schedule 1 min de lecture

Êtes-vous obligé de désigner un DPO ?

nommer dpo obligation

Le DPO RGPD est en charge de surveiller et conseiller sur le respect du RGPD et des politiques et procédures internes en matière de protection des données personnelles. En pratique, le Délégué à la Protection des Données est aussi en charge des tâches opérationnelles associées à la mise en conformité du RGPD au sein de l’organisation (qu’il s’agissent d’une entreprise, collectivité, association, ONG, etc.).

L’obligation de nommer un DPO s'applique dans les 4 cas suivants

  1. Si vous êtes une autorité ou un organisme public (à l'exception des instances juridictionnelles agissant dans le cadre judiciaire) ;
  2. Si vous devez traiter des données à caractère personnel pour atteindre vos principaux objectifs associatifs/organisationnels/commerciaux (autrement dit des activités principales) et ce, peu importe la forme de suivi (par voie électronique ou sur papier) dès lors qu'une personne entre en contact avec vous pour bénéficier de vos biens ou services et cela à grande échelle.
  3. Si vos activités principales consistent en un traitement à grande échelle de catégories particulières de données présentant un caractère “sensible” ou de données relatives aux condamnations pénales et aux infractions.
  4. Si vous traitez des données personnelles de résidents dont le droit national exige la nomination d’un(e) DPO (exemples : lois nationales de l'Allemagne, de la Croatie, de la Hongrie et de l'Espagne).

Pour mieux comprendre les cas 3 et 4 précédents, il convient d'examiner si le traitement des données est effectué à grande échelle par votre organisation.

Est-ce que mon organisme effectue un traitement à grande échelle ?

Pour répondre, vous pourrez prendre en compte les facteurs ci-dessous, différents selon chaque organisation. 

- quel est le nombre de personnes concernées par vos traitements ?

- quel est le volume des données à caractère personnel traitées ?

- quel est l'éventail des différentes données traitées ?

- quelle est l'étendue géographique de l'activité ?

- quelle est la durée ou le caractère persistant de l'activité de traitement ?

Est-ce que mon organisme traite des données sensibles ?

Précisions relatives au cas numéro 3 : le RGPD et la Loi Informatique et Libertés, viennent préciser les catégories particulières de données présentant un caractère “sensible” ou les données relatives aux condamnations pénales et aux infractions.

L'objectif ici est d'identifier si votre organisme traite l'une (ou plusieurs) de ces données spécifiques.

Voici la liste des données à considérées, tel que prévu par le RGPD :

  1. la prétendue de l'origine raciale ou ethnique,
  2. les opinions politiques,
  3. les convictions religieuses ou philosophiques
  4. l'appartenance syndicale
  5. des données génétiques, des données biométriques permettant d’identifier une personne physique de manière unique,
  6. des données concernant la santé
  7. des données concernant la vie sexuelle ou l'orientation sexuelle
  8. des données à caractère personnel relatives aux faits des condamnations pénales et aux infractions
  9. des données concernant les personnes vulnérables

Vous noterez que tout traitement des données concernant les personnes vulnérables dans votre activité principale vous incite à désigner un DPO étant donné la sensibilité de la situation. 

En somme, si vous vous trouvez dans l’un des 4 cas cités en amont, vous êtes dans l’obligation de désigner un DPO pour votre organisme. Pour autant, le choix entre DPO interne et DPO externe n'est pas toujours facile.

Si votre organisme ne correspond pas à l'un des 4 cas évoqués, la CNIL va simplement vous recommander de désigner un DPO. En tout état de cause, assurez-vous de la consécration d'un membre du personnel ou d'un prestataire externe pour la gestion des actions de conformité (car le RGPD demeure néanmoins obligatoire, même si vous n'êtes pas soumis à la désignation officielle d'un DPO auprès de la CNIL). Notez aussi que le choix d'un DPO externe, au delà de l'obligation légale, comporte aussi des avantages pour votre organisme.

Les risques si vous ne désignez pas de DPO

Dans le cadre d'une obligation pour votre organisme de désigner un Data Protection Officier, vous encourez les risques suivants en cas de non désignation :

  1. sanction financière
  2. désignation formelle exigée par la CNIL

Nous recommandons aux organismes qui choisissent de ne pas nommer de DPO, de documenter les raisons pour lesquelles cette décision a été prise.