Toutes les sociétés ont l’obligation de nommer un DPO ?
Dans quels cas est-il obligatoire de nommer un DPO ?
Selon l’article 37 du RGPD, il existe principalement 3 grands cas de figure où il s’agit d’une obligation de nommer un DPO. Nous faisons le point sur ces différentes situations.
Cas n°1 : les autorités publiques
Dans le cas où c’est une autorité publique ou bien un organisme public qui traite des données personnelles, la présence d’un DPO est indispensable. Pour être considéré comme tel, ces organismes doivent respecter 3 conditions, à savoir :
- satisfaction des besoins d’ordre général autres que commerciaux ou industriels
- doté d’une personnalité juridique
- activité financée en majorité par l’Etat
Sont donc concernés les établissements suivants :
- les établissements publics
- les collectivités territoriales
- les établissements scolaires publics
- l’administration centrale de l’Etat
- les musées publics
Cas n°2 : traitement des données à grande échelle
Cette situation concerne les établissements dont l’activité principale, le cœur de métier même, repose sur le traitement de données à caractère personnel. Il ne s’agit donc pas d’activités support ou subsidiaires.
Pour que ces structures aient l’obligation de nommer un DPO, il faut également respecter un second critère, à savoir celui du traitement des données à grande échelle. Il faut savoir qu’aucun seuil n’est fixé pour définir cette notion de grande échelle.
Toutefois, cela doit impérativement concerner un volume important de données personnelles et donc, un nombre conséquent de personnes.
Cette situation concerne les établissements dont l’activité principale, le cœur de métier même, repose sur le traitement de données à caractère personnel. Il ne s’agit donc pas d’activités support ou subsidiaires.
Pour que ces structures aient l’obligation de nommer un DPO, il faut également respecter un second critère, à savoir celui du traitement des données à grande échelle. Il faut savoir qu’aucun seuil n’est fixé pour définir cette notion de grande échelle.
Toutefois, cela doit impérativement concerner un volume important de données personnelles et donc, un nombre conséquent de personnes.
Cas n°3 : traitement de données sensibles à grande échelle
Le dernier cas de figure où l’obligation de nommer un DPO est incontournable est celui du traitement de données sensibles à grande échelle. La définition de l’expression “grande échelle” est la même que précédemment.
Pour ce qui est du caractère sensible, selon l’article 9 du RGPD, les données suivantes peuvent être classées sensibles :
- les données ethniques ou raciales
- les données médicales, biométriques, génétiques
- les données liées à la vie ou l’orientation sexuelle
- les données liées aux convictions politiques
- les données liées à l’appartenance religieuse
- les données relevant des opinions politiques
Les missions du DPO
Que ce soit une obligation de nommer un DPO ou non, les missions de ce dernier restent inchangées. Parmi elles, il est notamment possible de citer le fait qu’il faut :
- veiller au respect de la conformité de l’organisme en matière de protection des données
- informer et conseiller l’entité et le responsable de traitement
- coopérer avec l’autorité de contrôle (la CNIL)
- tenir un registre du traitement des données
- réaliser des audits de conformité RGPD
Cette situation concerne les établissements dont l’activité principale, le cœur de métier même, repose sur le traitement de données à caractère personnel. Il ne s’agit donc pas d’activités support ou subsidiaires.
Pour que ces structures aient l’obligation de nommer un DPO, il faut également respecter un second critère, à savoir celui du traitement des données à grande échelle. Il faut savoir qu’aucun seuil n’est fixé pour définir cette notion de grande échelle.
Toutefois, cela doit impérativement concerner un volume important de données personnelles et donc, un nombre conséquent de personnes.