Dans quels cas la désignation d’un DPO est-elle obligatoire ?

Accueil > Notre blog > Conformité > Dans quels cas la désignation d’un DPO est-elle obligatoire ?

L’instauration du RGPD a changé les règles en matière de protection des données. Au niveau européen, chaque organisme traitant des données à caractère personnel est ainsi tenu d’en respecter les obligations. Parmi les nombreuses obligations, la désignation d’un DPO (Data Protection Officer ou Délégué à la Protection des Données) s’applique ou non selon certaines conditions. Décryptage !

Vous souhaitez externaliser votre DPO ?

Qu’est-ce qu’un DPO ?

Selon la CNIL, « Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. ».

Un DPO est ainsi tenu d’encadrer la rédaction, la publication et la mise en application des procédures relatives à la protection des données au sein de son organisation. Il peut être interne ou externe à l’entité, du moment que son expertise suffit à gérer la protection des données de celle-ci. Pour y parvenir, le Délégué à la protection des données doit cumuler des compétences techniques et juridiques, mais également organisationnelles.

Lire aussi : DPO externalisé : quels avantages ?

Quelles sont les missions du DPO ?

Qui dit compétences multiples, dit missions variées ! Chargé d’assurer la conformité en matière de sécurité des données, le DPO est ainsi tenu de :

Informer et aider le responsable de traitement ou le sous-traitant procédant au traitement des données.
Contrôler régulièrement le respect de la règlementation relative à la protection des données.
Conseiller l’organisme quant à la réalisation d’études d’impact sur la protection des données et en vérifier l’exécution.
Assurer les échanges avec la CNIL.

Cas particulier

Dans certaines circonstances, le Délégué à la protection des données peut être partagé entre plusieurs organismes, ce qui signifie qu’une même personne peut être désignée pour remplir ce rôle auprès de plusieurs entités. Néanmoins, le délégué doit être accessible facilement pour chaque établissement. Cette mesure est essentielle afin qu’il puisse interagir efficacement avec les personnes concernées par le traitement des données et collaborer avec l’autorité de contrôle.

Quels organismes ont pour obligation de désigner un DPO ?

Le RGPD impose la désignation d’un DPO dans trois situations :

L’organisation concernée est une autorité ou un organisme public ;
L’organisme réalise un suivi régulier et systématique de personnes à grande échelle ;
L’organisme traite des données sensibles à grande échelle ou des données relatives à des infractions et des condamnations pénales.

#1 Les organismes ou les autorités publics

Cette notion englobe les autorités nationales, régionales et locales telles que :

L’Etat ;
Les collectivités territoriales ;
Les organismes de droit public ;
Les associations formées par une ou plusieurs collectivités ou un ou plusieurs organismes de droit public.

#2 Les organismes réalisant un suivi régulier et systématique de personnes à grande échelle

Il s’agit de toutes les structures dont les activités de base nécessitent un suivi régulier et automatique de personnes à grande échelle. On y retrouve, par exemple, les banques, les assurances, les fournisseurs d’accès internet, les opérateurs téléphoniques, les entreprises effectuant des activités marketing fondées sur les données…

Terminologie

On parle « d’une activité de base » lorsque celle-ci s’apparente à une opération essentielle pour atteindre les objectifs du responsable de traitement ou du sous-traitant.

Les textes européens ne fournissent pas d’éléments spécifiques pour définir un « traitement à grande échelle », tels que le nombre ou la nature des données traitées, la zone géographique à couvrir ou encore la durée de conservation des données. Pour déterminer si un traitement est considéré comme étant effectué à grande échelle, le responsable doit ainsi s’appuyer sur les critères suivants :
- Le nombre de personnes impliquées par rapport à la population concernée ;
- Le volume de données et/ou le spectre de données traitées ;
- La durée ou la permanence des activités de traitement des données ;
- L’étendue géographique de l’activité de traitement.

La notion de « suivi régulier et systématique » inclut toutes les formes de suivi et de profilage sur internet mais aussi toute les formes de suivi s’effectuant ailleurs qu’en ligne.

#3 Les organismes traitant des données sensibles à grande échelle ou relatives à des condamnations pénales et des infractions

La désignation d’un DPO est obligatoire lorsque la structure collecte à grande échelle des données :

Génétiques, biométriques ou de santé ;
Communiquant l’origine ethnique ;
Révélant les convictions religieuses ou philosophiques ;
Divulguant les opinions politiques ou l’appartenance syndicale ;
Concernant la vie sexuelle ou l’orientation sexuelle.

Quels sont les risques en cas de non-désignation d’un DPO ?

Le défaut de désignation du DPO – lorsque celui-ci est obligatoire – est puni par la CNIL d’une amende administrative qui peut s’élever jusqu’à 10 millions d’euros, ou jusqu’à 2% du chiffre d’affaires annuel dans le cas d’une entreprise.

Outre le risque financier, un organisme ne respectant pas cette injonction s’expose à d’autres menaces telles que :

L’augmentation de la vulnérabilité en matière de violation des données ;
La difficulté à réagir rapidement et efficacement en cas d’incident relatif à la protection des données ;
La détérioration de l’image de l’organisme auprès de ses interlocuteurs internes et externes.

Le DPO : plutôt qu’une contrainte, une véritable plus-value pour l’organisme

En dehors des situations où la désignation d’un DPO est obligatoire, le CEPD (Comité Européen de la Protection des Données) encourage cette nomination. En effet, désigner un DPO permet de confier à un expert l’identification et la coordination des actions nécessaires en matière de protection des données personnelles. Plus qu’une (non) obligation légale, cette pratique permet d’assurer la mise en conformité vis-à-vis des nombreuses injonctions édictées par le RGPD.

Lire aussi : Voir le RGPD comme une opportunité !

C’est dans cette optique que Netsystem – cabinet spécialisé dans la protection des données à caractère personnel – a créé Dposystem. Audit détaillé de votre conformité RGPD et de votre protection des données, DPO externalisé, formation des collaborateurs, centre de ticketing disponible 24/24… Notre expertise juridique, technique et organisationnelle assure la mise en place et le maintien en continu de votre conformité RGPD. Vous souhaitez en savoir plus ? Contactez-nous !

Lire

Dans quels cas la désignation d’un DPO est-elle obligatoire ?

Qu’est-ce qu’un DPO ?

Quelles sont les missions du DPO ?

Cas particulier

Quels organismes ont pour obligation de désigner un DPO ?

#1 Les organismes ou les autorités publics

#2 Les organismes réalisant un suivi régulier et systématique de personnes à grande échelle

Terminologie

#3 Les organismes traitant des données sensibles à grande échelle ou relatives à des condamnations pénales et des infractions

Quels sont les risques en cas de non-désignation d’un DPO ?

Le DPO : plutôt qu’une contrainte, une véritable plus-value pour l’organisme

Derniers articles

Netsystem s’engage dans une démarche de labellisation Numérique Responsable (NR)

Le DPO et la gestion du consentement utilisateur / L’impact du RGPD sur le marketing digital

L’impact de l’intelligence artificielle sur la cybersécurité

Votez pour LUDIK, le jeu qui sensibilise le personnel hospitalier aux risques informatiques

TISAX® : Un incontournable pour l’industrie automobile – Participez à notre webinar exclusif !

Catégories

Besoin d'échanger avec un expert ?

Suivez nos actualités

Nos Offres

Á propos de nous

Actualités