Quand un délégué à la protection des données est-il obligatoire ?

Presque toutes les entreprises traitent des données à caractère personnel. Des obligations particulières s'appliquent à leur traitement et, dans certains cas, la désignation d'un délégué à la protection des données en fait partie. Mais quand un délégué à la protection des données est-il obligatoire ? Quelles sont les possibilités de satisfaire à une telle obligation ?

Obligation de désigner un délégué à la protection des données

L'article 37 du RGPD et l'article 38 de la BDSG imposent dans certains cas l'obligation pour le responsable de désigner un délégué à la protection des données. Si les conditions mentionnées dans la loi sont remplies, la désignation d'un délégué à la protection des données est obligatoire. Tous les autres responsables sont libres de désigner un délégué à la protection des données.

Conditions préalables

Le RGPD prévoit l'obligation pour le responsable de désigner un délégué à la protection des données,

• lorsque le traitement est effectué par une autorité ou un organisme public (les tribunaux ne sont pas concernés dans le cadre de leurs activités judiciaires) ou
• lorsque l'activité principale implique des opérations de traitement qui, en raison de leur nature, de leur portée ou de leurs finalités, nécessitent un contrôle étendu, régulier et systématique ou
• lorsque, dans le cadre de l'activité principale, des données de catégorie particulière sont traitées conformément à l'article 9 du RGPD ou des données relatives à des condamnations pénales et à des infractions (article 10 du RGPD).

Le RGPD fixe ainsi un cadre assez strict dans lequel la désignation d'un délégué à la protection des données est réellement obligatoire. L'objectif est de couvrir les domaines dans lesquels des données à caractère personnel particulièrement sensibles ou particulièrement volumineuses sont traitées.

Ces conditions sont toutefois élargies par la BDSG, de sorte que le champ d'application de l'obligation n'est pas si restreint. En effet, selon l'article 38 de la BDSG, la désignation en Allemagne est également obligatoire,

• lorsque, en règle générale, au moins 20 personnes sont occupées en permanence au traitement automatisé de données à caractère personnel ou quel que soit le nombre de personnes chargées du traitement
• lorsque des traitements sont effectués et qu'ils sont soumis à une analyse d'impact relative à la protection des données conformément à l'article 35 du RGPD ou
• lorsque des données à caractère personnel font l'objet d'un traitement commercial à des fins de transmission, de transmission anonyme ou d'études de marché ou d'opinion.

Le seuil de 20 personnes employées n'est toutefois pas aussi clair qu'il n'y paraît :

Le seuil de 20 personnes doit être atteint "en règle générale". Cela signifie que l'on considère le nombre de personnes employées pour le traitement automatisé de données à caractère personnel sur une période d'un an ou le nombre qui sera employé dans le cadre d'une prévision.

Les personnes doivent également être employées "en permanence", ce qui signifie que la tâche est effectuée régulièrement par ces personnes. Il ne doit pas s'agir de la tâche principale ou du cœur de l'activité de la personne, qui consiste à traiter des données à caractère personnel. Il suffit qu'une manipulation de données à caractère personnel ait lieu dans le cadre de l'activité concrète. Il suffit que la personne soit connectée à un système de communication tel qu'Outlook ou qu'elle ait accès aux répertoires d'adresses de l'entreprise. Lorsque l'on examine si le seuil est dépassé, les employés qui n'ont pas d'autres compétences que d'afficher des données à caractère personnel sont donc déjà pris en compte.

Certaines entreprises allemandes sont donc soumises à l'obligation de désigner un délégué à la protection des données, sans peut-être en être conscientes. L'absence de désignation d'un délégué à la protection des données est désormais considérée comme une infraction formelle moyenne, qui coûte généralement entre 20.000 et 30.000 euros d'amende (en fonction du chiffre d'affaires).

Délégué interne ou externe à la protection des données ?

Les entreprises peuvent non seulement désigner un employé comme délégué à la protection des données en plus de ses activités normales au sein de l'entreprise, mais aussi confier cette tâche à un externe.

Si l'on choisit un collaborateur interne, celui-ci doit suivre une formation importante. De plus, il doit régulièrement suivre une formation continue, ce qui entraîne des coûts supplémentaires pour une main-d'œuvre réduite pour les tâches proprement dites. En raison de cette charge de travail, ce poste est généralement très impopulaire parmi les collaborateurs. En outre, il est souvent difficile pour les collaborateurs internes d'avoir une vue d'ensemble de l'entreprise et de pouvoir ainsi s'acquitter efficacement de leur tâche. Un collaborateur interne doit être impartial et ne peut pas s'auto-surveiller. Les collaborateurs IT ou les collaborateurs ayant des responsabilités en matière de personnel ou de secteur, ainsi que tous les collaborateurs occupant des postes de direction et les collaborateurs ayant un statut d'organe, en sont déjà exclus.

En revanche, si l'on choisit un externe, on peut compter sur son expertise certifiée et on n'a pas besoin de se soucier de la formation continue. De plus, les honoraires fixes permettent de bien évaluer et de limiter les dépenses supplémentaires. Le délégué externe à la protection des données a généralement une meilleure vue d'ensemble et préserve la neutralité.

Il faut toutefois décider au cas par cas quelle est la meilleure alternative pour une entreprise.

Plusieurs délégués à la protection des données sont-ils nécessaires ?

Il est en principe possible de désigner un délégué à la protection des données commun à plusieurs organismes placés sous la même direction.

Selon l'article 37 II, les entreprises peuvent désigner un délégué commun à la protection des données du groupe. Pour plus de détails, voir ici.

Selon l'art. 37 III, il en va de même pour les autorités et les organismes publics, si la structure organisationnelle le permet.

FAQ

Q : À partir de quand un délégué à la protection des données est-il nécessaire ?

R : Un délégué à la protection des données est requis par le RGPD à partir d'un certain nombre d'employés ou pour certains types d'opérations de traitement des données.

Q : Quand faut-il désigner un délégué à la protection des données ?

R : Un délégué à la protection des données doit être désigné dès lors que des données à caractère personnel sont régulièrement traitées dans une entreprise, quelle que soit la taille de celle-ci.

Q : Quelles sont les tâches d'un délégué à la protection des données en entreprise ?

R : Le responsable de la protection des données au sein de l'entreprise est chargé, entre autres, de contrôler le respect des règles de protection des données, de conseiller les employés et de coopérer avec les autorités de surveillance.

Q : Quand le délégué à la protection des données est-il passible d'une amende ?

R : Des amendes peuvent être infligées en cas de non-respect du RGPD, notamment si aucun délégué à la protection des données n'a été désigné ou si des dispositions relatives à la protection des données ont été enfreintes.

Q : La désignation d'un délégué à la protection des données est-elle une obligation légale ?

R : Oui, dans certains cas, la désignation d'un délégué à la protection des données est une obligation légale afin de garantir que la protection des données est assurée dans une entreprise.

Q : Quels sont les traitements de données qui nécessitent la désignation d'un délégué à la protection des données ?

R : Des types particuliers de traitement de données, comme les données relatives à la santé ou les informations sur les condamnations pénales, peuvent nécessiter la désignation d'un délégué à la protection des données.

Q : Quels sont le statut et les tâches d'un délégué à la protection des données ?

R : Le délégué à la protection des données occupe une position indépendante au sein de l'entreprise et est responsable de la surveillance de la protection des données, de la formation des employés et de la coopération avec les autorités.

Q : Quand un délégué à la protection des données est-il obligatoire ?

R : Selon le RGPD, un délégué à la protection des données est nécessaire lorsque des données à caractère personnel sont traitées régulièrement et systématiquement dans une entreprise. Les critères exacts à partir desquels la désignation d'un délégué à la protection des données est nécessaire sont définis dans la BDSG.

Q : À partir de quand faut-il désigner un délégué à la protection des données ?

R : Une entreprise doit désigner un délégué à la protection des données si le traitement des données porte sur des données particulièrement sensibles ou si la nature, l'étendue ou les finalités du traitement des données l'exigent.

Q : Quelles sont les tâches du délégué à la protection des données de l'entreprise ?

R : Le délégué à la protection des données de l'entreprise a pour mission de veiller au respect des règles de protection des données, de dispenser des formations au sein de l'entreprise, de répondre aux demandes des personnes concernées et d'être l'interlocuteur des autorités de contrôle.

Q : Dans quels cas est-il nécessaire de désigner un délégué à la protection des données ?

R : Une entreprise est tenue de désigner un délégué à la protection des données si elle traite régulièrement et systématiquement des données à caractère personnel ou si la loi l'exige.

Q : Quelles sont les amendes encourues en cas de violation des dispositions relatives à la protection des données en ce qui concerne un délégué à la protection des données ?

R : De lourdes amendes peuvent être infligées en cas de non-respect de la législation sur la protection des données, notamment si aucun délégué à la protection des données n'a été désigné alors que cela était nécessaire.

Q : Quel rôle joue le RGPD dans la désignation d'un délégué à la protection des données ?

R : Le RGPD définit les exigences relatives à la désignation d'un délégué à la protection des données et réglemente les responsabilités et les obligations en matière de protection des données à caractère personnel.