Désignation obligatoire ou facultative d'un DPO ?

Désignation obligatoire ou facultative d'un DPO ?
Estelle Penin

Dans quel cas la désignation du DPO est-elle obligatoire ?

L’article 37.1 du RGPD (règlement général sur la protection des données) impose la désignation d’un DPO dans 3 situations :

  • Lorsque le traitement est effectué par une autorité publique ou un organisme public
  • Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
  • Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions

Le G29, à qui a succédé le Comité européen de la protection des données (CEPD ou EDPB en anglais), donne des orientations sur les critères et la terminologie, il s’agira de les évoquer successivement :

  • Autorité publique ou organisme public
  • Activité de base
  • A grande échelle
  • Suivi régulier et systématique
  • Catégories particulières de données et données relatives à des condamnations pénales et à des infractions

Retrouvez notre article sur les modalités de désignation du DPO.


Autorité publique ou organisme public


Les autorités publiques et les organismes publics incluent les autorités nationales, régionales et locales, mais, au regard des législations nationales applicables, cette notion englobe aussi généralement une série d’autres organismes de droit public.

Ces notions sont donc définies au cas par cas par le droit national.

Le droit européen donne également des orientations notamment :

La directive 2003/98/CE indique que les organismes du secteur public regroupent :

  • l’état,

  • les collectivités territoriales,

  • les organismes de droit public

  • les associations formées par une ou plusieurs de ces collectivités ou un ou plusieurs de ces organismes de droit public.

La directive 2004/18/CE indique qu’un organisme de droit public est tout organisme :

  • créé pour satisfaire spécifiquement des besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial
  • et doté de la personnalité juridique
  • dont l’activité est :
    • financée majoritairement par l’état, les collectivités territoriales ou d’autres organismes de droit public,
    • soit la gestion est soumise à un contrôle par ces derniers,
    • soit l’organe d’administration de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’état, les collectivités territoriales ou d’autres organismes de droit public

Les organismes de droit privé chargés d'une mission de service public ne répondent pas à ce critère. Néanmoins, la désignation d'un DPO est fortement recommandée pour ces organismes.


Activités de base


Les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant.

Par exemple, l’activité de base d’un hôpital est de fournir des soins de santé.

Toutefois, un hôpital ne peut fournir de soins de santé de manière sûre et efficace sans traiter des données concernant la santé, telles que les dossiers médicaux des patients.

Par conséquent, le traitement de ces données doit être considéré comme l’une des activités de base de tout hôpital, et les hôpitaux doivent donc désigner un DPO.

En revanche, tous les organismes exercent certaines activités comme la rémunération de leurs employés ou les activités d’assistance informatique classiques.

Ces activités constituent des exemples de fonctions de soutien nécessaires à l’activité de base ou principale de l’organisme.

Bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l’activité de base.


A grande échelle


Les principales orientations disponibles proviennent actuellement des autorités de protection des données individuelles.

En République tchèque, l'autorité de protection des données a commenté le traitement des données à grande échelle dans son guide sur les évaluations des risques avant expédition.

Comme c'est le cas dans un plus grand nombre de pays, l'autorité tchèque de protection des données a fixé un seuil pour le nombre de personnes concernées au-delà duquel le traitement des données est considéré comme étant à grande échelle, dans ce cas :

  • 10.000 personnes concernées.

Toutefois, le traitement par :

  • plus de 20 succursales de traitement
  • ou par plus de 20 employés

Est également considéré comme étant à grande échelle.

Enfin, les organisations devront tenir compte du fait que le traitement des données est effectué :

  • au niveau régional
  • ou au niveau international, ce dernier étant plus susceptible d'être considéré comme un traitement à grande échelle.

Le bureau du commissaire à l'information du Royaume-Uni n'a pas chiffré le traitement à grande échelle.

Au lieu de cela, l'ICO explique dans ses orientations que la grande échelle comprend :

  • la durée, ou la permanence, de l'activité de traitement des données,
  • le nombre ou la proportion de personnes concernées,
  • le volume de données et/ou la gamme des différents éléments de données traités
  • l'étendue géographique de l'activité de traitement.

Elle fournit ensuite quelques exemples, notamment :

  • le traitement de données par un hôpital,
  • le suivi des personnes utilisant le système de transport public d'une ville
  • le traitement des données des clients par les banques, les compagnies d'assurance et les fournisseurs de services téléphoniques et Internet.

En tout état de cause, le G29, aujourd'hui CEPD, recommande que les facteurs suivants soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :

  • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ;
  • le volume de données et/ou le spectre des données traitées ;
  • la durée, ou la permanence, des activités de traitement des données ;
  • l’étendue géographique de l’activité de traitement.

Voici quelques exemples de traitements de données à grande échelle :

  • traitement de données de patients par un hôpital dans le cadre du déroulement normal de ses activités ;

  • le traitement des données de voyage des passagers utilisant un moyen de transport public urbain

A contrario, ne sont pas des traitements à grande échelle :

  • le traitement, par un médecin exerçant à titre individuel, des données de ses patients

  • le traitement relatif aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel.


Suivi régulier et systématique


La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD.

Cependant, la notion de « suivi du comportement des personnes concernées » est mentionnée au considérant 24 du RGPD.

Cette notion inclut clairement toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.

Toutefois, la notion de suivi n’est pas limitée à l’environnement en ligne :

  • le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées.

L'ancien G29, aujourd'hui CEPD, a précisé certaines notions, notamment "régulier" et "systématique" :

En ce qui concerne le terme « régulier » il s'entend comme :

  • continu ou se produisant à intervalles réguliers au cours d’une période donnée ;
  • récurrent ou se répétant à des moments fixes ;
  • ayant lieu de manière constante ou périodique.

En ce qui concerne le terme « systématique » une ou plusieurs des significations suivantes lui sont applicables :

  • se produisant conformément à un système ;
  • préétabli, organisé ou méthodique ;
  • ayant lieu dans le cadre d’un programme général de collecte de données ;
  • effectué dans le cadre d’une stratégie.

Voici quelques exemples d'activités constituant un suivi régulier et systématique des personnes concernées :

  • l’exploitation d’un réseau de télécommunications ;
  • la fourniture de services de télécommunications ;
  • reciblage par courrier électronique ;
  • activités de marketing fondées sur les données…

Catégories particulières de données et données relatives à des condamnations pénales et à des infractions


Bien que cette disposition utilise le terme «et», il n’existe aucune raison de principe qui voudrait que les deux critères doivent être appliqués simultanément. Il convient donc de lire le texte comme voulant dire «ou».

En tout état de cause, la désignation est obligatoire dès que la collecte à grande échelle concerne :

  • Données révélant l’origine raciale ou ethnique ;
  • Données révélant les opinions politiques ;
  • Données révélant les convictions religieuses ou philosophiques ;
  • Données révélant l’appartenance syndicale ;
  • Données génétiques ;
  • Données biométriques ;
  • Données de santé ;
  • Données concernant la vie sexuelle ou l’orientation sexuelle.

Pour continuer, découvrez les 4 étapes de la désignation d'un DPO


Cas pratique


Entité Activité Désignation obligatoire d'un DPO ?
Association Association loi 1901 proposant des activités sportives dans son village. Non.
Société personne morale de droit privée Société traitant des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans la fourniture de ces services. Oui, l’entité traite au titre de son activité de base des données à grande échelle.
Mairie Une commune d'une centaine d'habitants met en oeuvre des traitements de données classiques pour une collectivité territoriale. Oui, il s'agit d'un organisme public.
Société anonyme Fourniture de services de télécommunications. Oui, l'entité réalise un suivi régulier et systématique des personnes concernées.

newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Quelles sont mes obligations en tant que responsable de traitement ?

Dans cet article, nous verrons quelles sont les obligations du responsable de traitement au regard du règlement général sur la protection de...

Jérôme  de Mercey

Tout savoir sur la loi suisse de protection des données personnelles

Nous avons reçu, Isabelle Dubois, ancienne préposée à la protection des données et à la transparence de l'Etat de Genève pour nous apporter ...

Jérôme  de Mercey

Replay : la recommandation de la CNIL sur les mots de passe

La CNIL a mis à jour sa recommandation sur les mots de passe en juillet 2022. L'occasion de revenir sur les changements opérationnels.

Jérôme  de Mercey

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement