RGPD : le délégué à la protection des données est-il obligatoire ?

Le Règlement général relatif à la protection des données (RGPD) s’appliquera dès le 25 mai 2018, dans un mois et demi. Or, les entreprises qui traitent des données personnelles ont encore quelques lacunes concernant les notions de base de ce Règlement européen, comme en témoignent les réponses à nos questionnaires

L’une des notions essentielles, qui semble être la moins bien maîtrisée, concerne la désignation du délégué à la protection des données, ou data protection officer (DPO) en anglais. Les répondants à notre questionnaire “débutant” sont 62% à penser que la désignation du DPO est obligatoire selon le RGPD : ce qui est faux. 

 

La désignation d’un DPO n’est pas systématique dans le RGPD

Le délégué à la protection des données est décrit par les articles 37 à 39 du RGPD. Le responsable du traitement de données personnelles n’est, en principe, pas obligé de désigner un délégué à la protection. 

Le droit national peut toutefois durcir cette faculté de désignation du DPO pour la rendre obligatoire : cela n’est pas le cas en droit français. 

Mais trois cas spécifiques rendent obligatoire la désignation du DPO d’après le RGPD : 

– si le traitement de données personnelles est fait par une autorité ou un organisme public ; 

– si le traitement est réalisé par un organisme dont l’activité de base l’amène à suivre de manière régulière et systématique des individus à grande échelle ; 

– si le traitement est réalisé par un organisme dont l’activité de base l’amène à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales. 

Les données personnelles de santé sont incluses dans la catégorie des données sensibles, leur traitement est donc soumis à la désignation d’un DPO. Cela signifie que tous les organismes de complémentaire santé sont tenus d’avoir leur propre DPO. 

 

Organismes assureurs : désignez votre DPO en ligne

Bien que la désignation d’un DPO soit facultative pour tous les cas non prévus par le RGPD, la CNIL recommande fortement d’en nommer un. Il est d’ailleurs déjà possible de faire cette désignation directement en ligne sur le site de la CNIL. 

Sachez aussi que la fonction de DPO peut être déléguée et externalisée à une société tierce. Toutefois, le responsable du traitement devra s’être assuré que cette société est bien reconnue par les services de la CNIL et que ses compétences, connaissances et capacités soient conformes au minimum requis par le RGPD. 

 

Pour tester vos connaissances du RGPD, répondez à nos deux questionnaires en ligne ! Et pour avoir tous les conseils opérationnels pour réussir votre mise en conformité, obtenez votre dossier RGPD : les bons conseils pour réussir

Ajouter aux articles favoris
Please login to bookmarkClose
0 Shares:
Vous pourriez aussi aimer
Armées
Lire plus

FO Défense dénonce l’accord PSC santé des Armées

Alors qu'au sein du ministère des Armées, la réforme de la protection sociale complémentaire (PSC) doit entrer en vigueur à partir du 1er janvier prochain, le sujet continue de susciter quelques débats paritaires en interne. La dénonciation par la fédération de FO de la Défense de l'accord PSC santé signé aux Armées vient en témoigner. C'est par le moyen d'un communiqué qu'elle a publié en milieu de semaine que FO...

François Bayrou agrée la convention sur l’assurance chômage

C'est le 15 novembre 2024 que les partenaires sociaux signaient leur nouvelle convention sur l'assurance chômage. Le texte vient d'être agréé par le Premier ministre François Bayrou avec quelques exclusions. Toutes les dispositions agréées s'appliqueront ainsi à compter du 1er janvier 2025. Retrouvez-en la teneur ci-dessous : ...