Le texte de l’article 37 – Désignation du délégué à la protection des données (DPO/DPD)
”Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque: a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10… ”
article 37
L’analyse de l’article : Désignation du délégué à la protection des données (DPO/DPD)
L’article 37 du RGPD nous détaille les conditions de désignation du délégué à la protection des données (DPD ou DPO en anglais). Rappelons que la CNIL est l’organisme responsable de la protection des données en France et que sa loi est applicable depuis le 25 mai 2018. Les manquements peuvent entraîner des sanctions pécuniaires lourdes et être rendues publiques. Il donc primordial de bien saisir dans quels cas un délégué doit être désigné.
Dans quels cas est-ce obligatoire?
La législation prévoit 3 cas ou la mise en place d’un délégué à la protection des données est obligatoire:
- Pour les autorités ou organismes publiques qui traitent des données personnels (par exemple un conseil régional, une commune)
- Pour les organismes dont l’activité première consiste au traitement de données à grande échelle ou un suivi qualitatif est nécessaire
- Pour les organismes dont l’activité première est le traitement de données dites particulières (défini dans l’article 9) ou le traitement de données relatives à des décisions judiciaires (défini dans l’article 10).
Une injonction qui prend en compte les différentes structures
Conscient que la mise en place d’un DPO dit interne peut être parfois difficile pour certaines institutions, organismes ou associations, la loi prévoit la possibilité d’une mutualisation de la fonction. En effet il apparaît délicat pour certaines communes rurales et isolées d’exercer cette obligation. Ainsi un seul délégué peut être nommé pour plusieurs responsables du traitement ou sous-traitants. Tous les organismes ou associations qui ne rentrent pas dans les cadres conventionnels cités précédemment peuvent également désigner un DPO en commun. Le délégué désigné doit en premier lieu être facilement joignable afin de remplir sa mission de manière optimale.
Qui peut être désigné et sous quelles conditions?
La nomination d’un délégué ne peut se faire de manière aléatoire. Le RGPD prévoit un encadrement du statut de ce dernier. Ces normes sont:
- Posséder des compétences en matière de droit et protection des données de manière à remplir les missions qui lui sont assignées (se référer à l’article 39)
- Être soit un membre du personnel responsable du traitement ou sous-traitant soit y être affilié par un contrat
- Déclarer et rendre publique les coordonnées du délégué à l’autorité de contrôle.
A bien des égards le métier de délégué est un métier d’avenir. Mais il peut encore évoluer avec l’avènement du BIG DATA. A ce titre, Il est conseillé de suivre régulièrement les publications de la CNIL.
