En temps normal, une entreprise du secteur privé ne doit désigner un délégué à la protection des données qu’en cas de suivi régulier et systématique à grande échelle des personnes concernées, ou en cas de traitement à grande échelle de données particulières.
Or, si cette entreprise souhaite travailler pour une autorité publique fédérale ou reçoit des données d’une autorité publique fédérale, elle devra désigner ce délégué dès que le traitement de données présente un risque élevé pour les personnes concernées. Ce critère déclenche déjà en vertu du RGPD l’obligation de réaliser une analyse d’impact préalable (ou d’y collaborer en tant que sous-traitant). L’Autorité de protection des données a d’ores et déjà édicté une liste de cas où elle estime que ce risque élevé est rencontré.
Les hypothèses dans lesquelles une entreprise qui travaille pour une autorité publique fédérale devra désigner un délégué à la protection des données seront donc plus nombreuses que pour un sous-traitant qui se voit confier des données du secteur privé ou d’une autorité publique d’un autre niveau de pouvoir.
Il devient donc particulièrement crucial de savoir quand on est ou non devant une autorité publique. La loi les liste comme suit :
- l’état fédéral, les entités fédérées et les autorités locales,
- les personnes morales de droit public qui en dépendent,
- mais aussi de façon plus large, les personnes dotées de la personnalité juridique (quelles que soient leur forme et leur nature) qui ont été créées pour satisfaire spécifiquement des besoins d’intérêt général et qui sont soumises à ces autorités (que ce soit pas un financement majoritaire, par un contrôle sur la gestion ou par la désignation de la majorité des membres de l’organe d’administration, de direction ou de surveillance),
- les associations formées par les trois premières catégories.