RGPD et association: Quand le DPO est-il obligatoire?

Dans cet article nous donnerons plus de précisions sur le problème du délégué à la protection des données (DPD en français ou DPO en anglais). Nous rappellerons les principes du DPO et donnerons plus de détails sur les cas où sa désignation est requise pour votre association.

Qui est le DPO?

Le DPO est la personne qui a pour mission de veiller à ce que un organisme protège convenablement les données à caractère personnel des individus, conformément à la législation en vigueur. Le DPO peut être un membre du personnel de votre organisation, ou exercer ses missions sur la base d’un contrat de service.

Quand doit-on nommer un DPO: principe de l’article 37 du RGPD

Les cas dans lesquels un DPO doit être nommé se trouve dans l’article 37 du règlement. Ainsi votre organisation devra nommer un DPO si l’un des 3 cas suivants vous concerne:

a) votre organisation est une autorité publique ou un organisme public;

b) les activités de base de votre organisation consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de votre organisation consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Que signifie « suivi régulier et systématique des personnes à grande échelle » et « activité de base » ?

Le second cas (b) est le cas qui ouvre à interprétation et qui concerne la plupart des organismes. Pour comprendre ce point, il faut regarder les recommandations du G29 qui dit notamment que le point (b) ne s’applique que si 3 critères sont réunis (si ces critères ne sont pas réunis, alors un DPO n’est pas obligatoire):

1- le traitement doit concerner « les activités de base » de l’organisme: donc si votre activité de base est une activité caritative (et que pour cela vous collectez des informations, qui ne sont pas sensibles), la collecte d’information est probablement auxiliaire.

2- le traitement doit être « à grande échelle » : Le G29 précise que les facteurs suivants doivent être pris en compte :

  • le nombre d’individus concernés,
  • le volume de données et/ou les différentes catégories de données traitées,
  • la durée, la permanence du traitement,
  • l’étendue géographique du traitement.

Les exemples donnés par le G29 laissent également penser que ce sont les organismes de taille importante qui sont visés.

3- le traitement doit impliquer « un suivi régulier et systématique » : regardez ici si vous faites du profilage des personnes afin notamment de prendre d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit » . Le suivi doit être à intervalles réguliers.

Fonctions du DPO

Les missions du délégué à la protection des données sont au moins les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

d) coopérer avec l’autorité de contrôle;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

Est-il possible de désigner un DPO même si ce n’est pas obligatoire?

Oui, évidemment, c’est possible de désigner un DPO même si votre association n’y est pas obligée. Le G29 encourage d’ailleurs cette désignation volontaire.

***

Voir nos autres articles sur le règlement européen sur la protection des données

Pour voir notre guide complet sur le RGDP, Cliquez ici.

Screen Shot 2018-02-06 at 10.05.20.png

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s