Désignation

Data protection officer

Une présence obligatoire dans certains cas…

Une présence obligatoire dans certains cas...

Le premier alinéa de l’article 37 du Règlement général sur la protection des données est ainsi rédigé : « le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

  1. le traitement est effectué par une autorité publique [I] ou un organisme public [I], à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  2. les activités de base [II] du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique [III] à grande échelle [IV] des personnes concernées ;
  3. les activités de base [II] du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle [IV] de [données sensibles] [V] et de données à caractère personnel relatives à des condamnations pénales et à des infractions« .

→ cf. la foire aux questions

 

I/ AUTORITÉ PUBLIQUE, ORGANISME PUBLIC : correspond à l’ « entité adjudicatrice » découlant de la notion de « pouvoir adjudicateur », expressions définies par l’ordonnance de 2015 sur les marchés publics. Ceci inclut naturellement les personnes morales de droit public mais pas seulement : les « personnes morales de droit privé poursuivant une mission d’intérêt général et financées principalement sur fonds publics« , les « personnes morales de droit privé dotées de la personnalité juridique constituées par des pouvoirs adjudicateurs dans le but de réaliser certaines activités en commun« , …

 

II/ ACTIVITÉS DE BASE : expression d’apparence floue, le considérant 97 du Règlement européen définit les activités de base d’un responsable de traitement comme celles qui « ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire« . Une activité principale est vitale pour l’entreprise tandis qu’une activité auxiliaire viendra seulement en support de la première (gestion du personnel par exemple).

→ cf. la foire aux questions

 

III/ SUIVI RÉGULIER ET SYSTÉMATIQUE : expression à priori plus claire, elle doit s’analyser pour chacun de ses termes et chaque mot a véritablement son importance.

  1. « suivi » : traduit essentiellement le tracking des internautes, essentiellement à des fins marketing, le profilage, etc. mais peut par extension s’étendre à d’autres situations
  2. « régulier » : traduit une répétition à des temps rapprochés ou réguliers justement
  3. « systématique » : on insiste sur la répétition en introduisant ici l’idée de méthode (« systématisation »)

→ cf. la foire aux questions

 

IV/ A GRANDE ÉCHELLE : là encore, cette expression mérite d’être précisée. Le considérant 91 du Règlement européen explique que les termes correspondent à des traitements de données personnelles avec « un volume considérable de données […] au niveau régional, national ou supranational [et] qui peuvent affecter un nombre important de personnes concernées […] susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l’état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle« .

→ cf. la foire aux questions

 

Données sensiblesV/ DONNÉES SENSIBLES : rappelons que le Règlement européen « laisse aux États membres [de l’Union Européenne] une marge de manœuvre pour préciser [des] règles […] qui concerne[nt] le traitement de catégories particulières de données à caractère personnel« , en l’occurrence les données sensibles.

L’article 9 du RGPD considère que les données sensibles sont celles révélant :

  1. « l’origine raciale ou ethnique,
  2. les opinions politiques,
  3. les convictions religieuses ou philosophiques,
  4. l’appartenance syndicale,
  5. les données génétiques,
  6. les données biométriques aux fins d’identifier une personne physique de manière unique,
  7. les données concernant la santé,
  8. les données concernant la vie sexuelle ou l’orientation sexuelle« .

Par comparaison, l’article 8 de la loi Informatique et Libertés de 1978 énumère également ce qu’elle considère être des données sensibles :

  1. « les origines raciales ou ethniques,
  2. les opinions politiques, philosophiques ou religieuses
  3. l’appartenance syndicale,
  4. la santé,
  5. la vie sexuelle« .

 

 

Et une présence recommandée pour tous les autres.

Et une présence recommandée pour tous les autres.Dans le cadre d’une activité de base liée au suivi de la data mais où ce dernier ne serait pas à grande échelle par exemple, la question de la désignation du data protection officer peut se poser.

En effet, quand les critères cumulatifs des deux dernières situations exposées à l’article 37 du Règlement européen (cf. supra) semblent ne pas être réunis, la présence d’un DPO au sein de l’entreprise est possible et même (fortement) recommandée :

POSSIBLE car l’alinéa 4 du même article 37 énonce que « dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner […] un délégué à la protection des données« ,
RECOMMANDÉE car le risque de sanctions pécuniaires considérables du RGPD (20 millions d’euros ou 4% du chiffre annuel mondial), augmentées par rapport à la loi Informatique et Libertés (3 millions d’euros), nécessite d’être extrêmement prudent sur ces questions et de se faire épauler par un professionnel compétent.

 

 

Les sanctions en cas d’absence d’un DPO pourtant obligatoire

Elles sont principalement d’ordre financier avec une amende administrative conséquente prononcée par l’autorité de contrôle (la CNIL) qui pourra être de :

10 millions d’euros,
– ou 2% du chiffre d’affaires annuel mondial de l’exercice précédent,
la plus élevée des deux somme étant retenue.

On constate rapidement qu’elles correspondent à la moitié du plafond des sanctions pécuniaires globales en cas de non-respect des règles édictées par le RGPD (20 millions d’euros et 4% du chiffre d’affaires annuel mondial)… Tout de même !