnérables dans votre activité principale vous incite à désigner un DPO étant donné la sensibilité de la situation. En somme, si vous vous trouvez dans l’un des 4 scénarios listés dans le premier titre de l'article, vous serez dans l’obligation de désigner un DPO pour votre organisme.
Si votre organisme ne correspond pas à l'un des 4 cas évoqués, la CNIL recommande la désignation d'un DPO. En tout état de cause, assurez-vous de la consécration d'un membre du personnel ou d'un prestataire externe pour la gestion des actions de conformité (car le RGPD demeure néanmoins obligatoire, même si vous n'êtes pas soumis à la désignation officielle d'un DPO auprès de la CNIL). Notez aussi que le choix d'un DPO externe, au delà de l'obligation légale, comporte aussi des avantages pour votre organisme.
Non désignation du DPO : quels risques ?
Dans le cadre d'une obligation pour votre organisme de désigner un Data Protection Officier, vous encourez les risques suivants en cas de non désignation :
- sanction financière
- désignation formelle exigée par la CNIL
Nous recommandons aux entreprises qui choisissent de ne pas nommer de DPO, de documenter les raisons pour lesquelles cette décision a été prise.