Dans quel cas la désignation du DPO est-elle obligatoire ?
L’article 37.1 du RGPD (règlement général sur la protection des données) impose la désignation d’un DPO dans 3 situations :
- Lorsque le traitement est effectué par une autorité publique ou un organisme public
- Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
- Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions
Le G29, à qui a succédé le Comité européen de la protection des données (CEPD ou EDPB en anglais), donne des orientations sur les critères et la terminologie, il s’agira de les évoquer successivement :
- Autorité publique ou organisme public
- Activité de base
- A grande échelle
- Suivi régulier et systématique
- Catégories particulières de données et données relatives à des condamnations pénales et à des infractions
Retrouvez notre article sur les modalités de désignation du DPO.
Autorité publique ou organisme public
Les autorités publiques et les organismes publics incluent les autorités nationales, régionales et locales, mais, au regard des législations nationales applicables, cette notion englobe aussi généralement une série d’autres organismes de droit public.
Ces notions sont donc définies au cas par cas par le droit national.
Le droit européen donne également des orientations notamment :
- directive 2003/98/CE concernant la réutilisation des informations du secteur public
- directive 2004/18/CE relative à la coordination des procédures de passation des marchés publics de travaux, de fournitures et de services.
La directive 2003/98/CE indique que les organismes du secteur public regroupent :
l’état,
les collectivités territoriales,
les organismes de droit public
les associations formées par une ou plusieurs de ces collectivités ou un ou plusieurs de ces organismes de droit public.
La directive 2004/18/CE indique qu’un organisme de droit public est tout organisme :
- créé pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial
- et doté de la personnalité juridique
- dont l’activité est :
- financée majoritairement par l’état, les collectivités territoriales ou d’autres organismes de droit public,
- soit la gestion est soumise à un contrôle par ces derniers,
- soit l’organe d’administration de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’état, les collectivités territoriales ou d’autres organismes de droit public…
Les organismes de droit privé chargés d'une mission de service public ne répondent pas à ce critère. Néanmoins, la désignation d'un DPO est fortement recommandée pour ces organismes.
Activités de base
Les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.
Par exemple, l’activité de base d’un hôpital est de fournir des soins de santé.
Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans traiter des données concernant la santé, telles que les dossiers médicaux des patients.
Par conséquent, le traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPO.
En revanche, tous les organismes exercent certaines activités comme la rémunération de leurs employés ou les activités d’assistance informatique classiques.
Ces activités constituent des exemples de fonctions de soutien nécessaires à l’activité de base ou principale de l’organisme.
Bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l’activité de base.
A grande échelle
Les principales orientations disponibles proviennent actuellement des autorités de protection des données individuelles.
En République tchèque, l'autorité de protection des données a commenté le traitement des données à grande échelle dans son guide sur les évaluations des risques avant expédition.
Comme c'est le cas dans un plus grand nombre de pays, l'autorité tchèque de protection des données a fixé un seuil pour le nombre de personnes concernées au-delà duquel le traitement des données est considéré comme étant à grande échelle, dans ce cas :
- 10.000 personnes concernées.
Toutefois, le traitement par :
- plus de 20 succursales de traitement
- ou par plus de 20 employés
Est également considéré comme étant à grande échelle.
Enfin, les organisations devront tenir compte du fait que le traitement des données est effectué :
- au niveau régional
- ou au niveau international, ce dernier étant plus susceptible d'être considéré comme un traitement à grande échelle.
Le bureau du commissaire à l'information du Royaume-Uni n'a pas chiffré le traitement à grande échelle.
Au lieu de cela, l'ICO explique dans ses orientations que la grande échelle comprend :
- la durée, ou la permanence, de l'activité de traitement des données,
- le nombre ou la proportion de personnes concernées,
- le volume de données et/ou la gamme des différents éléments de données traités
- l'étendue géographique de l'activité de traitement.
Elle fournit ensuite quelques exemples, notamment :
- le traitement de données par un hôpital,
- le suivi des personnes utilisant le système de transport public d'une ville
- le traitement des données des clients par les banques, les compagnies d'assurance et les fournisseurs de services téléphoniques et Internet.
En tout état de cause, le G29, aujourd'hui CEPD, recommande que les facteurs suivants soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :
- le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ;
- le volume de données et/ou le spectre des données traitées ;
- la durée, ou la permanence, des activités de traitement des données ;
- l’étendue géographique de l’activité de traitement.
Voici quelques exemples de traitements de données à grande échelle :
traitement de données de patients par un hôpital dans le cadre du déroulement normal de ses activités ;
le traitement des données de voyage des passagers utilisant un moyen de transport public urbain…
A contrario, ne sont pas des traitements à grande échelle :
le traitement, par un médecin exerçant à titre individuel, des données de ses patients
le traitement relatif aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel.
Suivi régulier et systématique
La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD.
Cependant, la notion de « suivi du comportement des personnes concernées » est mentionnée au considérant 24 du RGPD.
Cette notion inclut clairement toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.
Toutefois, la notion de suivi n’est pas limitée à l’environnement en ligne :
- le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées.
L'ancien G29, aujourd'hui CEPD, a précisé certaines notions, notamment "régulier" et "systématique" :
En ce qui concerne le terme « régulier » il s'entend comme :
- continu ou se produisant à intervalles réguliers au cours d’une période donnée ;
- récurrent ou se répétant à des moments fixes ;
- ayant lieu de manière constante ou périodique.
En ce qui concerne le terme « systématique » une ou plusieurs des significations suivantes lui sont applicables :
- se produisant conformément à un système ;
- préétabli, organisé ou méthodique ;
- ayant lieu dans le cadre d’un programme général de collecte de données ;
- effectué dans le cadre d’une stratégie.
Voici quelques exemples d'activités constituant un suivi régulier et systématique des personnes concernées :
- l’exploitation d’un réseau de télécommunications ;
- la fourniture de services de télécommunications ;
- reciblage par courrier électronique ;
- activités de marketing fondées sur les données…
Catégories particulières de données et données relatives à des condamnations pénales et à des infractions
Bien que cette disposition utilise le terme «et», il n’existe aucune raison de principe qui voudrait que les deux critères doivent être appliqués simultanément. Il convient donc de lire le texte comme voulant dire «ou».
En tout état de cause, la désignation est obligatoire dès que la collecte à grande échelle concerne :
- Données révélant l’origine raciale ou ethnique ;
- Données révélant les opinions politiques ;
- Données révélant les convictions religieuses ou philosophiques ;
- Données révélant l’appartenance syndicale ;
- Données génétiques ;
- Données biométriques ;
- Données de santé ;
- Données concernant la vie sexuelle ou l’orientation sexuelle.
Pour continuer, découvrez les 4 étapes de la désignation d'un DPO
Cas pratique
| Entité | Activité | Désignation obligatoire d'un DPO ? |
|---|---|---|
| Association | Association loi 1901 proposant des activités sportives dans son village. | Non. |
| Société personne morale de droit privée | Société traitant des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services. | Oui, l’entité traite au titre de son activité de base des données à grande échelle. |
| Mairie | Une commune d'une centaine d'habitants met en oeuvre des traitements de données classiques pour une collectivité territoriale. | Oui, il s'agit d'un organisme public. |
| Société anonyme | Fourniture de services de télécommunications. | Oui, l'entité réalise un suivi régulier et systématique des personnes concernées. |