Dois-je désigner un délégué à la protection des données (DPD) ?
Répondez aux questions à travers notre logigramme interactif pour le savoir !
*Les tribunaux agissant en leur qualité judiciaire sont une exception !Je traite des données sensibles ou des données relatives à condamnations pénales et infractions
Je le fais à grande échelle
J’effectue un suivi régulier et systématique des individus
Mes activités principales nécessitent le traitement de données sensibles
ou de données relatives aux condamnations et infractions pénales
Je le fais à grande échelle
Mes activités principales nécessitent le traitement de données sensibles ou de données relatives aux condamnations et infractions pénales
Dois-je désigner un DPD ?
Oui, la nomination d’un DPD est obligatoire
Dois-je désigner un DPD ?
Non, la désignation d’un DPD est facultative.
Cependant, celle-ci est encouragée.
Qu’est-ce qu’un DPD ? Votre organisme en a-t-il besoin ?
Qu’est-ce qu’un DPD et quel est son rôle ?
Le délégué à la protection des données (également appelé « DPD ») est un expert en protection des données qui conseille sur le respect de la protection des données au sein d’un organisme.
Le DPD doit être correctement associé, dans un délai appproprié, à toutes les questions liées à la protection des données personnelles.
Selon le RGPD, les tâches du DPD sont, au moins, les suivantes :
- informer et conseiller l’organisme et ses employés sur la conformité à la protection des données ;
- contrôler la conformité à la protection des données ;
- fournir des conseils sur les demandes concernant l’analyse d’impact sur la protection des données (AIPD) ;
- agir en tant que point de contact pour l’autorité de protection des données (APD) et coopérer avec cette autorité de protection des données ;
- agir comme point de contact pour les particuliers.
La présence du DPD est généralement recommandée lorsque des décisions ayant des implications en matière de protection des données sont prises. Le DPD doit également être consulté rapidement une fois qu’une violation de données ou un autre incident s’est produit.
Dans la pratique, le DPD est également souvent chargé par le responsable du traitement ou par le sous-traitant de conserver l’enregistrement des opérations de traitement.
Mon organisme a-t-il besoin d’un DPD ?
La désignation d’un DPD est obligatoire dans les trois cas suivants:
- l’organisme est une autorité publique qui effectue le traitement des données personnelles ;
- les activités principales de l’organisme consistent en un suivi régulier et systématique des individus à grande échelle, par exemple la géolocalisation via une application mobile, ou la vidéosurveillance des centres commerciaux et des espaces publics ;
- les activités principales de l’organisme consistent en un traitement à grande échelle de données sensibles.
Les notions d’« activités principale », de « suivi régulier et systématique » et de « grande échelle » sont essentielles pour déterminer si un organisme doit désigner un DPD.
L’« activité principale » représente les activités de traitement essentielles pour atteindre les objectifs du responsable du traitement ou du sous-traitant. Il s’agit également de toutes les activités dans lesquelles le traitement des données constitue une partie intégrante de l’activité du responsable du traitement ou du sous-traitant.
La notion de « grande échelle » dépend de différents facteurs, tels que le volume des données traitées, le nombre d’individus concernés — soit en nombre spécifique, soit en proportion de la population concernée, la durée et la portée géographique du traitement.
Le « suivi régulière et systématique » comprend toutes les formes de suivi et de profilage sur Internet, y compris à des fins de publicité comportementale. Cependant, la notion de surveillance ne se limite pas à l’environnement en ligne.
Dans la pratique
- Activités principales
Par exemple, l’objectif principal d’une clinique est de fournir des services de santé aux particuliers. Dans ce cas, le traitement des données de santé, comme les dossiers de santé des patients, devrait être considéré comme l’une des principales activités de l’organisme.
Cependant, tous les organismes mènent certaines activités de soutien, par exemple en payant leurs employés ou en menant des activités de support informatique standard. Il s’agit d’exemples de fonctions de soutien nécessaires à l’activité principale ou à l’activité principale de l’organisme. Même si ces activités sont nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l’activité principale.
- À grande échelle
- Parmi les exemples de traitement à grande échelle, on peut citer par exemple :
- le traitement des données du patient dans le cadre des activités quotidiennes d’un hôpital ;
- le traitement des données des clients dans le cadre des activités quotidiennes d’une compagnie d’assurance ou d’une banque ;
- le traitement à des fins statistiques des données de localisation actuelles des clients d’une chaîne internationale de restauration rapide par un sous-traitant spécialisé dans ces services ;
- traitement de données personnelles à des fins de publicité comportementale par un moteur de recherche ;
- le traitement des données (contenu, flux, localisation) par les fournisseurs de services téléphoniques et Internet.
Exemples de traitements qui ne seraient pas considérés comme à grande échelle:
- traitement des données relatives aux patients par un seul médecin généraliste ;
- traitement des données personnelles relatives aux condamnations et infractions par un avocat individuel.
- Suivi régulier et systématique
Par exemple, la surveillance régulière et systémique couvre le reciblage des e-mails; activités de marketing fondées sur les données ; le profilage et la notation aux fins de l’évaluation des risques (par exemple, aux fins de la notation du crédit, de l’établissement de primes d’assurance, de la prévention de la fraude, de la détection du blanchiment d’argent) ; le suivi de la localisation (par exemple, par des applications mobiles) ; les programmes de fidélité ; la publicité comportementale ; surveillance des données sur le bien-être ; la condition physique et la santé au moyen d’appareils portables ; la vidéosurveillance ; les appareils connectés (par exemple, compteurs intelligents), voitures intelligentes, domotique, etc.
En tant que tel, un sous-traitant ayant comme activité principale de fournir des services d’analyse de sites web et une assistance en matière de publicité ciblée et de marketing devra désigner un DPD.
Vous pouvez toujours désigner un DPD volontairement, même si cela n’est pas légalement requis. Dans ce cas, vous devez vous conformer à toutes les dispositions du RGPD concernant les tâches et le poste du délégué à la protection des données. Par conséquent, il est conseillé d’utiliser le titre de DPD uniquement pour une personne dont la fonction et le poste correspondent à la description du RGPD.
Qui peut être DPD dans mon organisme ?
Le DPD doit être en mesure d’exercer ses fonctions et tâches de manière indépendante. Cela signifie que votre organisme :
- ne peut pas donner d’instructions au DPD en ce qui concerne l’exercice de ses fonctions ;
- ne peut sanctionner ou licencier le DPD pour l’accomplissement de ses tâches.
Toutefois, l’autonomie des DPD ne signifie pas qu’ils disposent d’un pouvoir de décision allant au-delà de leurs missions. Les organismes restent responsables du respect de la loi sur la protection des données et doivent être en mesure de démontrer leur conformité.
Le DPD devrait être considéré comme un partenaire de discussion au sein de l’organisme et devrait faire partie des discussions portant sur les activités de traitement des données au sein de l’organisme.
Les DPD rapportent au plus haut niveau de direction du responsable du traitement des données ou du sous-traitant.
Les DPD peuvent remplir d’autres tâches au sein de l’organisme, mais cela ne peut entraîner un conflit d’intérêts. Cela implique que le DPD ne peut pas avoir une position dans laquelle il détermine les finalités et les moyens des activités de traitement des données personnelles. Les fonctions contradictoires comprennent principalement des postes de direction (directeur général, directeur des opérations, directeur des finances, directeur des ressources humaines, directeur de l’informatique). Cela peut également concerner d’autres fonctions si celles-ci conduisent à la détermination des finalités et des moyens de traitement.
Il est possible, en vertu du RGPD, de désigner un DPD externe sous contrat pour ses services. Le présent contrat peut être conclu avec un particulier ou un organisme tiers. Dans ce dernier cas, il est essentiel que chaque membre de l’organisme tiers n’ait pas de conflit d’intérêts et soit protégé contre toute rupture abusive de la prestation, mais aussi contre le licenciement abusif de tout membre de l’organisme pour des activités en tant que DPD.
Votre organisme devrait aider le DPD en donnant accès à toute activité de traitement, ainsi qu’à toutes les données personnelles traitées dans le cadre de ces activités de traitement. Il est essentiel que le DPD participe dès que possible à toutes les questions relatives à la protection des données. Les ressources nécessaires devraient également être mises à la disposition du DPD pour s’acquitter de ses tâches (temps, formation, équipement et moyens financiers).
Dans la pratique
Dans l’accomplissement de ses tâches, le DPD ne doit pas recevoir d’instruction sur la manière d’instruire un dossier. Par exemple, le DPD ne devrait pas recevoir d’instructions sur le résultat de ses conseils, ni sur la manière dont il doit enquêter sur une plainte d’une personne, ou sur le caractère conseillé ou obligatoire de la consultation de l’autorité de protection des données. En outre, le DPD ne doit pas recevoir d’instruction sur l’adoption d’un certain point de vue sur une question liée au droit de la protection des données, par exemple une interprétation particulière de la loi.
Checklist pour la désignation d’un DPD
- Vérifier si un DPD est requis ou non : Vérifiez si vous devez désigner un DPD et, en cas de doute, documentez les raisons pour lesquelles vous nommez ou non un DPD.
- Si un DPD est requis:
- Choisissez entre un DPD interne ou externe : Si un DPD est requis, décider s’il sera membre de votre organisme ou prestataire ;
- Vérifier que le DPD possède les qualités professionnelles et l’expertise en matière de droit et de pratiques en matière de protection des données, ainsi que la capacité d’accomplir ses tâches ;
- Vérifier les exigences d’indépendance : Vérifier si votre DPD a d’autres fonctions qui pourraient compromettre son indépendance dans l’accomplissement de ses tâches (conflits d’intérêts) ;
- Mettez en place des procédures standardisées au sein de la gouvernance de votre organisme sur l’implication du DPD.
- Choisissez entre un DPD interne ou externe : Si un DPD est requis, décider s’il sera membre de votre organisme ou prestataire ;
- Si un DPD n’est pas requis :
- Réfléchissez-y à deux fois : Même si vous ne nommez pas un DPD au sens du RGPD, vous devrez toujours vous conformer à un certain nombre d’exigences en matière de protection des données. Nous vous conseillons de désigner un DPD volontairement, ou une personne n’ayant pas le titre de DPD qui, même si elle n’exerce pas pleinement les tâches d’un DPD, surveille la conformité et agit comme un point de contact pour les personnes exerçant leurs droits sur leurs données.
- Réfléchissez-y à deux fois : Même si vous ne nommez pas un DPD au sens du RGPD, vous devrez toujours vous conformer à un certain nombre d’exigences en matière de protection des données. Nous vous conseillons de désigner un DPD volontairement, ou une personne n’ayant pas le titre de DPD qui, même si elle n’exerce pas pleinement les tâches d’un DPD, surveille la conformité et agit comme un point de contact pour les personnes exerçant leurs droits sur leurs données.