Le Règlement général relatif à la protection des données (RGPD) s’appliquera dès le 25 mai 2018, dans un mois et demi. Or, les entreprises qui traitent des données personnelles ont encore quelques lacunes concernant les notions de base de ce Règlement européen, comme en témoignent les réponses à nos questionnaires.
L’une des notions essentielles, qui semble être la moins bien maîtrisée, concerne la désignation du délégué à la protection des données, ou data protection officer (DPO) en anglais. Les répondants à notre questionnaire « débutant » sont 62% à penser que la désignation du DPO est obligatoire selon le RGPD : ce qui est faux.
La désignation d’un DPO n’est pas systématique dans le RGPD
Le délégué à la protection des données est décrit par les articles 37 à 39 du RGPD. Le responsable du traitement de données personnelles n’est, en principe, pas obligé de désigner un délégué à la protection.
Le droit national peut toutefois durcir cette faculté de désignation du DPO pour la rendre obligatoire : cela n’est pas le cas en droit français.
Mais trois cas spécifiques rendent obligatoire la désignation du DPO d’après le RGPD :
– si le traitement de données personnelles est fait par une autorité ou un organisme public ;
– si le traitement est réalisé par un organisme dont l’activité de base l’amène à suivre de manière régulière et systématique des individus à grande échelle ;
– si le traitement est réalisé par un organisme dont l’activité de base l’amène à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales.
Les données personnelles de santé sont incluses dans la catégorie des données sensibles, leur traitement est donc soumis à la désignation d’un DPO. Cela signifie que tous les organismes de complémentaire santé sont tenus d’avoir leur propre DPO.
Organismes assureurs : désignez votre DPO en ligne
Bien que la désignation d’un DPO soit facultative pour tous les cas non prévus par le RGPD, la CNIL recommande fortement d’en nommer un. Il est d’ailleurs déjà possible de faire cette désignation directement en ligne sur le site de la CNIL.
Sachez aussi que la fonction de DPO peut être déléguée et externalisée à une société tierce. Toutefois, le responsable du traitement devra s’être assuré que cette société est bien reconnue par les services de la CNIL et que ses compétences, connaissances et capacités soient conformes au minimum requis par le RGPD.
Pour tester vos connaissances du RGPD, répondez à nos deux questionnaires en ligne ! Et pour avoir tous les conseils opérationnels pour réussir votre mise en conformité, obtenez votre dossier RGPD : les bons conseils pour réussir !
