Est-ce que la désignation d’un DPO relève d’une obligation ou présente une opportunité ?

obligation-dpo

La désignation d’un Délégué à la protection des données, figure parmi les obligations imposées par la RGPD à certains organismes. Le non-respect de cette réglementation peut ainsi entraîner l’application d’une sanction administrative, d’un montant jusqu’à 2% du chiffre d’affaires annuel total de l’exercice précédent ou bien 10 millions d’euros, dans le cas d’une entreprise.

Au vu du montant assez élevé de cette sanction, la nomination d’un DPO est au centre des préoccupations des organismes privés et publics. D’ailleurs, les responsables de traitement et les sous-traitants sont nombreux à se demander s’ils sont concernés par cette obligation.

Nomination DPO : êtes-vous concerné ?

Selon l’article 37 du RGPD, la nomination d’un consultant rgpd est obligatoire dans 3 cas principaux. En théorie, ils peuvent paraître simples, mais comme les critères légaux ne sont pas tous définis, l’analyse reste complexe. Voici nos conseils pour vous aider à y voir plus clair et par conséquent, respecter les textes du RGPD :

Est-ce que vous êtes une autorité publique ou un organisme public qui réalise des traitements de données personnelles ?

Les notions d’« organisme public » et d’« autorité publique » sont à considérer au regard du droit national, selon le G29. Ainsi, le devoir de désigner un DPO concerne toute autorité locale, régionale ou nationale. 

Ce qui est certain, c’est que les juridictions qui agissent dans l’application de leur fonction juridictionnelle, ne sont pas concernées. Toutefois, elles doivent toujours se mettre en conformité avec le RGPD.

En outre, le G29 recommande aux organismes privés qui exercent une autorité publique ou des missions publiques, de créer un service dpo au sein de leur entité.

Est-ce que votre activité principale consiste en des traitements exigeant un suivi systématique et constant des personnes concernées ?

Les conditions sont diverses et complémentaires. Pour savoir si vous remplissez les critères de nomination d’un DPO et que l’obligation vous concerne, vous devez comprendre chacun d’entre eux :

  • Activités de base : selon le G29, il s’agit des principales activités réalisées par l’entreprise en vue d’atteindre les objectifs définis par les responsables de traitement et les sous-traitants.
  • Suivi : cette condition inclue toute forme de suivi et de profilage, en ligne ou non, ainsi que les objectifs de publicité comportementale.
  • Régulier : le suivi doit avoir lieu à des intervalles réguliers, une période spécifique ou de façon constante.
  • Systématique : se dit d’un élément bien organisé, méthodique et fait dans le cadre d’une stratégie.
  • Grande échelle : pour savoir si cette condition est remplie, il faut prendre en compte plusieurs éléments, tels que le nombre de personnes concernées, la durée et la zone géographique du traitement, ainsi que le volume de données.

Est-ce que vos activités de base concernent un traitement à grande échelle de catégories spécifiques de données ou de données liées à des infractions ou des condamnations pénales ?

Dans ce cas de figure, les conditions de « grande échelle » et d’« activité de base » sont à relier à trois groupes de données personnelles. Il est plus facile de comprendre ces critères car le RGPD définit clairement chaque terme.

En effet, les « catégories particulières de données » réunissent les données concernant l’origine ethnique ou raciale, l’appartenance syndicale, les convictions religieuses, les opinions politiques, l’orientation sexuelle, les données génétiques et biométriques ou encore l’état de santé.

Les données liées aux infractions et condamnations pénales jouissent aussi d’une protection. Ces notions sont définies dans l’article 10 du RGPD.

L’analyse de chaque critère doit se faire de façon concrète, vis-à-vis de l’activité réelle de l’organisme. Et comme elle sera suivie de près par la plus haute direction, elle doit être pertinente et étayée.

Si après analyse, vous prenez la décision de ne pas nommer un DPO, gardez toutefois une trace de cette réflexion, pour pouvoir la montrer à l’autorité de contrôle si besoin.

Est-ce que la nomination volontaire d’un DPO est possible ?

Après avoir décidé de la nomination d’un DPO, il convient de trouver la personne idéale qui occupera cette fonction. Elle doit être indépendante de la gestion de données personnelles et agir en qualité de chef d’orchestre de la conformité.

Le candidat peut être nommé en interne ou en externe. Le choix se fera donc entre le besoin de conserver le rôle en interne ou le recours à un DPO externalisé, garantie de la transparence et de l’expertise.

Pourquoi préférer un DPO externe ?

Ce prestataire possède les compétences nécessaires pour mener à bien sa mission :

  • Gestion de projet
  • Conformité
  • Juridique
  • Informatique

Le contrat passé dans l’année comportera des missions récurrentes et des missions complémentaires relatives à l’activité de votre entité.

La situation est plus difficile lorsque la nomination d’un DPO ne relève pas d’une obligation. Nombreux sont les organismes qui sont soulagés de ne pas avoir à engager une nouvelle personne. Toutefois, l’inquiétude revient aux personnes qui sont conscientes de la nécessité de se mettre en conformité avec le RGPD. Avec leurs tâches quotidiennes, elles se demandent qui sera en mesure de prendre une telle responsabilité ? Et surtout, qui pourra assurer la conformité RGPD de l’organisme à long terme ?

En effet, rappelons que les sanctions s’appliquent aussi quand les règles du RGPD ne sont pas respectées. Ainsi, le risque demeure plus grand si aucun pilote de la conformité n’est désigné. De ce fait, même si aucun DPO n’est nommé, une personne compétente devra toujours s’occuper de la tenue du registre des traitements, de l’application du principe d’accountability, ainsi que du suivi de la conformité.

La nomination volontaire peut ainsi être une option et devient une opportunité pour l’organisme concerné car il s’agit de désigner une personne compétente et qui s’y connaît en matière de données personnelles.

La formation du DPO est donc la base de votre projet de conformité. C’est ce qui assurera la sécurité de vos activités commerciales.

Conclusion

Un DPO, qu’il soit nominé volontairement ou obligatoirement, assure la conformité à long terme d’un organisme. Pour éviter tout tracas concernant un nouveau traitement, il est plus sage de désigner volontairement un DPO. C’est ce qui vous permettra de gagner en efficacité et en conformité et vous octroiera un avantage concurrentiel.