RGPD : Le DPO est-il obligatoire ?

Oui… et non ! Tout à la fois juriste, pédagogue, informaticien et porte-parole, le DPO (Data Protection Officer) est en entreprise le garant de l’application du RGPD, qui entrera en application dans quelques semaines — le 25 mai pour être exact. Mais il n’est pas obligatoire pour tout le monde !

En effet, le texte du Règlement Général sur la Protection des Données est très clair. Disposer d’un DPO (interne ou externe, peu importe tant qu’il est facilement joignable et peut exercer sa mission de manière complète) est indispensable pour les entreprises et les institutions qui se retrouvent dans les descriptions suivantes :

– Être une autorité ou un organisme public ;

– Être une entreprise dont les activités lui imposent de réaliser un suivi « régulier et systématique », à « grande échelle », des personnes ;

– Être un organisme (quel que soit le statut, privé ou public) dont les activités de base lui imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

C’est flou ? Oui, un peu. Les concepts de « suivi régulier et systématique » et « à grande échelle » peuvent être assez vagues. Reste que le G29, regroupant les organismes de contrôle européens (dont la CNIL française), a précisé quelque peu les choses. Ainsi, tout suivi des données « continu ou ponctuel », « récurrent ou itératif », « en cours ou se produisant pendant des périodes données » sera considéré comme régulier. Tout suivi « prévu, organisé ou méthodique » aura aux yeux de la CNIL l’étiquette de « systématique ». Enfin, un suivi « à grande échelle » sera apprécié en fonction de nombre de personnes suivies, du volume de données collectées et de la durée de traitement, mis en rapport avec le périmètre géographique de l’organisme.

À la lecture de ces critères, vous pensez qu’un DPO, ce n’est pas pour vous ? Deux conseils : tout d’abord, consultez un avocat ou en expert de la gestion des données pour vous assurer que la CNIL (ou tout autre organisme de contrôle européen) n’aura pas une lecture différente de votre traitement des données. Ensuite, n’oubliez pas que cela ne vous exonère pas de vos obligations « made in RGPD » : le DPO est le référent de ce nouveau texte pour certaines entreprises, mais le texte lui-même s’applique partout ! Ainsi, vous devez être en mesure de rendre aux consommateurs leurs données personnelles et leur exploitation, via de nouveaux droits et d’autres qui sont renforcés :

  • Le droit d’avoir accès aux données les concernant ;
  • Le droit de les modifier ;
  • Le droit de les supprimer (le fameux « droit à l’oubli ») ;
  • Le droit d’en limiter l’accès ;
  • Le droit de les transférer à un autre acteur économique ou institutionnel…

Vous êtes concerné par l’obligation d’avoir un DPO ? Mieux, vous vous apprêtez à le devenir vous-même ? Everteam a pensé à vous : téléchargez et consultez notre guide du DPO prêt à l’action » !