Peut-on faire appel à un DPO externalisé ?

Les organisations peuvent décider de recourir à un DPO ou à un DPO externalisé pour assurer la mise en conformité au RGPD. L’article 37 (6) autorise explicitement les entreprises à recruter un responsable externe de la protection des données, même s’il doit remplir toutes les conditions et les mêmes exigences qu’un DPO interne. L’article 37 autorise un responsable du traitement ou un sous-traitant à engager un responsable de la protection des données pour les tâches de protection des données sur la base d’un contrat de service. Le recours à un DPO externalisé est expliqué plus en détail dans le document WP29 sur les responsables de la protection des données.

Les rôles du DPO

Les DPO sont considérés comme des pierres angulaires du RGPD en vertu de la loi. Le rôle du délégué à la protection des données est d’informer la société, ses employés et tous les acteurs sur leurs obligations en vertu du RGPD, de surveiller le respect de la loi, de fournir des conseils sur les évaluations d’impact sur la protection des données et de coopérer avec les autorités de régulation. L’article 37 du RGPD exige la nomination d’un responsable de la protection des données lorsque le traitement des données est une activité essentielle de l’entreprise, que le traitement est en cours à grande échelle ou que l’entreprise effectue un contrôle régulier et systématique, y compris toutes les formes de suivi sur Internet pour la publicité comportementale. La directive sur la protection des données ne fait pas référence à un responsable de la protection des données. Une poignée de pays, dont l’Allemagne, ont néanmoins demandé la nomination d’un DPO pour certaines entreprises ou industries. En outre, un certain nombre de pays de l’union européenne tels que la France, ont réduit ou éliminé certaines obligations de notification lorsqu’un organisme a volontairement nommé un DPO et que la société l’informe de ses opérations de traitement. À ce titre, de nombreuses entreprises envisagent de faire appel à un DPO en raison RGPD. L’Association internationale des professionnels de la protection de la vie privée a indiqué que la demande mondiale d’agents de la protection des données atteignait 75 000 personnes. Compte tenu de la concurrence, de nombreuses entreprises peuvent se tourner vers un responsable externe de la protection des données, également appelé «DPO externalisé», afin de répondre aux exigences de la loi.

Quelles entreprises ont besoin d’un DPO?

Il subsiste une incertitude quant aux organisations qui doivent nommer un responsable de la protection des données. Les directives du groupe de travail «Article 29» sur les responsables de la protection des données recommandent à toutes les organisations de documenter leur processus interne permettant de déterminer l’applicabilité de l’article 37, à moins qu’il ne soit évident que ce dernier ne s’applique pas. S’il est déterminé qu’elle ne s’applique pas, la présente décision devrait être réexaminée après de nouvelles activités ou de nouveaux services susceptibles de relever de l’article 37, paragraphe 1. Les directives du groupe de travail de l’article 29 sur les responsables de la protection des données fournissent des indications sur le moment où un délégué à la protection des données est requis par le RGPD. La plupart des entreprises qui ne traitent pas à grande échelle de catégories particulières de données ou de données à caractère personnel liées à des condamnations pénales et à des infractions au sens des articles 9 et 10 dans le cadre de leurs activités principales devront désigner un DPO si elles relèvent de l’article 37 (1) (b).

Le responsable du traitement et le sous-traitant doivent désigner un responsable de la protection des données dans les cas suivants: les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, de par leur nature, leur portée et / ou leurs finalités, nécessitent une surveillance régulière et systématique des personnes concernées à grande échelle.

Activités principales

Selon leurs conseils, les «activités principales» de la société sont les opérations clés nécessaires pour atteindre les objectifs de l’organisation. Cependant, elles n’incluent pas les activités nécessaires ou essentielles, mais sont généralement considérées comme des fonctions auxiliaires de l’organisation, telles que payer les employés ou avoir des activités standard de support informatique. Ces activités sont menées par toutes les organisations, quelle que soit leur activité principale. Le groupe de travail fournit deux exemples clés d’activités essentielles. La première est que le traitement des données de santé est une activité essentielle d’un hôpital, car celui-ci ne pourrait pas fournir des soins de santé en toute sécurité sans traiter les dossiers médicaux des patients. La deuxième est une société de sécurité privée qui surveille les centres commerciaux privés et les espaces publics, qui est «inextricablement liée» au traitement des données à caractère personnel. Les hôpitaux et les sociétés de sécurité doivent être considérés comme des exemples de sociétés nécessitant un DPO, car le traitement de leurs données est une activité essentielle.

Pour la définition de «grande échelle», les orientations suggèrent qu’il n’est actuellement pas possible de fournir un nombre précis de données traitées ou d’individus concernés qui imposeraient automatiquement la nomination d’un délégué à la protection des données, mais reconnaît qu’une pratique standard peut se développer pour certaines activités de traitement communes. Au lieu de cela, le groupe de travail «Article 29» demande aux organisations de prendre en compte un certain nombre de facteurs, notamment le nombre de personnes concernées (soit un nombre spécifique, soit une proportion de la population concernée), le volume de données ou d’éléments de données en cours de traitement, la durée l’activité de traitement et l’étendue géographique du traitement. Les directives du groupe de travail fournissent six exemples de traitement à grande échelle et deux exemples d’activités qui ne le sont pas.

Les exemples de ce qui est à grande échelle incluent:

– traitement des données des patients par les hôpitaux

– suivi des données de voyage par un système de transport public

– traitement rapide des données des clients par la chaîne de restauration pour fournir des services spécialisés

– traitement des données des clients par la banque telle que Coopanet ou une compagnie d’assurance dans le cours normal des affaires

– traitement des données personnelles par un moteur de recherche pour la publicité comportementale

– traitement du contenu, du trafic ou des données de localisation par un fournisseur de services internet ou par téléphone

Dans un projet de RGPD, le traitement à grande échelle était défini par des entreprises de plus de 250 employés ou de 5 000 enregistrements de données de citoyens ou de résidents de l’UE. Certains l’ont utilisé comme référence même s’il a finalement été laissé de côté dans la version finale.