Dans quels cas est-il obligatoire de désigner un délégué à la protection des données ?

Article 37 RGPD prévoit 3 hypothèses dans lesquelles il est obligatoire de désigner un délégué à la protection des données.

Le traitement de données est effectué par une autorité publique ou un organisme public quelles que soient les données qu’ils traitent, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (article 37.1.a)) ;
Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (article 37.1.b)) ;
Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 (article 37.1.c)).

Les activités de base

Les activités de base d'un responsable du traitement ou d'un sous-traitant ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Chaque fois que le traitement de données fait partie intégrante de l'activité du responsable du traitement ou du sous-traitant, il est question d'une activité de base. Ces activités de base ne doivent pas être interprétées de manière restrictive.

Même si elles sont nécessaires aux activités du responsable du traitement ou du sous-traitant, les activités d'appui (paiement des salaires, données liées à la gestion de la carrière) seront considérées de manière générale comme des activités auxiliaires.

Quelques exemples d'activités de base :

le traitement de données à relatives à la santé dans le cadre de soins prodigués par un hôpital ;
les traitements de données à caractère personnel dans le cadre de la fourniture de produits d'assurance par les compagnies d'assurance ;
le traitement de données à caractère personnel par des bureaux d'intérim concernant les intérimaires inscrits chez eux ;
le traitement de données à caractère personnel par des instituts d'enseignement en ce qui concerne leurs élèves ou étudiants ;
le traitement de données à caractère personnel par des secrétariats sociaux en ce qui concerne les travailleurs de leurs clients.

Que signifie à grande échelle ?

Seul le considérant 91 du RGPD donne quelques indications. Il est évident qu'il n'est ni possible, ni cohérent avec une approche basée sur les risques de déterminer un nombre précis pour chaque situation, que ce soit au niveau du volume de données traitées ou du nombre de personnes concernées. Il est dès lors recommandé d'analyser les facteurs repris ci-dessous et le cas échéant de les combiner afin de déterminer si un traitement est réalisé à grande échelle ou non :

Le nombre de personnes concernées, le cas échéant par rapport à une population concernée ;
Le volume de données à caractère personnel et l'éventail des différentes données à caractère personnel traitées ;
La durée ou la permanence de l'activité de traitement ;
La répartition géographique de l'activité de traitement.

Quelques exemples de traitements à grande échelle :

le traitement de données de patients dans le cadre des activités courantes d'un hôpital ;
le traitement d'informations de voyage de personnes qui se déplacent en transports en commun dans une ville déterminée (en les suivant par exemple via des cartes de trajet) ;
le traitement à des fins statistiques de données de localisation actuelles de clients d'une chaîne de restauration rapide internationale par un sous-traitant spécialisé dans ces services ;
le traitement de données de clients dans le cadre des activités courantes d'une compagnie d'assurance ou d'une banque ;
le traitement de données à caractère personnel par un moteur de recherche en vue de l'affichage de publicités sur la base du comportement de navigation ;
le traitement de données à caractère personnel (contenu, flux des données, localisation) par des fournisseurs de services de téléphonie et d'Internet.

Quelques exemples de traitements qui ne sont PAS considérés comme des traitements à grande échelle :

le traitement de données de patients par un médecin individuel ;
le traitement de données à caractère personnel relatives à des condamnations et infractions par un avocat individuel.

Le RGPD mentionne également que le législateur national peut prévoir par la voie d’une loi nationale des cas supplémentaires dans lesquels la désignation obligatoire d’un délégué doit intervenir. Les articles 21 et 190 de la loi-cadre prévoient quand il faut désigner un délégué à la protection des données, en plus de l'article 37.1 du RGPD.

Questions

Qu’entend-on par la notion d’autorité publique et d’organisme public visée à l’article 37 du RGPD?

Les notions d' "autorité publique" ou d' "organisme public" ne sont pas définies dans le RGPD. Ces notions devront être interprétées à la lumière du droit belge. Les cours et tribunaux belges ne sont pas soumis à cette disposition lorsqu'ils traitent des données à caractère personnel dans le cadre de l'exercice de leurs missions judiciaires. L’article 5 de la loi cadre les a définis.

Je suis sous-traitant et le responsable de traitement avec qui j’ai contracté doit désigner un délégué à la protection des données. En suis-je dispensé ?

Non, pas par principe. La question de savoir si le sous-traitant doit désigner un délégué à la protection des données est indépendante de celle de savoir si le responsable de traitement doit en désigner un. Plusieurs cas de figure sont ainsi susceptibles de se présenter, selon que l’un ou l’autre ou les deux tombent sous le coup des critères de désignation obligatoire d’un délégué.

Dans ce dernier cas, il est recommandé que les délégués coopèrent entre-eux. Lorsque le responsable de traitement qui est tenu de désigner un délégué fait appel à un sous-traitant qui n’en est pas tenu, la désignation d’un tel délégué par le sous-traitant est encouragée au titre de bonne pratique.

Puis-je désigner un délégué à la protection des données si je n’y suis pas obligé ?

Oui. La désignation volontaire d’un DPO par les responsable de traitement ou le sous-traitants est fortement encouragée par les autorités de contrôle. En effet un DPO est un expert dont la mission est d’aider à appliquer correctement les règles du RGPD et autre législation en matière de données à caractère personnel. Si il ou elle est désigné(e) en tant que tel et dénommé(e) « délégué à la protection des données » (DPO), l’ensemble des exigences du RGPD devront être respectées. Les articles 37 à 39 s’appliqueront de la même façon que si sa désignation avait été obligatoire.

L’absence d’obligation légale n’empêche pas qu’un organisme emploie du personnel ou fasse appel à un consultant externe pour exercer des missions relatives à la protection des données sur base volontaire et ce, sans souhaiter se conformer strictement à l‘ensemble des exigences du RGPD. Dans ce cas il est important qu’aucune confusion n’existe tant en interne que pour les autorités de contrôle et les personnes concernées s’agissant du titre, du statut et des tâches de cette personne qui ne peut être considérée comme un « délégué à la protection des données » au sens du RGPD.

Peut-on désigner un délégué à la protection des données par secteur au lieu d'en désigner un par responsable du traitement ?

Dernière mise à jour: 24/01/2024

Non. L'Autorité de protection des données estime que lorsqu'un secteur désigne un délégué à la protection des données, cela n'a aucune influence sur l'obligation qui incombe à des responsables du traitement ou sous-traitants individuels de ce secteur de désigner eux-mêmes un délégué à la protection des données. Le RGPD parle en effet de la désignation d'un délégué à la protection des données sectoriel "dans les cas autres que ceux visés au paragraphe 1" (c'est-à-dire les cas où la désignation est obligatoire).

Liens intéressants

Loi du 30 juillet 2018 (loi-cadre)