Qui doit désigner un délégué à la protection des données selon les règles de l'UE ?
Le droit européen et le droit allemand de la protection des données prévoient des cas différents dans lesquels un Délégué à la protection des données (DPO) doit être désigné. On oublie souvent que même si ces règles ne sont pas applicables dans votre cas, toutes les entreprises (et en outre toutes les autorités et associations) doivent respecter les règles du RGPD.
Cela signifie que même si vous n'y êtes pas obligé, vous devriez quand même avoir un délégué à la protection des données qui vous aide à respecter vos obligations en matière de protection des données.
Articles similaires de notre blog : Quels sont les coûts d'un délégué à la protection des données ? Lire ici
Quand est-il obligatoire de désigner un DPD au sens strict du terme ?
L'obligation selon le droit allemand
L'Allemagne a adopté des règles strictes dans sa loi fédérale sur la protection des données (§38).
Dans la mesure où vingt personnes sont occupées en permanence par le traitement automatisé de données à caractère personnel, les entreprises doivent désigner un délégué à la protection des données. Dans ce cas, les éléments suivants doivent être pris en considération. Le nombre d'employés d'une entreprise peut être pris en compte dans l'ensemble. Les employés qui n'ont pas accès aux équipements de traitement des données permettant de traiter des données à caractère personnel, comme le personnel de nettoyage ou les travailleurs à la chaîne, ne doivent pas être pris en compte. Le statut des personnes qui effectuent le traitement dans l'entreprise n'est pas pertinent. Peu importe qu'il s'agisse de travailleurs à temps plein ou à temps partiel, de free-lances ou de travailleurs intérimaires, ainsi que d'apprentis, de volontaires et de stagiaires, et la direction compte également parmi les vingt personnes susmentionnées.
En règle générale et en permanence, l'objectif est que les changements ponctuels ne soient pas envisagés.
Le nombre de salariés ne suffit pas à lui seul à exclure l'obligation de désignation. L'impact de l'activité de l'entreprise sur les personnes physiques joue également un rôle important. Si celle-ci est susceptible d'entraîner un risque élevé pour les droits des personnes physiques, il convient de procéder à ce que l'on appelle une analyse d'impact relative à la protection des données, ce qui signifie que les risques doivent être examinés en détail et que les mesures qui contribuent à réduire ces risques au sein de l'entreprise doivent être prises en compte. Les entreprises qui effectuent non pas une seule fois mais plus souvent des traitements soumis à de telles évaluations d'impact sur la protection des données doivent également désigner un délégué à la protection des données. Si, par exemple, une station-service ne doit effectuer qu'une seule fois une analyse d'impact sur la protection des données pour l'installation d'une vidéosurveillance, elle ne doit pas désigner de délégué à la protection des données.
Une obligation existe également si votre entreprise traite des données à caractère personnel à des fins commerciales, le caractère commercial ne devant pas être interprété au sens traditionnel du terme, c'est-à-dire qu'il englobe également les activités qui ne génèrent pas de bénéfices, mais qui sont exercées pendant un certain temps. Dans la pratique, on entend par là des entreprises telles que les agences d'évaluation du crédit, qui vérifient la solvabilité des personnes, ou des entreprises qui fournissent à des tiers des données d'adresses à des fins publicitaires.
Le fait que les données soient transmises de manière anonyme ne constitue pas une exception à l'obligation de désignation. Si vous traitez des données à caractère personnel à des fins d'études de marché ou d'opinion pour des clients, vous devez également avoir un délégué à la protection des données.
L'obligation prévue par la législation européenne
En revanche, la plupart des États membres de l'Union européenne n'ont pas adopté de règles spécifiques concernant le DPD, de sorte que seules les dispositions du règlement général sur la protection des données (RGPD, article 37) doivent être prises en considération.
Conformément à l'article 37, paragraphe 1, point b) du RGPD, il existe tout d'abord une obligation de désignation lorsque l'activité principale de l'entreprise nécessite une surveillance régulière et systématique à grande échelle des personnes au sens d'une observation de leur comportement (comme par exemple le comportement de clic d'un utilisateur sur le site web de l'entreprise). Le nombre de personnes concernées, la quantité de données traitées et la portée géographique de la collecte de données ainsi que la durée doivent être pris en compte. A cette fin, il convient de n'inclure que les traitements qui sont soit continus, soit répétitifs et qui suivent un plan et une organisation spécifiques.
Enfin, il convient de noter que les traitements qui sont indissociables de l'activité principale doivent également être considérés comme l'une des activités principales, comme dans le cas des services de santé dans les hôpitaux, qui ne peuvent être fournis sans le traitement des données relatives à la santé des patients.
Il existe également une obligation de désignation (article 37, paragraphe 1, point c) du RGPD) lorsque l'activité principale consiste en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions. Dans la plupart des entreprises, le traitement de données particulières ne concerne que les congés de maladie, les certificats d'incapacité de travail, la grossesse (protection de la maternité) et (dans le cas de l'Allemagne et de l'Autriche ) l'appartenance religieuse. Il ne s'agit toutefois pas d'activités principales et ces traitements peuvent être considérés comme mineurs, de sorte que l'article 37, paragraphe 1, point c), du RGPD peut être interprété comme n'étant pas applicable.
La plupart des entreprises peuvent bénéficier d'un délégué à la protection des données
Si l'on résume les réglementations susmentionnées, on pourrait en conclure que les entreprises actives en Allemagne n'ont qu'exceptionnellement besoin d'un délégué à la protection des données et que les entreprises des autres pays de l'UE n'en ont que très rarement besoin.
Ce serait une erreur, car même sans obligation de désignation, les obligations du RGPD doivent être respectées. Par conséquent, au moins un membre du personnel devrait se consacrer à ce sujet et contrôler si tous les traitements de données à caractère personnel sont conformes au cadre juridique.
Au terme d'une analyse coût-bénéfice pure, les entreprises constatent souvent qu'il est moins cher de désigner un délégué à la protection des données que de prendre le risque de ne pas respecter les règles de protection des données. En plus de l'amende qui peut être infligée et des coûts de la procédure (devant l'autorité de contrôle et, le cas échéant, de la procédure judiciaire), l'entreprise peut subir une perte de confiance de la part de ses clients.
Mais comme les petites entreprises en particulier sont souvent dépassées par les obligations liées à la protection des données (réponse aux demandes des personnes concernées, documentation,...), il vaut la peine de se faire aider par un délégué externe à la protection des données.
De manière générale, quel est l'avantage de désigner un délégué à la protection des données externe ? Contrairement à un collaborateur de l'entreprise qui a besoin de temps pour se former, qui peut commettre des erreurs parce qu'il évalue mal un cas en raison de son manque d'expérience et qui doit finalement demander de l'aide, le délégué externe à la protection des données possède l'expérience nécessaire pour agir rapidement et de manière ciblée. Il peut échanger des informations avec des collègues qui ont eux-mêmes de l'expérience dans d'autres domaines. Il existe différents cadres pour un mandat de DPD externe, en fonction du nombre d'heures pour le collaborateur qui agit en tant que délégué interne à la protection des données, de la taille de l'entreprise et des tâches à accomplir.
Chez 2B Advice GmbH, le nombre d'heures dans les paquets de travail proposés est adapté en fonction de la taille de l'entreprise. C'est pourquoi, outre les grandes et moyennes entreprises, nous avons également pour clients des petites entreprises.
N'hésitez pas à contacter notre service commercial pour que nous puissions vous soumettre une offre adaptée à vos besoins.
Articles similaires de notre blog : Analyse d'impact sur la protection des données (AIPD) : Que faut-il faire ? Lire ici