• contact@oxiwiz.fr
  • 04 76 93 29 79

A partir de quand est on obligé d'avoir un dpo pour son activité ?

publié le 19/09/2018


A partir de quand est on obligé d'avoir un dpo pour son activité ?

Un DPO est un Data Protection Officer, un Délégué à la Protection des Données personnelles en français. C’est un poste devenu obligatoire dans certains cas prévus par le RGPD, Règlement européen Général de Protection des Données ou GRPD en anglais (EU General Data Protection Régulation). Ce texte impose aux organismes publics ou privés, d’organiser et d’optimiser leur protection data. Le DPO doit s’assurer que l’organisme pour lequel il travaille respecte bien la réglementation applicable à la protection des données personnelles.

Il assure également l’interface avec la CNIL, autorité de contrôle du RGPD. Le DPO peut être salarié de l’organisme, à temps plein ou non. Il peut aussi réaliser ses missions en signant un contrat de service. À partir de quand un DPO doit-il être désigné ? L'article 37 du RGPD mentionne les cas dans lesquels il est obligatoire ainsi que ses modalités de désignation.

L’obligation pour les organismes publics

Le premier cas concerne les traitements de données personnelles effectués par un organisme public ou une autorité publique. Les structures publiques effectuant des traitements de données personnelles doivent désigner un DPO. Cela concerne donc l'Etat, les collectivités territoriales, les hôpitaux. Il n’y a pas de notion de seuil, l’obligation vaut dès lors que l’organisme est public. Toutefois, les juridictions, dans le cadre de leurs fonctions juridictionnelles ne sont pas concernées par cette obligation.

L’obligation pour les entreprises privées

D’après l'article 37 du RGPD, les entreprises concernées par l’obligation de nommer un DPO sont celles dont les activités de base sont les suivantes :

- Des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées. Par régulier, on entend une activité réalisée en continu ou répétée. Par systématique, on entend une activité organisée.

- Un traitement à grande échelle de catégories particulières de données visées à l'article 9 et des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. Il s’agit de données sensibles comme l’origine raciale ou ethnique, les opinions politiques, la santé, les convictions religieuses ou philosophiques, la vie et l’orientation sexuelle, les données génétiques .

- Pour caractériser le traitement à grande échelle, on tient compte du nombre de personnes concernées, du volume de données traitées, de la durée et de l’étendue géographique de l’activité de traitement.

Avec ces critères, l’obligation de désigner un DPO s’applique à de nombreux organismes. Il n’y a pas de seuil minimal à partir duquel l’obligation de désigner un DPO s’applique.


auteur
sandrine
Besoin d'un DPO ?

Si vous cherchez un DPO (Data Protection Officer) pour votre entreprise afin d'encadrer la protection des données et vous conformer au RGPD.

Cliquez ici

Vous êtes DPO ?

Vous êtes un DPO professionnel ou proposez vos services dans le cadre du RGPD ; vous souhaitez apparaître dans notre registre ?

Cliquez ici