RGPD Article 37 – Désigner un DPO

données personnelles, privacy, rgpd

En bref :

Article 37 du RGPD exige que les responsables et sous-traitants du traitement des données désignent un délégué à la protection des données (DPO) dans les cas suivants: a) le responsable ou sous-traitant est une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable ou sous-traitant consistent en des opérations de traitement qui nécessitent un suivi régulier et systématique à grande échelle des personnes concernées; ou c) les activités de base du responsable ou sous-traitant consistent en un traitement à grande échelle de données à caractère personnel spéciales ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Checklist Délégué à la protection des données

  1. Identifier si votre entreprise ou organisation doit désigner un délégué à la protection des données (DPO) en vertu du RGPD.
  2. Si oui, déterminer qui sera le DPO (un membre du personnel ou un prestataire de services externe).
  3. Former le DPO sur ses responsabilités en vertu du RGPD, notamment en matière de conseil et de surveillance de la politique de protection des données et des mesures de sécurité.
  4. Publier les coordonnées du DPO et les communiquer à l’autorité de contrôle.
  5. Veiller à ce que le DPO soit facilement accessible pour toutes les personnes concernées.

FAQ sur la nomination du DPO

Qui doit nommer un DPO selon le RGPD ?

Les entreprises et organisations doivent nommer un DPO lorsqu’elles traitent de grandes quantités de données personnelles de manière régulière, ou lorsqu’elles sont des autorités publiques.

Qui peut être un DPO selon le RGPD ?

Un DPO doit être qualifié professionnellement, notamment en matière de protection des données et de droit. Il peut être un membre du personnel ou un prestataire de services externe.

Quelles sont les responsabilités d’un DPO selon le RGPD ?

Le DPO doit conseiller l’entreprise sur ses obligations de protection des données, veiller à ce que la politique de protection des données soit suivie et que les mesures de sécurité soient mises en place. Il doit également être le point de contact avec l’autorité de contrôle et les personnes concernées par la protection des données, et collaborer avec l’autorité de contrôle lors d’évaluations et de contrôles.

Quand le DPO doit-il être nommé ?

Le DPO doit être nommé avant le début du traitement prévu des données.

Comment contacter le DPO ?

Les entreprises et organisations doivent publier les coordonnées du DPO et les communiquer à l’autorité de contrôle. Ces coordonnées devraient être facilement accessibles pour toutes les personnes concernées.

Texte de l’article 37

Article 37 – Désignation du délégué à la protection des données

  1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

  1. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.
  2. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.
  3. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
  4. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
  5. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
  6. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.
RGPD article 37