Désigner un DPD (ou DPO) auprès de la CNIL ou pas ?
✅ La désignation d’un DPD (ou DPO en anglais) est obligatoire dans les cas suivants :
- Vous êtes un organisme public
- ou Vous êtes une entreprise (ou une association) dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
- ou Vous êtes une entreprise (ou une association) dont l’activité de base vous amène à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
✅ Qu’est-ce qu’un traitement à grande échelle ?
Deux textes de référence pour vous aider à y voir plus clair :
Le CEPD (Comité Européen) indique dans ses lignes directrices qu’il faut prendre en compte les éléments suivants :
- Nombre de personnes concernées (en valeur absolue ou en valeur relative par rapport à la population concernée)
- Catégories de données traitées (leur volume et/ou leur nature)
- Durée ou de la permanence des activités du traitement
- Étendue géographique des activités du traitement.
Le considérant 91 du RGPD
« Les traitements à grande échelle sont des traitements « qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé, par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l’état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu’à d’autres opérations de traitement qui engendrent un risque élevé pour les droits et libertés des personnes concernées, en particulier lorsque, du fait de ces opérations, il est plus difficile pour ces personnes d’exercer leurs droits. ».
✅ Des exemples pour mieux comprendre (issus de la CNIL)
Exemples de « traitements de données à grande échelle » :
- les données de patients par un hôpital dans le cadre du déroulement normal de ses activités.
- les données de voyage des passagers utilisant un moyen de transport public urbain.
- une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités concernant les données clients ;
- Traitement des données à caractère personnel par un moteur de recherche à des fins de publicité.
- Traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet.
Exemples de traitements ne constituant pas un « traitement à grande échelle » :
- Traitement, par un médecin exerçant à titre individuel, des données de ses patients.
- Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel.
✅ Conseil si pas d’obligation de désigner un DPD
S vous n’êtes pas dans l’obligation de désigner votre DPD auprès de la CNIL, nommez une personne en interne qui sera chargée de coordonner la mise en conformité de votre organisation au RGPD.
En effet, même sans DPD, votre organisation reste soumise à l’application du RGPD !