[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fr1VNu5Nhjf9laN3mZ91EVmEXaoMFDjidZUFzkMNvLLc":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":15,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":67,"imageUrl":75,"imageThumbUrls":76,"id":84},true,"## Dans quel cas la désignation du DPO est-elle obligatoire ?\r\n\r\nL’article 37.1 du RGPD (règlement général sur la protection des données) **impose la désignation d’un DPO** dans 3 situations :\r\n\r\n- Lorsque le traitement est effectué par une **autorité publique ou un organisme public**\r\n- Lorsque les **activités de base** du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un **suivi régulier et systématique à grande échelle des personnes concernées**\r\n- Lorsque les **activités de base** du responsable du traitement ou du sous-traitant consistent en un **traitement à grande échelle** de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions\r\n\r\nLe **G29**, à qui a succédé le **Comité européen de la protection des données** (CEPD ou EDPB en anglais), donne des **orientations** sur les **critères et la terminologie**, il s’agira de les évoquer successivement :\r\n\r\n- Autorité publique ou organisme public\r\n- Activité de base\r\n- A grande échelle\r\n- Suivi régulier et systématique\r\n- Catégories particulières de données et données relatives à des condamnations pénales et à des infractions\r\n\r\n> [Retrouvez notre article sur les **modalités de désignation du DPO**](https://www.dastra.eu/fr/article/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392).\r\n\r\n---\r\n\r\n### Autorité publique ou organisme public\r\n\r\n---\r\n\r\nLes **autorités publiques** et les **organismes publics** incluent les **autorités nationales, régionales et locales**, mais, au regard des législations nationales applicables, cette notion englobe aussi généralement une série **d’autres organismes de droit public**.\r\n\r\nCes notions sont donc définies **au cas par cas par le droit national**.\r\n\r\nLe **droit européen donne également des orientations** notamment :\r\n\r\n- [directive 2003/98/CE concernant la réutilisation des informations du secteur public](https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:345:0090:0096:FR:PDF)\r\n- [directive 2004/18/CE relative à la coordination des procédures de passation des marchés publics de travaux, de fournitures et de services.](https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:134:0114:0240:fr:PDF)\r\n\r\n> La directive 2003/98/CE indique que les **organismes du secteur public** regroupent :\r\n>\r\n> - l’**état**,\r\n> - les **collectivités territoriales**,\r\n> - les **organismes de droit public**\r\n> - les **associations formées par une ou plusieurs de ces collectivités ou un ou plusieurs de ces organismes de droit public**.\r\n\r\n> La directive 2004/18/CE indique qu’un **organisme de droit public** est tout organisme :\r\n>\r\n> - créé pour **satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial**\r\n> - et doté de la **personnalité juridique**\r\n> - dont l’activité est :\r\n>   - **financée** **majoritairement par l’état, les collectivités territoriales ou d’autres organismes de droit public**,\r\n>   - soit la **gestion est soumise à un contrôle par ces derniers**,\r\n>   - soit **l’organe d’administration de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’état, les collectivités territoriales ou d’autres organismes de droit public**…\r\n\r\nLes **organismes de droit privé chargés d'une mission de service public** ne répondent pas à ce critère. **Néanmoins, la désignation d'un DPO est fortement recommandée pour ces organismes.**\r\n\r\n---\r\n\r\n### Activités de base\r\n\r\n---\r\n\r\nLes « activités de base » peuvent être considérées comme les **opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant**.\r\n\r\n> Par exemple, l’activité de base d’un **hôpital** est de fournir des **soins de santé**.\r\n>\r\n> Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans **traiter des données concernant la santé**, telles que les dossiers médicaux des patients.\r\n>\r\n> Par conséquent, le **traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPO**.\r\n\r\nEn revanche, **tous les organismes exercent certaines activités comme la rémunération** de leurs employés ou les activités **d’assistance informatique classiques.**\r\n\r\nCes activités constituent des exemples de **fonctions de soutien nécessaires à l’activité de base ou principale de l’organisme**.\r\n\r\nBien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des **fonctions auxiliaires plutôt que comme l’activité de base**.\r\n\r\n---\r\n\r\n### A grande échelle\r\n\r\n---\r\n\r\nLes principales orientations disponibles proviennent actuellement des **autorités de protection des données individuelles**.\r\n\r\n> En **République tchèque**, l'**autorité de protection des données** a commenté le traitement des données à grande échelle dans son **guide sur les évaluations des risques avant expédition**.\r\n>\r\n> Comme c'est le cas dans un plus grand nombre de pays, l'autorité tchèque de protection des données a fixé un **seuil pour le nombre de personnes concernées au-delà duquel le traitement des données est considéré comme étant à grande échelle**, dans ce cas :\r\n>\r\n> - **10.000 personnes concernées**.\r\n>\r\n> Toutefois, le traitement par :\r\n>\r\n> - **plus de 20 succursales de traitement**\r\n> - **ou** par **plus de 20 employés**\r\n>\r\n> Est également considéré comme étant à **grande échelle**.\r\n>\r\n> Enfin, les organisations devront tenir compte du fait que le traitement des données est effectué :\r\n>\r\n> - au niveau **régional**\r\n> - ou au niveau **international**, ce dernier étant **plus susceptible d'être considéré comme un traitement à grande échelle**.\r\n\r\n> Le **bureau du commissaire à l'information du Royaume-Uni** **n'a pas chiffré le traitement à grande échelle.**\r\n>\r\n> Au lieu de cela, l'ICO explique dans ses orientations que la grande échelle comprend :\r\n>\r\n> - la **durée**, **ou la permanence**, de l'activité de traitement des données,\r\n> - le **nombre ou la proportion de personnes concernées**,\r\n> - le **volume de données et/ou la gamme des différents éléments de données traités**\r\n> - l'**étendue géographique de l'activité de traitement**.\r\n>\r\n> Elle fournit ensuite quelques exemples, notamment :\r\n>\r\n> - le **traitement de données par un hôpital**,\r\n> - le **suivi des personnes utilisant le système de transport public d'une ville**\r\n> - le **traitement des données des clients par les banques, les compagnies d'assurance et les fournisseurs de services téléphoniques et Internet**.\r\n\r\nEn tout état de cause, le G29, aujourd'hui CEPD, **recommande que les facteurs suivants soient pris en considération** pour déterminer si le traitement est mis en œuvre à grande échelle :\r\n\r\n- le **nombre de personnes concernées**, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ;\r\n- le **volume de données et/ou le spectre des données traitées** ;\r\n- la **durée, ou la permanence, des activités de traitement des données** ;\r\n- l’**étendue géographique de l’activité de traitement**.\r\n\r\n> Voici quelques exemples de traitements de données à grande échelle :\r\n>\r\n> - **traitement de données de patients par un hôpital dans le cadre du déroulement normal de ses activités** ;\r\n> - le **traitement des données de voyage des passagers utilisant un moyen de transport public urbain**…\r\n>\r\n> A contrario, ne sont pas des traitements à grande échelle :\r\n>\r\n> - le traitement, par un **médecin exerçant à titre individuel, des données de ses patients**\r\n> - le traitement relatif aux **condamnations pénales et aux infractions par un avocat exerçant à titre individuel**.\r\n\r\n---\r\n\r\n### Suivi régulier et systématique\r\n\r\n---\r\n\r\nLa notion de **suivi régulier et systématique des personnes concernées** n’est pas définie dans le RGPD.\r\n\r\nCependant, la notion de « **suivi du comportement des personnes concernées** » est mentionnée au considérant 24 du RGPD.\r\n\r\nCette notion inclut clairement **toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale**.\r\n\r\nToutefois, la **notion de suivi n’est pas limitée à l’environnement en ligne** :\r\n\r\n- le suivi en ligne ne doit être considéré que comme un **exemple de suivi du comportement des personnes concernées**.\r\n\r\nL'ancien **G29**, aujourd'hui **CEPD**, a précisé certaines notions, notamment \"**régulier**\" et \"**systématique**\" :\r\n\r\nEn ce qui concerne le terme « **régulier** » il s'entend comme :\r\n\r\n- **continu** ou se **produisant à intervalles réguliers au cours d’une période donnée** ;\r\n- **récurrent** ou se **répétant à des moments fixes** ;\r\n- ayant lieu de **manière constante ou périodique**.\r\n\r\nEn ce qui concerne le terme « **systématique** » une ou plusieurs des significations suivantes lui sont applicables :\r\n\r\n- se **produisant conformément à un système** ;\r\n- **préétabli**, **organisé** ou **méthodique** ;\r\n- ayant lieu dans le cadre d’un **programme général de collecte de données** ;\r\n- effectué dans le cadre d’une **stratégie**.\r\n\r\n> Voici quelques exemples d'activités constituant un **suivi régulier et systématique des personnes concernées** :\r\n>\r\n> - l’exploitation d’un réseau de télécommunications ;\r\n> - la fourniture de services de télécommunications ;\r\n> - reciblage par courrier électronique ;\r\n> - activités de marketing fondées sur les données…\r\n\r\n---\r\n\r\n### Catégories particulières de données et données relatives à des condamnations pénales et à des infractions\r\n\r\n---\r\n\r\nBien que cette disposition utilise le terme «et», il n’existe **aucune raison de principe qui voudrait que les deux critères doivent être appliqués simultanément**. Il convient donc de lire le texte comme voulant dire «ou».\r\n\r\nEn tout état de cause, la **désignation est obligatoire dès que la collecte à grande échelle concerne** :\r\n\r\n- Données révélant l’**origine raciale ou ethnique** ;\r\n- Données révélant les **opinions politiques** ;\r\n- Données révélant les **convictions religieuses ou philosophiques** ;\r\n- Données révélant l’**appartenance syndicale** ;\r\n- Données **génétiques** ;\r\n- Données **biométriques** ;\r\n- Données de **santé** ;\r\n- Données concernant la **vie sexuelle ou l’orientation sexuelle**.\r\n\r\n> **Pour continuer,** [**découvrez les 4 étapes de la désignation d'un DPO**](https://www.dastra.eu/fr/guide/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392)\r\n\r\n---\r\n\r\n### Cas pratique\r\n\r\n---\r\n\r\n| Entité | Activité | Désignation obligatoire d'un DPO ? |\r\n| --- | --- | --- |\r\n| Association | Association loi 1901 proposant des activités sportives dans son village. | Non. |\r\n| Société personne morale de droit privée | Société traitant des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services. | Oui, l’entité traite au titre de son activité de base des données à grande échelle. |\r\n| Mairie | Une commune d'une centaine d'habitants met en oeuvre des traitements de données classiques pour une collectivité territoriale. | Oui, il s'agit d'un organisme public. |\r\n| Société anonyme | Fourniture de services de télécommunications. | Oui, l'entité réalise un suivi régulier et systématique des personnes concernées. |\r\n","\u003Ch2 id=\"dans-quel-cas-la-designation-du-dpo-est-elle-obligatoire\">Dans quel cas la désignation du DPO est-elle obligatoire ?\u003C/h2>\n\u003Cp>L’article 37.1 du RGPD (règlement général sur la protection des données) \u003Cstrong>impose la désignation d’un DPO\u003C/strong> dans 3 situations :\u003C/p>\n\u003Cul>\n\u003Cli>Lorsque le traitement est effectué par une \u003Cstrong>autorité publique ou un organisme public\u003C/strong>\u003C/li>\n\u003Cli>Lorsque les \u003Cstrong>activités de base\u003C/strong> du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un \u003Cstrong>suivi régulier et systématique à grande échelle des personnes concernées\u003C/strong>\u003C/li>\n\u003Cli>Lorsque les \u003Cstrong>activités de base\u003C/strong> du responsable du traitement ou du sous-traitant consistent en un \u003Cstrong>traitement à grande échelle\u003C/strong> de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions\u003C/li>\n\u003C/ul>\n\u003Cp>Le \u003Cstrong>G29\u003C/strong>, à qui a succédé le \u003Cstrong>Comité européen de la protection des données\u003C/strong> (CEPD ou EDPB en anglais), donne des \u003Cstrong>orientations\u003C/strong> sur les \u003Cstrong>critères et la terminologie\u003C/strong>, il s’agira de les évoquer successivement :\u003C/p>\n\u003Cul>\n\u003Cli>Autorité publique ou organisme public\u003C/li>\n\u003Cli>Activité de base\u003C/li>\n\u003Cli>A grande échelle\u003C/li>\n\u003Cli>Suivi régulier et systématique\u003C/li>\n\u003Cli>Catégories particulières de données et données relatives à des condamnations pénales et à des infractions\u003C/li>\n\u003C/ul>\n\u003Cblockquote>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/article/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392\">Retrouvez notre article sur les \u003Cstrong>modalités de désignation du DPO\u003C/strong>\u003C/a>.\u003C/p>\n\u003C/blockquote>\n\u003Chr />\n\u003Ch3 id=\"autorite-publique-ou-organisme-public\">Autorité publique ou organisme public\u003C/h3>\n\u003Chr />\n\u003Cp>Les \u003Cstrong>autorités publiques\u003C/strong> et les \u003Cstrong>organismes publics\u003C/strong> incluent les \u003Cstrong>autorités nationales, régionales et locales\u003C/strong>, mais, au regard des législations nationales applicables, cette notion englobe aussi généralement une série \u003Cstrong>d’autres organismes de droit public\u003C/strong>.\u003C/p>\n\u003Cp>Ces notions sont donc définies \u003Cstrong>au cas par cas par le droit national\u003C/strong>.\u003C/p>\n\u003Cp>Le \u003Cstrong>droit européen donne également des orientations\u003C/strong> notamment :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Ca href=\"https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:345:0090:0096:FR:PDF\" rel=\"nofollow\">directive 2003/98/CE concernant la réutilisation des informations du secteur public\u003C/a>\u003C/li>\n\u003Cli>\u003Ca href=\"https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:134:0114:0240:fr:PDF\" rel=\"nofollow\">directive 2004/18/CE relative à la coordination des procédures de passation des marchés publics de travaux, de fournitures et de services.\u003C/a>\u003C/li>\n\u003C/ul>\n\u003Cblockquote>\n\u003Cp>La directive 2003/98/CE indique que les \u003Cstrong>organismes du secteur public\u003C/strong> regroupent :\u003C/p>\n\u003Cul>\n\u003Cli>l’\u003Cstrong>état\u003C/strong>,\u003C/li>\n\u003Cli>les \u003Cstrong>collectivités territoriales\u003C/strong>,\u003C/li>\n\u003Cli>les \u003Cstrong>organismes de droit public\u003C/strong>\u003C/li>\n\u003Cli>les \u003Cstrong>associations formées par une ou plusieurs de ces collectivités ou un ou plusieurs de ces organismes de droit public\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cblockquote>\n\u003Cp>La directive 2004/18/CE indique qu’un \u003Cstrong>organisme de droit public\u003C/strong> est tout organisme :\u003C/p>\n\u003Cul>\n\u003Cli>créé pour \u003Cstrong>satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial\u003C/strong>\u003C/li>\n\u003Cli>et doté de la \u003Cstrong>personnalité juridique\u003C/strong>\u003C/li>\n\u003Cli>dont l’activité est :\n\u003Cul>\n\u003Cli>\u003Cstrong>financée\u003C/strong> \u003Cstrong>majoritairement par l’état, les collectivités territoriales ou d’autres organismes de droit public\u003C/strong>,\u003C/li>\n\u003Cli>soit la \u003Cstrong>gestion est soumise à un contrôle par ces derniers\u003C/strong>,\u003C/li>\n\u003Cli>soit \u003Cstrong>l’organe d’administration de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’état, les collectivités territoriales ou d’autres organismes de droit public\u003C/strong>…\u003C/li>\n\u003C/ul>\n\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cp>Les \u003Cstrong>organismes de droit privé chargés d'une mission de service public\u003C/strong> ne répondent pas à ce critère. \u003Cstrong>Néanmoins, la désignation d'un DPO est fortement recommandée pour ces organismes.\u003C/strong>\u003C/p>\n\u003Chr />\n\u003Ch3 id=\"activites-de-base\">Activités de base\u003C/h3>\n\u003Chr />\n\u003Cp>Les « activités de base » peuvent être considérées comme les \u003Cstrong>opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>Par exemple, l’activité de base d’un \u003Cstrong>hôpital\u003C/strong> est de fournir des \u003Cstrong>soins de santé\u003C/strong>.\u003C/p>\n\u003Cp>Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans \u003Cstrong>traiter des données concernant la santé\u003C/strong>, telles que les dossiers médicaux des patients.\u003C/p>\n\u003Cp>Par conséquent, le \u003Cstrong>traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPO\u003C/strong>.\u003C/p>\n\u003C/blockquote>\n\u003Cp>En revanche, \u003Cstrong>tous les organismes exercent certaines activités comme la rémunération\u003C/strong> de leurs employés ou les activités \u003Cstrong>d’assistance informatique classiques.\u003C/strong>\u003C/p>\n\u003Cp>Ces activités constituent des exemples de \u003Cstrong>fonctions de soutien nécessaires à l’activité de base ou principale de l’organisme\u003C/strong>.\u003C/p>\n\u003Cp>Bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des \u003Cstrong>fonctions auxiliaires plutôt que comme l’activité de base\u003C/strong>.\u003C/p>\n\u003Chr />\n\u003Ch3 id=\"a-grande-echelle\">A grande échelle\u003C/h3>\n\u003Chr />\n\u003Cp>Les principales orientations disponibles proviennent actuellement des \u003Cstrong>autorités de protection des données individuelles\u003C/strong>.\u003C/p>\n\u003Cblockquote>\n\u003Cp>En \u003Cstrong>République tchèque\u003C/strong>, l'\u003Cstrong>autorité de protection des données\u003C/strong> a commenté le traitement des données à grande échelle dans son \u003Cstrong>guide sur les évaluations des risques avant expédition\u003C/strong>.\u003C/p>\n\u003Cp>Comme c'est le cas dans un plus grand nombre de pays, l'autorité tchèque de protection des données a fixé un \u003Cstrong>seuil pour le nombre de personnes concernées au-delà duquel le traitement des données est considéré comme étant à grande échelle\u003C/strong>, dans ce cas :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>10.000 personnes concernées\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cp>Toutefois, le traitement par :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>plus de 20 succursales de traitement\u003C/strong>\u003C/li>\n\u003Cli>\u003Cstrong>ou\u003C/strong> par \u003Cstrong>plus de 20 employés\u003C/strong>\u003C/li>\n\u003C/ul>\n\u003Cp>Est également considéré comme étant à \u003Cstrong>grande échelle\u003C/strong>.\u003C/p>\n\u003Cp>Enfin, les organisations devront tenir compte du fait que le traitement des données est effectué :\u003C/p>\n\u003Cul>\n\u003Cli>au niveau \u003Cstrong>régional\u003C/strong>\u003C/li>\n\u003Cli>ou au niveau \u003Cstrong>international\u003C/strong>, ce dernier étant \u003Cstrong>plus susceptible d'être considéré comme un traitement à grande échelle\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cblockquote>\n\u003Cp>Le \u003Cstrong>bureau du commissaire à l'information du Royaume-Uni\u003C/strong> \u003Cstrong>n'a pas chiffré le traitement à grande échelle.\u003C/strong>\u003C/p>\n\u003Cp>Au lieu de cela, l'ICO explique dans ses orientations que la grande échelle comprend :\u003C/p>\n\u003Cul>\n\u003Cli>la \u003Cstrong>durée\u003C/strong>, \u003Cstrong>ou la permanence\u003C/strong>, de l'activité de traitement des données,\u003C/li>\n\u003Cli>le \u003Cstrong>nombre ou la proportion de personnes concernées\u003C/strong>,\u003C/li>\n\u003Cli>le \u003Cstrong>volume de données et/ou la gamme des différents éléments de données traités\u003C/strong>\u003C/li>\n\u003Cli>l'\u003Cstrong>étendue géographique de l'activité de traitement\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cp>Elle fournit ensuite quelques exemples, notamment :\u003C/p>\n\u003Cul>\n\u003Cli>le \u003Cstrong>traitement de données par un hôpital\u003C/strong>,\u003C/li>\n\u003Cli>le \u003Cstrong>suivi des personnes utilisant le système de transport public d'une ville\u003C/strong>\u003C/li>\n\u003Cli>le \u003Cstrong>traitement des données des clients par les banques, les compagnies d'assurance et les fournisseurs de services téléphoniques et Internet\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Cp>En tout état de cause, le G29, aujourd'hui CEPD, \u003Cstrong>recommande que les facteurs suivants soient pris en considération\u003C/strong> pour déterminer si le traitement est mis en œuvre à grande échelle :\u003C/p>\n\u003Cul>\n\u003Cli>le \u003Cstrong>nombre de personnes concernées\u003C/strong>, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ;\u003C/li>\n\u003Cli>le \u003Cstrong>volume de données et/ou le spectre des données traitées\u003C/strong> ;\u003C/li>\n\u003Cli>la \u003Cstrong>durée, ou la permanence, des activités de traitement des données\u003C/strong> ;\u003C/li>\n\u003Cli>l’\u003Cstrong>étendue géographique de l’activité de traitement\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cblockquote>\n\u003Cp>Voici quelques exemples de traitements de données à grande échelle :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>traitement de données de patients par un hôpital dans le cadre du déroulement normal de ses activités\u003C/strong> ;\u003C/li>\n\u003Cli>le \u003Cstrong>traitement des données de voyage des passagers utilisant un moyen de transport public urbain\u003C/strong>…\u003C/li>\n\u003C/ul>\n\u003Cp>A contrario, ne sont pas des traitements à grande échelle :\u003C/p>\n\u003Cul>\n\u003Cli>le traitement, par un \u003Cstrong>médecin exerçant à titre individuel, des données de ses patients\u003C/strong>\u003C/li>\n\u003Cli>le traitement relatif aux \u003Cstrong>condamnations pénales et aux infractions par un avocat exerçant à titre individuel\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Chr />\n\u003Ch3 id=\"suivi-regulier-et-systematique\">Suivi régulier et systématique\u003C/h3>\n\u003Chr />\n\u003Cp>La notion de \u003Cstrong>suivi régulier et systématique des personnes concernées\u003C/strong> n’est pas définie dans le RGPD.\u003C/p>\n\u003Cp>Cependant, la notion de « \u003Cstrong>suivi du comportement des personnes concernées\u003C/strong> » est mentionnée au considérant 24 du RGPD.\u003C/p>\n\u003Cp>Cette notion inclut clairement \u003Cstrong>toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale\u003C/strong>.\u003C/p>\n\u003Cp>Toutefois, la \u003Cstrong>notion de suivi n’est pas limitée à l’environnement en ligne\u003C/strong> :\u003C/p>\n\u003Cul>\n\u003Cli>le suivi en ligne ne doit être considéré que comme un \u003Cstrong>exemple de suivi du comportement des personnes concernées\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cp>L'ancien \u003Cstrong>G29\u003C/strong>, aujourd'hui \u003Cstrong>CEPD\u003C/strong>, a précisé certaines notions, notamment \"\u003Cstrong>régulier\u003C/strong>\" et \"\u003Cstrong>systématique\u003C/strong>\" :\u003C/p>\n\u003Cp>En ce qui concerne le terme « \u003Cstrong>régulier\u003C/strong> » il s'entend comme :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>continu\u003C/strong> ou se \u003Cstrong>produisant à intervalles réguliers au cours d’une période donnée\u003C/strong> ;\u003C/li>\n\u003Cli>\u003Cstrong>récurrent\u003C/strong> ou se \u003Cstrong>répétant à des moments fixes\u003C/strong> ;\u003C/li>\n\u003Cli>ayant lieu de \u003Cstrong>manière constante ou périodique\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cp>En ce qui concerne le terme « \u003Cstrong>systématique\u003C/strong> » une ou plusieurs des significations suivantes lui sont applicables :\u003C/p>\n\u003Cul>\n\u003Cli>se \u003Cstrong>produisant conformément à un système\u003C/strong> ;\u003C/li>\n\u003Cli>\u003Cstrong>préétabli\u003C/strong>, \u003Cstrong>organisé\u003C/strong> ou \u003Cstrong>méthodique\u003C/strong> ;\u003C/li>\n\u003Cli>ayant lieu dans le cadre d’un \u003Cstrong>programme général de collecte de données\u003C/strong> ;\u003C/li>\n\u003Cli>effectué dans le cadre d’une \u003Cstrong>stratégie\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cblockquote>\n\u003Cp>Voici quelques exemples d'activités constituant un \u003Cstrong>suivi régulier et systématique des personnes concernées\u003C/strong> :\u003C/p>\n\u003Cul>\n\u003Cli>l’exploitation d’un réseau de télécommunications ;\u003C/li>\n\u003Cli>la fourniture de services de télécommunications ;\u003C/li>\n\u003Cli>reciblage par courrier électronique ;\u003C/li>\n\u003Cli>activités de marketing fondées sur les données…\u003C/li>\n\u003C/ul>\n\u003C/blockquote>\n\u003Chr />\n\u003Ch3 id=\"categories-particulieres-de-donnees-et-donnees-relatives-a-des-condamnations-penales-et-a-des-infractions\">Catégories particulières de données et données relatives à des condamnations pénales et à des infractions\u003C/h3>\n\u003Chr />\n\u003Cp>Bien que cette disposition utilise le terme «et», il n’existe \u003Cstrong>aucune raison de principe qui voudrait que les deux critères doivent être appliqués simultanément\u003C/strong>. Il convient donc de lire le texte comme voulant dire «ou».\u003C/p>\n\u003Cp>En tout état de cause, la \u003Cstrong>désignation est obligatoire dès que la collecte à grande échelle concerne\u003C/strong> :\u003C/p>\n\u003Cul>\n\u003Cli>Données révélant l’\u003Cstrong>origine raciale ou ethnique\u003C/strong> ;\u003C/li>\n\u003Cli>Données révélant les \u003Cstrong>opinions politiques\u003C/strong> ;\u003C/li>\n\u003Cli>Données révélant les \u003Cstrong>convictions religieuses ou philosophiques\u003C/strong> ;\u003C/li>\n\u003Cli>Données révélant l’\u003Cstrong>appartenance syndicale\u003C/strong> ;\u003C/li>\n\u003Cli>Données \u003Cstrong>génétiques\u003C/strong> ;\u003C/li>\n\u003Cli>Données \u003Cstrong>biométriques\u003C/strong> ;\u003C/li>\n\u003Cli>Données de \u003Cstrong>santé\u003C/strong> ;\u003C/li>\n\u003Cli>Données concernant la \u003Cstrong>vie sexuelle ou l’orientation sexuelle\u003C/strong>.\u003C/li>\n\u003C/ul>\n\u003Cblockquote>\n\u003Cp>\u003Cstrong>Pour continuer,\u003C/strong> \u003Ca href=\"https://www.dastra.eu/fr/guide/les-modalites-de-designation-dun-delegue-a-la-protection-des-donnees/42392\">\u003Cstrong>découvrez les 4 étapes de la désignation d'un DPO\u003C/strong>\u003C/a>\u003C/p>\n\u003C/blockquote>\n\u003Chr />\n\u003Ch3 id=\"cas-pratique\">Cas pratique\u003C/h3>\n\u003Chr />\n\u003Ctable>\n\u003Cthead>\n\u003Ctr>\n\u003Cth>Entité\u003C/th>\n\u003Cth>Activité\u003C/th>\n\u003Cth>Désignation obligatoire d'un DPO ?\u003C/th>\n\u003C/tr>\n\u003C/thead>\n\u003Ctbody>\n\u003Ctr>\n\u003Ctd>Association\u003C/td>\n\u003Ctd>Association loi 1901 proposant des activités sportives dans son village.\u003C/td>\n\u003Ctd>Non.\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Société personne morale de droit privée\u003C/td>\n\u003Ctd>Société traitant des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services.\u003C/td>\n\u003Ctd>Oui, l’entité traite au titre de son activité de base des données à grande échelle.\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Mairie\u003C/td>\n\u003Ctd>Une commune d'une centaine d'habitants met en oeuvre des traitements de données classiques pour une collectivité territoriale.\u003C/td>\n\u003Ctd>Oui, il s'agit d'un organisme public.\u003C/td>\n\u003C/tr>\n\u003Ctr>\n\u003Ctd>Société anonyme\u003C/td>\n\u003Ctd>Fourniture de services de télécommunications.\u003C/td>\n\u003Ctd>Oui, l'entité réalise un suivi régulier et systématique des personnes concernées.\u003C/td>\n\u003C/tr>\n\u003C/tbody>\n\u003C/table>\n",null,1654,9,"Désignation obligatoire ou facultative d'un DPO ? ",0,"fr","designation-obligatoire-ou-facultative-dun-dpo","Les cas de désignation obligatoires d'un DPO ",false,"Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":7,"blogUrl":7,"color":7,"userId":18,"creationDate":21},654,"Estelle Penin","https://static.dastra.eu/tenant-3/avatar/654/microsoftteams-image-3-modifie-150.png","2022-06-20T10:17:59","2021-12-02T08:41:26.545","2021-12-02T09:18:47.3407027","2026-04-20T12:25:30.1673909",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,34,37],{"lang":12,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41,46],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":42},[43,44,45],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},{"id":47,"name":48,"description":49,"url":50,"color":51,"parentId":26,"count":7,"imageUrl":7,"parent":52,"order":57,"translations":58},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":53},[54,55,56],{"lang":12,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},5,[59,61,64],{"lang":12,"name":48,"description":60},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":38,"name":62,"description":63},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":35,"name":65,"description":66},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[68,72],{"typeMetaDataId":69,"value":70,"id":71},3,"Découvrez notre solution",101981,{"typeMetaDataId":26,"value":73,"id":74},"https://www.dastra.eu/fr/contact?type=Demo",101982,"https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-1000.png",[77,78,79,80,81,82,83],"https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-1000.webp","https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje.webp","https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-1500.webp","https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-800.webp","https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-600.webp","https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-300.webp","https://static.dastra.eu/content/15dfe0b5-b936-4c48-aad1-e3906517654b/article-jeje-100.webp",48289]