Selon une étude de Talend, 58% des entreprises interrogées (64% en France) n’ont pas répondu aux demandes de personnes souhaitant obtenir une copie de leurs données personnelles dans le délai d’un mois prévu par le Règlement générale relatif à la protection des données (RGPD). Cela met en lumière la nécessité pour certains organismes de prendre les dispositions nécessaires afin d’être en conformité avec le RGPD. La désignation d’un Data Protection Officer (DPO) (ou en français, un délégué à la protection des données) peut être une option, ou même une obligation selon l’article 37 du RGPD.
La désignation d’un DPO est obligatoire dans trois cas :
- Lorsque le traitement est effectué par une autorité ou un organisme public
- Lorsque les activités de base de responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
- Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales ou des infractions
I – Une autorité ou un organisme public
Par autorité ou organisme public est entendu a minima tous les organismes de droit public, mais également des entreprises privées exerçant des missions de services publics.
Le Comité Européen de la Protection des Données (CEPD) recommande que les organismes privés chargés d’effectuer des missions de service public ou exerçant l’autorité publique désignent un DPO.
II – Un suivi régulier et systémique
Le RGPD ne précise pas la notion de « suivi régulier et systématique » des personnes concernées. Néanmoins, selon le considérant 24 du RGPD un suivi du comportement des personnes concernées peut être déterminé lorsqu’il est établi que les personnes physiques sont suivies sur internet (par exemple : le profilage d’une personne physique afin de prendre des décisions la concernant ou analyser ou prédire ses préférences, ses comportements et des dispositions d’esprit). Un « suivi régulier et systématique » ne se borne pas uniquement aux communications en ligne, il peut également concerner les documents papiers.
III- Les opérations de traitement à grande échelle
Selon considérant 91 du RGPD, les opérations de traitement à grande échelle sont celles visant « à traiter un volume considérable de données à caractère personnel au niveau régional, national, ou supranational, […] peuvent affecter un nombre important de personnes concernées et […] sont susceptibles d’engendrer un risque élevé » Ce considérant ne permet de pas quantifier exactement la notion de « grande échelle ». Le CEPD propose comme bonne pratique d’utiliser les indices suivants :
– le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à une population concernée ;
– le volume de données et/ou le spectre des données traitées ;
– la durée ou la permanence des activités de traitement de données
– l’étendue géographique de l’activité de traitement
Si votre organisme traite des catégories particulières de données (origine raciale ou ethnique, orientation sexuelle ou les opinions et les données relatives à des condamnations pénales et à des infractions) vous serrez dans l’obligation de désigner un DPO.
Toutefois la désignation d’un DPO reste recommandée par la CNIL et le CEPD. Un responsable de traitement ou un sous-traitant qui décide de ne pas désigner un DPO devra documenter l’analyse faite en interne. En cas de contrôle effectué par la CNIL, cette documentation pourra être exigée par l’autorité de contrôle.
TFMB Consulting conseille les entreprises, administration publique et associations en matière de protection des données et propose également ses services en tant que DPO externalisé en France et à l’international.
Sources :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (RGPD)
- CEPD (ex-G29), Lignes directrices WP 243 rév. 01 les délégués à la protection des données (DPO), 13 décembre, révisées le 5 avril 2017)