L’une des nombreuses questions auxquelles le RGPD n’a pas répondu de manière exhaustive concerne les circonstances dans lesquelles une entreprise doit engager un responsable de la protection des données (DPO).
La nomination d’un DPO est-elle obligatoire ?
Le RGPD mentionne trois scénarios dans lesquels un DPO est obligatoire (voir article 37): les activités principales impliquant le traitement de données à caractère personnel par une autorité publique; les activités principales comprenant «un suivi régulier et systématique des personnes concernées à grande échelle»; ou les activités principales nécessitant un traitement à grande échelle de données spéciales, telles que des données biométriques, génétiques, géolocalisées, etc.
Les entreprises de la deuxième catégorie qui couvrent la plus grande part du marché s’interrogent sur ce que l’on entend par « suivi régulier et systématique » et par « à grande échelle ». Selon le WP29, «régulier et systématique» signifie, en termes humains, un plan préétabli mis en œuvre de manière répétée dans le temps. En ce qui concerne le terme « à grande échelle », le WP29 a déclaré que les facteurs suivants doivent être pris en compte:
- Le nombre de personnes concernées, soit en tant que nombre spécifique, soit en proportion de la population concernée
- Le volume de données et/ou la plage de différents éléments de données en cours de traitement
- La durée ou la permanence de l’activité du traitement de données
- L’étendue géographique de l’activité de traitement.
Compte tenu de cet éclaircissement, une compagnie d’assurance, une banque ou un détaillant qui collecte des données à caractère personnel auprès de millions de clients a besoin d’un DPO. De même, une petite start-up Web avec quelques employés peut aussi être impliquée dans une surveillance à grande échelle.
Pourquoi une start-up serait-elle obligée de nommer un DPO ?
Supposons que des dizaines voire des centaines de milliers de visiteurs accèdent à leur application Web gratuite par mois. Bien que le site de la startup ne collecte pas les données personnelles de ses utilisateurs, mais effectue un suivi de l’activité du navigateur à l’aide de cookies ou par d’autres moyens, un DPO est requis selon cet article https://dpo-consulting.fr/nomination-d-un-dpo-obligation-opportunite/. En effet, selon les indications et les autres termes du RGPD, la surveillance du comportement Web constitue un type de «surveillance» mentionnée dans les dispositions du DPO.
Le rôle de responsable de la protection des données dans le cadre du RGPD
Un responsable de la protection des données est chargé de superviser la stratégie et la mise en œuvre de la protection des données d’une organisation. Il veille à ce que son entreprise se conforme aux exigences du RGPD. Conformément à l’article 39 du RGPD, les rôles du responsable de la protection des données incluent:
- La formation des employés des organisations aux exigences de conformité du RGPD
- La réalisation des évaluations et des audits réguliers pour assurer la conformité au RGPD
- Le lien entre l’entreprise et l’autorité de surveillance compétente
- La tenue des registres de toutes les activités de traitement de données menées par l’entreprise.
Le DPO doit également répondre aux attentes des personnes concernées en les informant sur la manière dont leurs données personnelles sont utilisées et sur les mesures que l’entreprise a mises en place pour les protéger. Il doit aussi s’assurer que les demandes des personnes qui veulent voir des copies de leurs données personnelles ou effacer leurs données personnelles soient satisfaites ou traitées, le cas échéant.
On peut dire que la protection des données en est encore à ses débuts dans la plupart des grandes entreprises. Les équipes de protection des données sont en sous-effectif et sous-financées. Un an après le lancement du RGPD, il semble que les entreprises commencent tout juste à se conformer à la réglementation RGPD