L'obligation de nommer un DPO interne ou externe

LinkedIn
Obligation de nommer un DPO externe ou interne
Mon organisation doit-elle nommer un DPO ?

Quels sont les points abordés dans cet article ? 

  • les cas où nommer un DPO est obligatoire 
  • décryptage terrain pour la désignation d’un DPO
  • les risques en cas de non désignation d’un DPO

Certains organismes s’interrogent encore sur l’obligation d’être conforme au RGPD. Certains organismes quant à eux s’interrogent sur la nécessité de nommer un Délégué à la protection des données (ou plus connu sous les sigles “DPO” ou “DPD”).

Dans une première section, nous nous attacherons à vous donner la solution à cette dernière question : dois-je nommer un(e) DPO au sein de mon organisation ?

Petit rappel, vous devrez vous conformer au RGPD si vous disposez d’un établissement localisé au sein de l’Union Européenne (peu importe que le traitement des données à caractère personnel ait lieu dans l'UE ou non). Si vous ne disposez pas d'un établissement au sein de l'UE, mais offrez des biens et services aux résidents de l'UE (ou surveillez leur comportement), alors vous devrez très certainement vous conformer au RGPD. 

L’obligation de nommer un DPO interne ou externe selon le RGPD

Parmi les nombreuses obligations liées au respect du RGPD, une attention particulière doit être accordée à la question suivante. Faut-il désigner un DPO ? 

L’objectif du DPO interne ou externe : surveiller et conseiller sur le respect du RGPD et des politiques et procédures internes en matière de protection des données personnelles. En pratique, le DPO est souvent en charge des tâches opérationnelles associées à la mise en conformité du RGPD au sein de l’organisation (qu’il s’agissent d’une entreprise, collectivité, association, ONG, etc.).

Les responsables de traitement et les sous-traitants doivent, dans les cas suivants, nommer un DPO.

Quatre cas d'obligation d'un DPO :

  1. Si vous êtes une autorité ou un organisme public (à l'exception des instances juridictionnelles agissant dans le cadre judiciaire) ;
  2. Si vous devez traiter des données à caractère personnel pour atteindre vos principaux objectifs commerciaux/associatifs/organisationnels (autrement dit des activités principales) par toute formes de suivi, par voie électronique ou sur papier, dès lors qu'une personne entre en contact avec vous pour bénéficier de vos biens ou services et cela à grande échelle.
  3. Si vos activités principales consistent en un traitement à grande échelle de catégories particulières de données présentant un caractère “sensible” ou de données relatives aux condamnations pénales et aux infractions (cf. décryptage selon les réalités terrain).
  4. Si vous traitez des données personnelles de résidents dont le droit national exige la nomination d’un(e) DPO (exemples : lois nationales de l'Allemagne, de la Croatie, de la Hongrie et de l'Espagne).

Décryptage terrain pour la désignation d’un DPO interne ou externe

Pour mieux comprendre les cas 3 et 4, il convient d'examiner si le traitement des données est effectué à grande échelle par votre organisation. Pour cela, vous pourrez prendre en compte les facteurs ci-dessous, différents selon chaque organisation. 

  • quel est le nombre de personnes concernées par vos traitements ?
  • quel est le volume des données à caractère personnel traitées ?
  • quel est l'éventail des différentes données traitées ?
  • quelle est l'étendue géographique de l'activité ?
  • quelle est la durée ou le caractère persistant de l'activité de traitement ?

Précisions relatives au cas numéro 3 : le RGPD et la Loi Informatique et Libertés, viennent préciser les catégories particulières de données présentant un caractère “sensible” ou les données relatives aux condamnations pénales et aux infractions comme des informations concernant :

1. la prétendue de l'origine raciale ou ethnique,

2. les opinions politiques,

3. les convictions religieuses ou philosophiques

4. l'appartenance syndicale

5. des données génétiques, des données biométriques permettant d’identifier une personne physique de manière unique,

6. des données concernant la santé

7. des données concernant la vie sexuelle ou l'orientation sexuelle

8. des données à caractère personnel relatives aux faits des condamnations pénales et aux infractions

9. des données concernant les personnes vulnérables

Vous noterez que tout traitement des données concernant les personnes vulnérables dans votre activité principale vous incite à désigner un DPO étant donné la sensibilité de la situation. 

En somme, si vous vous trouvez dans l’un des cas précités, vous êtes dans l’obligation de désigner un DPO pour votre organisme. 

Dans tout autre cas, vous êtes libre de choisir entre un spécialiste en matière de la protection des données personnelles et un DPO. En tout état de cause, assurez-vous de la consécration d'un membre du personnel à la gestion interne des actions de conformité RGPD, sans affectation officielle de titres de DPO.

Concernant l’obligation de nommer un DPO, l’équipe de Blockproof est là pour accompagner votre réflexion et trouver des réponses à vos interrogations. Pour cela, vous êtes libre de prendre un rendez-vous à l'heure et le jour qui vous conviennent.

Les risques en cas de non désignation d’un DPO interne ou externe

La non désignation d'un DPO, lorsqu'elle est obligatoire, peut entraîner des sanctions financières très importantes prononcées par les Autorités de Protection des Données, comme la CNIL.

Par ailleurs, dans certaines circonstances, la CNIL peut exiger la désignation formelle d'un DPO. 

En tout état de cause, nous recommandons aux organismes qui choisissent de ne pas nommer de DPO, de documenter les raisons pour lesquelles cette décision a été prise.

DPO interne ou DPO externe ? 

Dans l’hypothèse où vous avez l’obligation de nommer un DPO, la réglementation vous laisse le choix de désigner un DPO interne pour votre organisme ou un DPO externe.

Toutefois, comment choisir entre DPO interne et DPO externe ?

Un DPO a une vaste série de missions et de responsabilités qui exigent une expertise technique approfondie, ainsi qu'un temps de travail important en matière juridique.

Le rôle du DPO est étendu : il fournit des solutions pour améliorer le niveau de conformité, traite les violations de données personnelles et sert de point de contact pour les personnes concernées et les autorités de protection des données. Le succès du DPO repose essentiellement sur son indépendance vis-à-vis de la direction de l'organisation et sur l'adhésion de cette dernière aux activités du délégué.

Tout conflit d'intérêts survenant au sein de l'entreprise ne doit pas empêcher le DPO de mener ses actions, grâce aux dispositions et aux garanties internes prévues à cet effet. C'est la traduction des critères d'indépendance et d'efficacité.

Après étude, nous avons identifié 7 avantages à désigner un DPO externalisé.

Ces deux articles pourraient vous intéresser :

Liens complémentaires :

Nous contacter : contact@blockproof.fr

Prendre rendez-vous directement dans notre agenda

Réaliser un diagnostic RGPD en ligne 100% gratuit