Maître Benoît Rivain vous informe sur les contours de la loi RGPD relative à la protection des données personnelles : conditions applicables, périmètre de la loi, etc.
Le RGPD reconnaît le DPO en tant qu'acteur clé dans le nouveau système de gouvernance des données et établit les conditions relatives à sa désignation, à sa fonction et à ses missions. Il est tenu au respect des bonnes pratiques, en s'appuyant sur le travail de la CNIL et son propre savoir-faire et ses compétences.
L'article 37, paragraphe 1, du RGPD requiert la désignation d'un DPO dans trois cas spécifiques :
À moins qu'il soit évident qu'un organisme n'est pas tenu de désigner un DPO, le G29 recommande que les responsables du traitement et les sous-traitants documentent l'analyse interne effectuée
afin de déterminer si, oui ou non, il y a lieu de désigner un DPO, afin qu'ils soient en mesure de démontrer que les facteurs pertinents ont été correctement pris en considération.
Bien qu'il n'y ait pas nécessairement d'obligation dans ce cas, le G29 recommande, à titre de bonne pratique, que les organismes privés chargés d'effectuer des missions de service public
désignent un DPO. Les activités de ce DPO couvrent l'ensemble des opérations de traitement effectuées, y compris celles qui ne sont pas liées à la réalisation d’une mission de service public ou à l'exercice d'une charge officielle (par exemple, la gestion d’une base de données des employés).
L'article37, paragraphe1, exige que le traitement des données à caractère personnel soit effectué à grande échelle pour que la désignation d'un DPO soit obligatoire.
Si le RGPD ne définit ( par exemple, les définitions de "l'organisme du secteur public" et de l'organisme de droit public énoncées respectivement à l'article2, point1, et à l'article 2, point2, de la directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des
informations du secteur public (JOL345 du 31.12.2003, p.90))
pas la notion de traitement à "grande échelle", le considérant fournit toutefois certaines orientations. En effet, il n'est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d'individus concernés, qui soit applicable dans toutes les situations.
Cela n'exclut toutefois pas la possibilité qu'au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement "à grande échelle" pour certains types d'activités
de traitement courantes. Le G29 prévoit également de contribuer à cette évolution, en partageant et faisant connaître des exemples de seuils pertinents pour la désignation d’un DPO.
En tout état de cause, le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle:
La notion de suivi régulier et systématique des personnes concernées n'est pas définie dans le RGPD, mais celle de "suivi du comportement des personnes concernées" est mentionnée au considérant et inclut clairement toutes les formes de suivi et de profilage sur l'internet, y compris à des fins de publicité comportementale. Toutefois, la notion de suivi n'est pas limitée à l'environnement en ligne et le suivi en ligne ne doit être considéré que comme un exemple de suivi du comportement des personnes concernées. Le G29 interprète le terme "régulier" comme recouvrant une ou plusieurs des significations suivantes :
Le G29 interprète le terme "systématique" comme recouvrant une ou plusieurs des significations suivantes :
Il est de la responsabilité de votre DPO de vous aider à situer vos actions commerciales dans le cadre strict prévu par les articles 3 et 37 du règlement (UE)2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
L'article37 s'applique à la fois aux responsables du traitement et aux sous-traitants en ce qui concerne la désignation d'un DPO.
En fonction de la personne qui remplit les critères de désignation obligatoire, dans certains cas, seul le responsable du traitement ou le sous-traitant est tenu de désigner un DPO,
dans d'autres, le responsable de traitement et le sous-traitant sont tenus de désigner chacun un DPO (les deux DPO devant alors collaborer entre eux).
Il est important de souligner que, même si le responsable du traitement remplit les critères de désignation obligatoire,
son sous-traitant n'est pas nécessairement tenu de désigner un DPO. Il peut toutefois s'agir d’une bonne pratique.
En tout état de cause, la désignation est obligatoire dès que la collecte concerne :
Une petite entreprise familiale active dans le secteur de la distribution d'appareils électroménagers dans une seule ville recourt aux services d’un sous-traitant dont l'activité de base consiste à fournir des services d'analyse de sites internet et d'assistance à la publicité et
au marketing ciblés.
Les activités de l'entreprise familiale et ses clients n'entraînent pas de traitement de données à "grande échelle", compte tenu du faible nombre de clients et des activités relativement limitées.
Toutefois, prises globalement, les activités du sous-traitant, qui dispose d'un grand nombre de clients comme cette petite entreprise, consistent en un traitement à grande échelle.
Le sous-traitant doit donc désigner un DPO en vertu de l'article37, paragraphe1, tandis que l'entreprise familiale elle-même n'est pas soumise à l'obligation de désigner un DPO.
L'article 38 du RGPD dispose que le responsable du traitement et le sous-traitant doivent veiller à ce que le DPO "
soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel
".
Le niveau d'expertise requis n'est pas strictement défini, mais il doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme. Par exemple, lorsqu'une opération de traitement de données est particulièrement complexe, ou lorsqu'une grande quantité de données sensibles est concernée, il est possible que le DPO doive disposer d'un niveau plus élevé d'expertise et de soutien.Quoi qu'il en soit, il est nécessaire que le DPO dispose d'une expertise dans le domaine des législations et pratiques nationales et européennes en matière de protection des données, ainsi que d'une connaissance approfondie du RGPD. Il est également utile que les autorités de contrôle encouragent la formation adéquate et régulière des DPO. La connaissance du secteur d'activité et de l'organisme du responsable du traitement est utile. Le DPO devrait également disposer d'une bonne compréhension des opérations de traitement effectuées, ainsi que des systèmes d'information et des besoins du responsable du traitement en matière de protection et de sécurité des données.
Type d'entité concernée | Activité principale |
L'entité doit-elle désigner
obligatoirement un DPO ? |
Association | Une association loi 1901 agissant à l'échelle nationale agit afin de lutter contre une maladie relativement développée. Elle est l'unique association à agir contre cette maladie et aide notamment les malades et leurs proches tout en favorisant la recherche scientifique. | Oui. L'entité traite au titre de son activité de base des catégories particulières de données à grande échelle. |
Mairie | Une commune de 2500 habitants met en œuvre des traitements de données classiques pour une collectivité territoriale. | Oui. L'entité est un organisme public. |
Société (personne morale) | Une société commerciale agissant à l'échelle européenne met en œuvre un mécanisme de géolocalisation de l'ensemble de ses représentants afin d'améliorer leurs déplacements. | Oui. Il peut être considéré que l'entité met en place au titre de ses activités de base, à grande échelle, un suivi régulier et systématique de ses commerciaux. |
Association | Une association loi 1901 propose des activités sportives à ses adhérents. | Non. |
Le responsable du traitement ou le sous-traitant reste responsable du respect de la législation sur la protection des données et doit être en mesure de démontrer ce respect. Si le responsable du traitement ou le sous-traitant prend des décisions qui sont incompatibles avec le RGPD et l'avis du DPO, ce dernier devrait avoir la possibilité d'indiquer clairement son avis divergent au niveau le plus élevé de la direction et aux décideurs. À cet égard, l'article 38, paragraphe3, dispose que le DPO "
fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant
". Une telle reddition de compte directe garantit que l'encadrement supérieur (par ex., le conseil d'administration) a connaissance des avis et recommandations du DPO qui s'inscrivent dans le cadre de la mission de ce dernier consistant à informer et à conseiller le responsable du traitement ou le sous-traitant. L'élaboration d'un rapport annuel sur les activités du DPO destiné au niveau le plus élevé de la direction constitue un autre exemple de reddition de compte directe.
Maître Rivain vous accompagne ainsi sur les points clé de la conformité avec la loi RGPD :
Il est à noter que le DPO n'est pas personnellement responsable en cas de non-respect des exigences en matière de protection des données. C'est le responsable du traitement ou le sous-traitant qui est tenu de s'assurer et doit être en mesure de démontrer que le traitement est effectué conformément au RGPD. Le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant.
L'article 38, paragraphe 6, autorise les DPO à "exécuter d'autres missions et tâches". Il exige toutefois que l'organisme veille à ce que "ces missions et tâches n'entraînent pas de conflit d'intérêts". L'absence de conflit d'intérêts est étroitement liée à l'obligation d'agir en toute indépendance. Bien que les DPO soient autorisés à exercer d'autres fonctions, un DPO ne peut se voir confier d'autres missions et tâches qu'à condition que celles-ci ne donnent pas lieu à un conflit d'intérêts. Cela signifie en particulier que le DPO ne peut exercer au sein de l'organisme une fonction qui l'amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas.