Le Règlement Général sur la Protection des Données (RGPD) qui entrera en vigueur le 25 mai 2018, oblige les organismes à se doter d’un Délégué à la Protection des Données (DPD ou DPO en anglais) dans trois cas.
Ces trois cas sont définit dans l’article 37 du RGPD et peuvent paraître simples à la première lecture. Cependant, si l’on creuse un peu plus, on se rend compte que les critères légaux utilisés ne sont pas tous définis. Cette particularité rend l’analyse complexe.
Le G29, qui regroupe les CNIL européennes, a publié le 13 décembre 2016 des lignes directrices sur l’interprétation de ces dispositions. Les conseils formulés par le G29 viennent apporter quelques indices concernant les cas de désignation obligatoire d’un Data Protection Officer (DPO).
Extrait de l’article 37 du RGPD :
1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
1. Les autorités ou organismes publiques
« a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; »
Les notions d’« autorité publique » ou d’ « organisme public » ne sont pas définies dans les textes du RGPD. Le G29 précise donc que ces termes sont à interpréter selon le droit national de chaque état membre.
Cela signifie que toute autorité nationale, régionale ou locale est concernée par cette obligation. Sont donc concernées par l’obligation de nommer un Délégué à la Protection des Données, les communes françaises, les conseils régionaux et les conseils départementaux.
A contrario, les juridictions « agissant dans l’exercice de leur fonction juridictionnelle » ne sont pas concernées par cette obligation. De même, les organismes privés exerçant des missions publiques ou exerçant une autorité publique n’ont pas l’obligation de désigner un DPO. Dans les deux cas, le G29 conseille fortement la désignation d’un DPO.
2. Les organismes dont les activités de base consistent à réaliser un suivi régulier et systématique des personnes à grande échelle
« b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou »
Afin de comprendre ce que signifie ce second point, il est nécessaire de définir les différents termes qui y sont contenus. Le G29 précise que les trois critères mis en évidence ci-dessus doivent être réunis pour que l’entreprise soit soumise à l’obligation.
a. Activités de base
Le G29 considère comme activités de base, l’activité clé permettant à une entreprise de réaliser ses objectifs ou toute activité qui est inextricablement liée au traitement.
Le texte du G29, à retrouver en bas de l’article, illustre cette explication de plusieurs exemples. Pour reprendre un de leur exemple, un hôpital a pour activité de base la prestation de soins. Cependant il lui est impossible de mener à bien son activité sans effectuer un traitement de données des patients. L’hôpital devrait donc désigner un DPO.
En revanche, les traitements de données personnelles réalisés dans le cadre des activités annexes d’une société n’exigent pas la désignation d’un DPO. Sont considérés comme activités auxiliaires la gestion de la paye ou le service informatique, par exemple.
b. Suivi régulier et systématique
Le traitement doit impliquer « un suivi régulier et systématique ». Le Règlement précise que la notion de « suivi régulier » s’applique à tout suivi « en cours ou se produisant à des intervalles particuliers pour une période donnée » ou « récurrent ou répété à des moments fixes » ou encore « constant ou périodique ».
D’autre part, la notion de « suivi systématique » est à comprendre comme un suivi « produit selon un système » ou « pré-organisé, organisé ou méthodique » ou « adopté dans le cadre d’un plan général de collecte de données » ou encore « réalisé dans le cadre d’une stratégie globale ».
Cette notion couvre donc toute activité consistant à faire du suivi et du profilage comme par exemple :
- Recherche et profilage sur Internet
- Le profilage et le scoring visant à l’évaluation des risques de fraude
- Opérateur de réseau de télécommunication
- Fournisseur de services de télécommunication
- Publicité comportementale
- Géolocalisation (notamment via des applications mobiles)
- Email retargeting
- Vidéo surveillance
- Appareils connectés (notamment pour le suivi des indicateurs de bien-être ou de santé)
- etc.
c. Grande échelle
Le Règlement fait entrer dans ce terme les traitements qui « visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées » (paragraphe 91 du préambule).
Pour compléter cette définition, le G29 recommande de prendre en considération les facteurs suivants pour déterminer si le traitement est effectué « à grande échelle » :
- le nombre de personnes concernées
- le volume de données et/ou les différentes catégories de données
- la durée ou la permanence de l’activité de traitement
- l’étendue géographique du traitement
Le G29 donne des exemples de traitement à grande échelle en citant les traitements de « données de patients par un hôpital dans le cadre du déroulement normal de ses activités, données de voyage des passagers utilisant un moyen de transport public urbain, données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques » […]
Et exclue de la définition d’un traitement à grande échelle, les traitements effectués par « un médecin exerçant à titre individuel, des données de ses patients » ou bien des « données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel. »
3. Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions
« c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »
Ce troisième point se voit appliquer les mêmes termes que le second (« activités de base » et « à grande échelle »), mais concerne uniquement les données sensibles ou ayant trait à des condamnations et infractions pénales.
Pour rappel, sont considérées comme sensibles les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques, etc.
Pour conclure, il existait bien des doutes concernant les interprétations des notions « activités de base », traitement « à grande échelle » ou encore « suivi régulier et systématique » à la première lecture du RGPD. Et la réponse donnée par le G29 propose une interprétation assez large de ces termes. Ce qui a pour conséquence d’élargir le nombre d’organisme obligés de désigner un DPO. Dans tous les cas, le G29 recommande à toutes les entreprises et organismes de réaliser une étude documentée visant à déterminer s’ils doivent obligatoirement désigner un DPO.
Pour en savoir plus sur le rôle du DPO, je vous invite à consulter notre article sur le sujet : RGPD et organisation interne : les impacts à prévoir
Sources :
- Article 37 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
- Document du G29 : https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf