Dans quels cas est-il obligatoire de nommer un délégué à la protection des données (ou Data Protection Officer) ? Nous faisons le point pour vous.


Dans l'article "Étape 1 du GDPR : composer une équipe GDPR et nommer (ou pas) un Data Protection Officer", nous avons vu que dans certains cas, il est obligatoire de nommer un délégué à la protection des données (DPO)

Les trois cas où une demande de nominatione est obligatoire sont les suivants :

  • le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux qui exercent des fonctions judiciaires;

  • le responsable du traitement est principalement responsable des traitements qui, de par leur nature, leur taille et/ou leur finalité, nécessitent une observation régulière et systématique à grande échelle des personnes concernées;

  • le responsable du traitement est principalement responsable du traitement à grande échelle de certaines catégories de données (également dénommées données à caractère personnel sensibles telles que, entre autres, les données relatives à la santé, à l'orientation sexuelle ou aux opinions politiques) et de données à caractère personnel relatives aux condamnations pénales et aux infractions pénales.

Les entreprises peuvent également à tout moment désigner volontairement un Data Protection Officer. Dans le cas d'une désignation volontaire d'un DPO, il peut être souhaitable d'utiliser une dénomination différente de "délégué à la protection des données / DPO" ou "Data Protection Officer", car cela risque de mener à la notification obligatoire de votre DPO à la Commission de protection de la vie privée.

Le GDPR stipule en effet à l'article 37.7 que le responsable du traitement (l'organisation qui détermine la finalité du traitement des données à caractère personnel et les moyens de traitement) ou le sous-traitant (en cas de données à caractère personnel traitées pour le compte du responsable du traitement) doit communiquer les coordonnées du DPO à l'autorité de contrôle (article 37.7 du GDPR). En Belgique, il s'agit encore pour quelques jours/semaine de la Commission pour la protection de la vie privée, mais elle deviendra bientôt l'Autorité de protection des données avec de nouveaux pouvoirs (d'inspection et de sanction).

La Commission de protection de la vie privée a à présent mis à disposition un formulaire de notification sur son site Web et a en y expliquant la procédure à suivre.

Pour le formulaire de notification et la procédure à suivre, cliquez ici.