Quand un délégué à la protection des données est-il obligatoire ?

Presque toutes les entreprises traitent des données à caractère personnel. Des obligations particulières s'appliquent à leur traitement et, dans certains cas, la désignation d'un délégué à la protection des données en fait partie. Mais quand un délégué à la protection des données est-il obligatoire ? Quelles sont les possibilités de satisfaire à une telle obligation ?

Obligation de désigner un délégué à la protection des données

L'article 37 du RGPD et l'article 38 de la BDSG imposent dans certains cas l'obligation pour le responsable de désigner un délégué à la protection des données. Si les conditions mentionnées dans la loi sont remplies, la désignation d'un délégué à la protection des données est obligatoire. Tous les autres responsables sont libres de désigner un délégué à la protection des données.

Conditions préalables

Le RGPD prévoit l'obligation pour le responsable de désigner un délégué à la protection des données,

• lorsque le traitement est effectué par une autorité ou un organisme public (les tribunaux ne sont pas concernés dans le cadre de leurs activités judiciaires) ou
• lorsque l'activité principale implique des opérations de traitement qui, en raison de leur nature, de leur portée ou de leurs finalités, nécessitent un contrôle étendu, régulier et systématique ou
• lorsque, dans le cadre de l'activité principale, des données de catégorie particulière sont traitées conformément à l'article 9 du RGPD ou des données relatives à des condamnations pénales et à des infractions (article 10 du RGPD).

Le RGPD fixe ainsi un cadre assez strict dans lequel la désignation d'un délégué à la protection des données est réellement obligatoire. L'objectif est de couvrir les domaines dans lesquels des données à caractère personnel particulièrement sensibles ou particulièrement volumineuses sont traitées.

Ces conditions sont toutefois élargies par la BDSG, de sorte que le champ d'application de l'obligation n'est pas si restreint. En effet, selon l'article 38 de la BDSG, la désignation en Allemagne est également obligatoire,

• lorsque, en règle générale, au moins 20 personnes sont occupées en permanence au traitement automatisé de données à caractère personnel ou quel que soit le nombre de personnes chargées du traitement
• lorsque des traitements sont effectués et qu'ils sont soumis à une analyse d'impact relative à la protection des données conformément à l'article 35 du RGPD ou
• lorsque des données à caractère personnel font l'objet d'un traitement commercial à des fins de transmission, de transmission anonyme ou d'études de marché ou d'opinion.

Le seuil de 20 personnes employées n'est toutefois pas aussi clair qu'il n'y paraît :

Le seuil de 20 personnes doit être atteint "en règle générale". Cela signifie que l'on considère le nombre de personnes employées pour le traitement automatisé de données à caractère personnel sur une période d'un an ou le nombre qui sera employé dans le cadre d'une prévision.

Les personnes doivent également être employées "en permanence", ce qui signifie que la tâche est effectuée régulièrement par ces personnes. Il ne doit pas s'agir de la tâche principale ou du cœur de l'activité de la personne, qui consiste à traiter des données à caractère personnel. Il suffit qu'une manipulation de données à caractère personnel ait lieu dans le cadre de l'activité concrète. Il suffit que la personne soit connectée à un système de communication tel qu'Outlook ou qu'elle ait accès aux répertoires d'adresses de l'entreprise. Lorsque l'on examine si le seuil est dépassé, les employés qui n'ont pas d'autres compétences que d'afficher des données à caractère personnel sont donc déjà pris en compte.

Certaines entreprises allemandes sont donc soumises à l'obligation de désigner un délégué à la protection des données, sans peut-être en être conscientes. L'absence de désignation d'un délégué à la protection des données est désormais considérée comme une infraction formelle moyenne, qui coûte généralement entre 20.000 et 30.000 euros d'amende (en fonction du chiffre d'affaires).

Délégué interne ou externe à la protection des données ?

Les entreprises peuvent non seulement désigner un employé comme délégué à la protection des données en plus de ses activités normales au sein de l'entreprise, mais aussi confier cette tâche à un externe.

Si l'on choisit un collaborateur interne, celui-ci doit suivre une formation importante. De plus, il doit régulièrement suivre une formation continue, ce qui entraîne des coûts supplémentaires pour une main-d'œuvre réduite pour les tâches proprement dites. En raison de cette charge de travail, ce poste est généralement très impopulaire parmi les collaborateurs. En outre, il est souvent difficile pour les collaborateurs internes d'avoir une vue d'ensemble de l'entreprise et de pouvoir ainsi s'acquitter efficacement de leur tâche. Un collaborateur interne doit être impartial et ne peut pas s'auto-surveiller. Les collaborateurs IT ou les collaborateurs ayant des responsabilités en matière de personnel ou de secteur, ainsi que tous les collaborateurs occupant des postes de direction et les collaborateurs ayant un statut d'organe, en sont déjà exclus.

En revanche, si l'on choisit un externe, on peut compter sur son expertise certifiée et on n'a pas besoin de se soucier de la formation continue. De plus, les honoraires fixes permettent de bien évaluer et de limiter les dépenses supplémentaires. Le délégué externe à la protection des données a généralement une meilleure vue d'ensemble et préserve la neutralité.

Il faut toutefois décider au cas par cas quelle est la meilleure alternative pour une entreprise.

Plusieurs délégués à la protection des données sont-ils nécessaires ?

Il est en principe possible de désigner un délégué à la protection des données commun à plusieurs organismes placés sous la même direction.

Selon l'article 37 II, les entreprises peuvent désigner un délégué commun à la protection des données du groupe. Pour plus de détails, voir ici.

Selon l'art. 37 III, il en va de même pour les autorités et les organismes publics, si la structure organisationnelle le permet.