RGPD : le délégué à la protection des données est-il obligatoire ?

RGPD

Le Règlement général relatif à la protection des données (RGPD) s’appliquera dès le 25 mai 2018, dans un mois et demi. Hors, les entreprises qui traitent des données personnelles ont encore quelques lacunes concernant les notions de base de ce Règlement européen, comme en témoignent les réponses à nos questionnaires

L’une des notions essentielles, qui semble être la moins bien maîtrisée, concerne la désignation du délégué à la protection des données, ou data protection officer (DPO) en anglais. Les répondants à notre questionnaire « débutant » sont 62% à penser que la désignation du DPO est obligatoire selon le RGPD : ce qui est faux.

 

La désignation d’un DPO n’est pas systématique dans le RGPD

Le délégué à la protection des données est décrit par les articles 37 à 39 du RGPD. Le responsable du traitement de données personnelles n’est, en principe, pas obligé de désigner un délégué à la protection. 

Le droit national peut toutefois durcir cette faculté de désignation du DPO pour la rendre obligatoire : cela n’est pas le cas en droit français. 

Mais trois cas spécifiques rendent obligatoire la désignation du DPO d’après le RGPD : 

– si le traitement de données personnelles est fait par une autorité ou un organisme public ; 

– si le traitement est réalisé par un organisme dont l’activité de base l’amène à suivre de manière régulière et systématique des individus à grande échelle ; 

– si le traitement est réalisé par un organisme dont l’activité de base l’amène à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales. 

Les données personnelles de santé sont incluses dans la catégorie des données sensibles, leur traitement est donc soumis à la désignation d’un DPO. Cela signifie que tous les organismes de complémentaire santé sont tenus d’avoir leur propre DPO.

 

Responsables de traitement : désignez votre DPO en ligne

Bien que la désignation d’un DPO soit facultative pour tous les cas non prévus par le RGPD, la CNIL recommande fortement d’en nommer un. Il est d’ailleurs déjà possible de faire cette désignation directement en ligne sur le site de la CNIL.

Sachez aussi que la fonction de DPO peut être déléguée et externalisée à une société tierce. Toutefois, le responsable du traitement devra s’être assuré que cette société est bien reconnue par les services de la CNIL et que ses compétences, connaissances et capacités soient conformes au minimum requis par le RGPD.

Pour tester vos connaissances du RGPD, répondez à nos deux questionnaires en ligne !

Et pour avoir tous les conseils opérationnels pour réussir votre mise en conformité, obtenez votre dossier RGPD : les bons conseils pour réussir !

mm
A propos Leo Guittet 143 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Lire les articles précédents :
Cryptomonnaies : un enfant de 11 ans lance sa propre ICO

A seulement 11 ans, Georges Weiksner vient de lancer sa propre ICO pour développer une cryptomonnaie utilisable dans le milieu...

Fermer