Décryptage RGPD

Votre organisme a-t-il l’obligation de nommer un(e) DPO ?

Amélie Cembalo, Fondatrice, le 1/2/2023

Image de l'article : Votre organisme a-t-il l’obligation de nommer un(e) DPO ?

Pour répondre à cette question, nous vous proposons tout d’abord de se tourner vers les dispositions de l’Article 37.1 du RGPD. L’objectif de cet article ? Établir une liste exhaustive des organismes ayant l’obligation de nommer un(e) DPO.

Ces organismes sont les suivants :

  • Les autorités publiques et les organismes publics (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle).
    Par exemple : les hôpitaux, les universités, l’autorité des marchés financiers (AMF), les mairies, la caisse primaire d’assurance maladie (CPAM).
  • Les organismes réalisant des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités (activité de base de l’organisme), exigent un suivi régulier et systématique à grande échelle des personnes concernées.
    Très clair, n’est-ce pas ?! Ne vous inquiétez pas, nous vous donnons plus d’explications juste après !
  • Les organismes traitant à grande échelle des données sensibles – données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, données biométriques aux fins d’identifier une personne physique de manière unique, données de santé, données concernant la vie sexuelle ou l’orientation sexuelle d’une personne (Article 9 du RGPD) - et ceux traitant des données personnelles relatives à des condamnations pénales et à des infractions.
    Par exemple : les cliniques, les partis politiques, les organisations syndicales.

1. Comment savoir si votre organisme réalise une activité de base l’amenant à réaliser un suivi régulier et systématique de personnes à grande échelle ?

Tout d’abord, il est à noter que le RGPD ne définit ni la notion « d’activité de base », ni de « suivi régulier et systématique ». Aucune réponse réglementaire ne peut donc être donnée à cette question…

Fort heureusement, notre autorité de contrôle s’est emparée du sujet et est venue apporter ces éclairages sur ces notions au sein de son « Guide Pratique RGPD – Délégué à la protection des données » publié le 6 avril 2022.

Pour savoir si votre organisme remplit les conditions de l’Article 37.1.b), nous vous invitons à répondre aux questions suivantes :

  • Le cœur de métier de mon organisme (son business model si vous êtes à la tête d’une entreprise) impose-t-il le traitement de données personnelles ?
    Exemple : vous êtes une association spécialisée dans le soutien des femmes ayant subi des violences, votre activité de base sera de fournir ledit soutien. Cela impliquera nécessairement le traitement de données personnelles relatives à la situation vécue par ces femmes. Si la réponse est oui, le critère de l’activité de base est rempli par votre organisme.
  • Pour déterminer l'échelle de votre traitement, nous vous invitons à vous demander :
    • Combien de personnes sont concernées par le traitement de données personnelles réalisé dans le cadre de l’activité de base de mon organisme (en valeur absolue et en valeur relative par rapport à la population concernée) ?
    • Quel est le volume de données traitées par mon organisme dans le cadre de son activité de base ?
    • Quelle est la durée des traitements réalisés dans le cadre de mon activité de base ?
    • Quelles est l’étendue géographique des traitements réalisés dans le cadre de mon activité de base ?
      Exemple : mon organisme a vocation à aider les étudiants français à connaître les aides auxquels ils peuvent prétendre au niveau départemental, régional et étatique ce qui implique que tous les étudiants français sont donc concernés par le traitement réalisé dans le cadre de l’activité de base de ma structure. Le volume de données traitées peut s’élever à plusieurs centaines de milliers voire de millions.
      Les traitements sont réalisés pendant toute la durée d’utilisation du service par l’étudiant(e) concerné(e). Dans cet exemple, un traitement de données à grande échelle est vraisemblablement réalisé.
  • Mon organisme réalise-t-il dans le cadre de son activité de base un suivi régulier et systématique des personnes ?
« Régulier » : « Systématique » :
  • continu ou se produisant à intervalles réguliers au cours d’une période donnée ; 
  • ou récurrent ou se répétant à des moments fixes ; 
  • ou ayant lieu de manière constante ou périodique.
  • se produisant conformément à un système ; 
  • ou préétabli, organisé ou méthodique ; 
  • ou ayant lieu dans le cadre d’un programme général de collecte de données ; 
  • ou effectué dans le cadre d’une stratégie.

Exemples : votre organisme réalise des activités de marketing individualisées et basées notamment sur le tracking des ouvertures d’emails et de la dernière date d’utilisation des services proposés par votre structure. Dans cet exemple, un suivi régulier et systématique est réalisé.

Article blog 1.jpeg

2. Est-il possible pour votre organisme de désigner un(e) DPO même si cela n’est pas obligatoire ?

Oui, il est tout à fait possible pour un organisme n’ayant pas l’obligation formelle de désigner un(e) DPO au titre de l’Article 37.1 du RGPD de décider de se doter de cette fonction pour l’accompagner sur le chemin de sa mise en conformité. Nous vous le recommandons même vivement !

3. Quels sont les risques encourus par votre organisme si je décide de ne pas désigner un(e) DPO alors que j’ai l’obligation de le faire ?

Si vous vous faites prendre la main dans le sac par la CNIL, elle pourra aller du carton jaune - en vous envoyant par exemple une mise en demeure de désigner un DPO et en la rendant publique sur son site internet - au carton rouge, en vous sanctionnant par une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du montant de votre chiffre d’affaires N-1 si vous être une entreprise mondiale.

Points d’attention complémentaires :

  • Si vous n’avez pas nommé de DPO, il vous est interdit d’utiliser le terme « DPO » au sein de votre Politique de Confidentialité, Politique de Gestion des Cookies ou encore clause de sous-traitance et vous ne pouvez pas créer d’adresse email du type dpo@sociétéabc.com pour recevoir et traiter les exercices des droits des personnes concernées.
  • Ce n’est pas parce que vous n’avez pas l’obligation de nommer un(e) DPO que vos pratiques ne doivent pas être conformes au RGPD, à la Loi Informatique et Libertés, à la Directive e-Privacy,…

Pour aller plus loin, nous vous conseillons de lire le « Guide Pratique RGPD – Délégué à la protection des données » publié par la CNIL le 6 avril 2022 et consultable sur le lien ici.