La désignation d’un DPO[1], est-ce obligatoire pour toutes les entreprises ?

-

Article rédigé le 15/07/2017  
Chaque entreprise va devoir se poser la question de la désignation ou non d’un DPO (Data Protection Officer / délégué à la protection des données personnelles). Pour répondre à cette question, il faudra analyser les cas limitativement listés par le règlement (UE) 2016/679[2] et tenir compte, à chaque fois, des facteurs les plus importants et les plus pertinents comme le nombre de personnes concernées par le traitement de données personnelles, le volume de données traitées, la nature des données, la durée du traitement, l’étendue géographique etc. En tous les cas, il est recommandé par le G29[3] d’y recourir volontairement, indépendamment du fait que son entreprise rentre ou non dans l’un des cas de désignation obligatoire d’un DPO. Le règlement sera applicable dès le 25 mai 2018. Mais, dès maintenant, la CNIL demande aux entreprises de s’organiser pour se conformer au règlement à cette date.

Le Règlement exige la désignation d’un DPO dans certains cas, limitativement énumérés :

1er cas : lorsque les traitements de données à caractère personnel sont mis en œuvre par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. Ce 1er cas ne concerne donc pas les entreprises privées ;

2ème cas : lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des données qualifiées de sensibles (données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, à des données génétiques, à des données biométriques, à la santé, à la vie sexuelle ou l'orientation sexuelle d'une personne, ou encore à des condamnations pénales et à des infractions) ;

3ème cas : lorsque les activités de base du responsable du traitement ou du sous-traitant nécessitent un suivi régulier et systématique à grande échelle des personnes concernées.


Ces deux derniers cas vont certainement offrir des interprétations divergentes notamment sur les notions « d’activité de base », de « grande échelle », de « suivi régulier et systématique ».

Pour tenter d’y remédier, le G29 a adopté des lignes directrices[4] en particulier sur ces notions.


Notion « d’Activité de base »

Le considérant 97 du Règlement définit les activités de base comme suit : «Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire».

  • Exemples cités par le G29 :
  • L’activité principale d’un hôpital qui est de délivrer des soins de santé implique le traitement de données de santé. De même, l’activité principale d’une société de sécurité effectuant la surveillance d’un certain nombre de centres commerciaux et d’espaces publics est inextricablement liée au traitement de données à caractère personnel. Aussi, ces traitements doivent être considérés comme ayant trait à une activité principale imposant « de facto » la désignation d’un DPO ;
  • En revanche, les fonctions supports communes à toute entreprise, comme la paie de ses salariés, qui sont des activités nécessaires ou essentielles pour l’organisation de l’activité principale, sont considérées par le G29 comme des activités auxiliaires plutôt que principales.


Notion de « grande échelle »

Si cette notion n’est pas définie par le Règlement, le considérant 91 apporte quelques éclaircissements. Ainsi, sont visés les traitements dont le volume de données à caractère personnel est considérable au niveau régional, national ou supranational ou qui affecte un nombre important de personnes ou encore qui sont susceptibles d'engendrer un risque élevé, par exemple, en raison du caractère sensible des données, etc.

Le G29 précise que s’il n’est pas aujourd’hui possible de fixer un seuil quant au volume de données traitées ou au nombre de personnes concernées, des critères qualitatifs et quantitatifs pourraient se dégager progressivement en ce qui concerne les traitements classiques. Le G29 s’engage à cet égard à contribuer à la détermination de ces seuils de référence.

Mais pour l’instant, pour déterminer si un traitement est effectué à « grande échelle », le G29[5] recommande de tenir compte du nombre de personnes concernées (que cela soit un nombre précis ou une partie de la population considérée), du volume de données traitées et/ou de l’éventail de différents types de données traitées, de la durée ou de la permanence du traitement et de sa portée géographique.

Exemples cités par le G29 :

  • Sont considérés comme des traitements à grande échelle, la géolocalisation en temps réel de clients d’un fast food mondialement implanté à des fins statistiques réalisées par un sous-traitant spécialisé dans ce domaine, le traitement des données des clients par une compagnie d’assurance ou une banque, le traitement de données à des fins de publicité comportementale par un moteur de recherche, le traitement de données par un opérateur téléphonique ou un fournisseur d’accès Internet, le traitement de données de patients par un hôpital ;
  • En revanche, le traitement des données de la clientèle d'un médecin individuel ou encore le traitement des données de clients relatives à leurs condamnations ou infractions mis en œuvre par un cabinet d’avocat ne seront pas considérés comme un traitement à grande échelle.

Ce faisant, de nombreuses entreprises pourraient être considérées comme traitant des données à caractère personnel à grande échelle et ainsi être soumises à la désignation d’un DPO.

En cas de doute, le G29 recommande la mise en œuvre d’une analyse en tenant compte des facteurs les plus importants et les plus pertinents (nombre de personnes concernées, volume de données traitées, durée du traitement et étendue géographique), de façon à déterminer si un DPO doit, ou non, être désigné.

En tous les cas, la désignation volontaire d’un DPO, en dehors de ces cas de désignation obligatoire, est fortement encouragée par le G29.

Suivi régulier et systématique

Là encore, si ces notions ne sont pas définies par le Règlement, le considérant 24 apporte quelques éclaircissements sur la notion de « suivi » en visant clairement toutes les formes de « tracking » et de profilage sur Internet, y compris pour des publicités comportementales.

En outre, le G29 précise que :

  • la notion de « suivi » concerne toutes les formes de suivi, y compris les suivis qui ne sont pas effectués en ligne ;
  • la notion de « régulier », recouvre l’un des sens suivants : soit en cours ou intervenant à intervalles réguliers pour une période déterminée, soit récurrent ou se répétant à une période définie, soit constant ou survenant périodiquement ;
  • la notion de « systématique », recouvre l’un des deux sens suivants : soit survenant conformément à un système, soit prédéterminé, organisé ou méthodique, soit ayant lieu dans un cadre général de collecte de données, soit mené dans le cadre d’une stratégie.
  • Exemples cités par le G29 impliquant un suivi régulier et systématique : l’exploitation d’un réseau de télécommunication, la fourniture des services de télécommunications, la fourniture d’un programme de fidélité, la publicité comportementale, le suivi du bien-être, les objets connectés comme les compteurs ou les voitures intelligents, la domotique, etc.

En conclusion, la désignation d’un DPO est obligatoire dans les 3 cas énumérés précédemment. Mais le G29 encourage fortement la désignation volontaire d’un DPO en dehors de ces cas.

Et en tout état de cause, à compter du 25 mai 2018, la CNIL pourra procéder à des contrôles et enquêtes relevant de ses prérogatives et le cas échéant prononcer des sanctions pouvant s’élever, en ce qui concerne les dispositions relatives au DPO jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. En Outre ces condamnations pourront être publiées, ce qui aura fatalement un impact sur la « réputation » de l’entreprise.

Il est donc préférable de s’organiser en amont, le cas échéant avec l’aide d’un DPO, plutôt que d’attendre la venue des agents de la CNIL qui pourraient être alertés par vos traitements de données personnelles à l’occasion d’un contrôle chez l’un de vos clients, de vos prestataires, de vos fournisseurs, etc.

Le cabinet BASTIEN se tient à votre disposition pour vous assister dans vos démarches et, le cas échéant, la désignation d’un DPO.



[1] DPO : Data Protection Officer / délégué à la protection des données personnelles

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

[3] Groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales et prévu à l’article 29 de la Directive du 24 octobre 1995 (appelé couramment le « G29 »)

[4] Guidelines of Data Protection Officer, 13 December 2016 https://www.cnil.fr/sites/default/files/atoms/files/dpoen.pdf

Commentaires

Rédigez votre commentaire :

<% errorMessage %>
<% commentsCtrl.successMessage %>
<% commentsCtrl.errorMessage %>

Les réactions des internautes

a réagi le

<% comment.content %>

  • a réagi le

    <% subcomment.content %>

Répondre à ce fil de discussion
<% errorMessage %>
Aucun commentaire n'a été déposé, soyez le premier à commenter !