En vertu de l’article 37 § 1 du Règlement Général sur la Protection des Données n°2016/679 du 14 avril 2016 (RGPD), la désignation du Délégué à la Protection des Données (DPO) est obligatoire dans trois cas :
- Lorsque le traitement des données est effectué par une autorité publique ou un organisme public
- Si l’activité de base (activité principale) de l’entreprise consiste à réaliser des opérations de traitement nécessitant un suivi régulier (traitement récurrent/ à intervalles réguliers …) et systématique (traitement prévu, organisé, méthodique dans le cadre d’un système préétabli, ou d’une stratégie) des personnesà grande échelle (nombre important de personnes concernées, volume de données, durée / permanence / étendue géographique de l’activité de traitement…)
- Si l’activité de base de l’entreprise consiste à traiter à grande échelle des données sensibles (données qui se rattachent à la santé, l’origine raciale, aux opinions politiques, religieuses, la vie sexuelles, condamnations pénales, infractions,…)
En conclusion, sauf si l’entreprise procède à un traitement régulier, systématique des données personnelles et à grande échelle, elle n’est pas soumise à l’obligation de nommer un DPO.
Les DPO doivent satisfaire à un certain nombre de compétences et savoir-faire qui peuvent être acquis par des formations. Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique mais ces formations n’ont pas de caractère obligatoire.
Attention au démarche abusif ! Il convient d’être particulièrement vigilant face au démarchage commercial par courrier, courriel ou téléphone, par des entreprises peu scrupuleuses qui adoptent un discour salarmiste pour réclamer des sommes d’argent en vue de vendre des formations ou des diagnostiques "soi-disant obligatoires". + d'infos sur le site de la CNIL |
