données personnelles
Dois-je désigner un délégué à la protection des données ?
Vous traitez des données personnelles et vous vous demandez si l’obligation de désigner un délégué à la protection des données vous concerne.
Depuis l’entrée en vigueur du RGPD, il est obligatoire pour le responsable de traitement et le sous-traitant de désigner un délégué à la protection de données dans les cas suivants :
- le traitement est effectué par une autorité ou une entité publique (collectivité territoriale, hôpital, université, etc.),
- les activités principales impliquent des traitements induisant un contrôle régulier et systématique des personnes (ex : profilage, publicité comportementale, géolocalisation, etc.) à grande échelle (ex : étendue géographique importante, nombre de personnes concernées en valeur absolue ou relative par rapport à la population concernée, etc.),
- les activités principales portent sur des traitements à grande échelle de catégories particulières de données sensibles (ex : données de santé de patients, données biométriques) et de données relatives à des condamnations et infractions.
Pour les autres entités, il reste toujours possible de désigner un délégué à la protection des données de manière volontaire.
Le délégué à la protection des données a comme mission de contrôler le respect de la législation sur les données personnelles, d’assister le responsable de traitement dans les analyses d’impact éventuellement à réaliser et de coopérer avec la CNIL, notamment en cas de contrôle.
Le délégué à la protection des données peut être désigné en interne ou en externe.
Le délégué à la protection des données doit bénéficier d’une totale indépendance dans le cadre de sa mission et est soumis au secret professionnel ainsi qu’à une obligation de confidentialité. Ainsi, par exemple, les fonctions d’encadrement sont susceptibles de donner lieu à des conflits d’intérêts (ex : DRH, DAF, DSI, etc.).