Désignation d’un délégué à la protection des données : quand et comment ?

Le délégué à la protection des données (DPD, ou DPO en anglais) est le nouvel acteur central créé par le RGPD. Sa désignation est évidemment toujours encouragée, mais est dans certains cas obligatoire. L’identité du délégué doit également être communiquée à l’Autorité de protection des données.

Contrairement aux idées reçues, la désignation d’un DPD n’est pas fonction de la taille de l’entreprise. Arrêtons-nous donc un instant sur les hypothèses où un DPD est obligatoire, d’autant plus que la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel en allonge la liste.

gdpr_toestemming_gemistekans-artikel

Quand ?

  1. La qualité du responsable de traitement

    • a. Les autorités publiques

      Un délégué à la protection des données doit être désigné lorsque le traitement est opéré par une autorité publique ou un organisme public.
      Non définie par le RGPD, la notion d’autorité publique est précisée par l’article 5 de la loi du 30 juillet 2018 qui liste les entités suivantes :

      • l’état fédéral, les entités fédérées (régions et communautés) et les autorités locales (provinces, villes et communes),
      • les personnes morales de droit public qui en dépendent,
      • mais aussi de façon plus large, les personnes dotées de la personnalité juridique (quelles que soient leur forme et leur nature) qui ont été créées pour satisfaire spécifiquement des besoins d’intérêt général et qui sont soumises à ces autorités (que ce soit pas un financement majoritaire, par un contrôle sur la gestion ou par la désignation de la majorité des membres de l’organe d’administration, de direction ou de surveillance),
      • les associations formées par les trois premières catégories.
      Par ailleurs, le comité européen de la protection des données  recommande cette désignation aux organisations privées, bien que, par hypothèse, elles ne répondent pas à cette notion, lorsqu’elles exercent des missions d’intérêt public (ex. services de transports publics, fourniture d’eau, etc.).

    • b. Leurs sous-traitants privés aussi ?

      En vertu de l’article 21 de la nouvelle loi belge, lorsqu’une entreprise travaille avec une autorité publique fédérale ou reçoit des données d’une autorité publique fédérale, elle devra désigner un délégué dès que le traitement de données présente un risque élevé pour les personnes concernées.

      Les entreprises qui travaillent pour autorités fédérales doivent donc s’interroger afin de savoir si le critère du risque élevé pour les droits et libertés des personnes concernées est rencontré.

      Il s’agit du critère utilisé à l’article 35 du RGPD pour déterminer s’il y a lieu ou non de procéder à une analyse d’impact préalable (ou d’y collaborer en tant que sous-traitant).

      L’ancienne Commission de protection de la vie a d’ores et déjà édicté un projet de liste d’hypothèses dans lesquelles ce risque élevé serait rencontré. De manière générale, elle estime que ce serait le cas lorsque « la personne concernée est sensiblement affectée dans l’exercice et la jouissance de ses libertés et droits fondamentaux ».
      Ce projet doit encore être approuvé par la nouvelle Autorité de protection des données.

  2. La nature des données traitées

    Lorsqu’un traitement à grande échelle concerne des données particulières, c’est-à-dire des données qui révèlent d’une personne notamment son origine raciale ou éthique, ses opinions politiques, ses convictions religieuses ou encore des informations sur sa santé, l’entreprise qui l’opère devra désigner un DPD.
    Un professionnel travaillant seul (médecin, avocat,…) ne sont donc pas concernés, puisqu’il n’y a pas traitement à grande échelle. Plus dur est de savoir à partir de quand on sera face à un traitement à grande échelle. Aucun seuil n’est fixé dans le texte du RGPD, il appartient au responsable de traitement ou au sous-traitant d’apprécier l’ampleur du traitement eu égard notamment au nombre de personnes concernées, au volume de données traitées, à la durée du traitement et à son étendue géographique.

  3. La nature du traitement

    • a. Le suivi régulier et systématique 

      Lorsque l’entreprise procède à un suivi régulier et systématique, à nouveau à grande échelle, des personnes concernées, elle sera également soumise à cette obligation.
      Bien que le RGPD ne définit pas cette notion, il y fait référence en son considérant 24, selon lequel toute forme de tracking et de profilage sur internet est inclue, y compris lorsqu’il s’agit d’adresser des publicités comportementales. On pense au traitement opéré par un moteur de recherche dans le cadre de la publicité ciblée, au traitement effectué par les fournisseurs de service internet pour évaluer le contenu d’un téléphone ou sa localisation, à la géolocalisation des véhicules d’entreprise, au contrôle de l’utilisation d’internet par les travailleurs ou encore à l’utilisation d’objets connectés.

    • b. La recherche scientifique, historique ou statistique

      La loi du 30 juillet 2018 prévoit que lorsque le traitement de données est réalisé à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, il faudra désigner un DPD si le traitement peut engendrer un risque élevé (cf. supra) pour les personnes concernées.

  4. Et dans les autres hypothèses ?

    La désignation d’un délégué est facultative.

    Si le responsable de traitement ou le sous-traitant ne souhaite pas désigner de délégué,  il est conseillé de documenter l’analyse qui a été menée afin de déterminer que l’on n’était pas face à l’un des cas obligatoires, conformément au principe d’accountability.

Comment ?

Finalement, une fois le DPD désigné, l’entreprise doit veiller à communiquer ses coordonnées à l’Autorité de Protection des Données.

Pour ce faire, notre autorité nationale met à disposition un formulaire ad hoc à renvoyer via le portail internet e-forms, ainsi qu’une note explicative.

Cette démarche peut aussi bien être effectuée par l’entreprise elle-même que par le délégué en question.

Par ailleurs, les coordonnées de contact du délégué à la protection des données doivent également être fournies aux personnes concernées. Il est donc important de mentionner celles-ci dans la politique de l’entreprise en matière de protection des données.

 

 

Pauline LIMBREE

pauline-limbree

Pauline LIMBREE est avocate au sein du cabinet d’avocat LEXING et du barreau de Liège. Elle a suivi le master complémentaire en Droit des Technologies de l’Information et de la Communication de l’Unamur.  À cette occasion, elle a écrit en mémoire traitant de la protection des données à caractère personnel dans le cadre du hacking, travail pour lequel elle a reçu le deuxième prix de l’Internet Student Paper Award, décerné par l’ISPA.

 

 

  149