Et qu’en est-il du DPO en Allemagne ?

Depuis le 25 mai 2018, le Règlement Général sur la la Protection des Données (RGPD – GDPR au Royaume-Uni – DSGVO en Allemagne) exige la désignation obligatoire d’un Délégué à la Protection des Données (DPO / Data Protection Officer / Datenschutzbeauftragte) pour de nombreuses entreprises.

 

Sa désignation est obligatoire dans 3 cas :

  1. Pour les autorités ou les organismes publics, quelles que soient les données, 

  2. Les organismes dont les activités de base les amènent à réaliser un suivi 
régulier et systématique des personnes à grande échelle, 

  3. Les organismes dont les activités de base les amènent à traiter à grande 
échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. 


 

Que dit la législation allemande ?

La BDSG (Bundesdatenschutzgesetz : loi fédérale allemande sur la protection des données) apporte des précisions sur les cas où la désignation d’un DPO est obligatoire. 3 domaines doivent être analysés :

  • La taille de l’entreprise / le nombre d’employés : on vérifie l’étendue du traitement de données. Un DPO doit être nommé:
    – Si au moins 10 personnes sont impliquées, au sein de l’entreprise, dans un traitement automatisée de données personnelles (collecte et utilisation) ;

    – Si au moins 20 personnes sont impliquées, au sein de l’entreprise, dans un traitement non automatisée de données personnelles (via des fichiers manuels : formulaires etc).

Il peut s’agir aussi bien de travailleurs temporaires, travailleurs à domicile, stagiaires ou bénévoles.

  • Le niveau de détail des données : Un DPO doit être nommé en cas de traitement de données personnelles dites “sensibles” : sur la race, l’origine ethnique, l’opinion politique, les convictions religieuses, l’affiliation syndicale, la santé ou la vie sexuelle d’une personne.
  • Le domaine d’activité : Un DPO doit toujours être nommé si des données à caractère personnel sont traitées, collectées, transmises, utilisées dans un but commercial. 
Cela concerne notamment les agences de crédit et les banques, où à des fins de recherche de marché et d’opinion.

Ces deux dernières règles valent indépendamment du nombre de personnes employées.

La Commission Nationale à la protection des données et à la liberté de l’information de la Rhénanie-du-Nord-Westphalie a édité un test pour déterminer si la nomination d’un DPO est obligatoire ou non (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Betriebliche_Datenschutzbeauftragte/Inhalt/Check/Check.php)

 

La difficulté restera pour les entreprises de savoir analyser correctement ces différentes conditions … La publication de guides et de recommandations de la part des autorités nationales compétentes sera grandement appréciée par les petites et moyennes entreprises, qui manquent régulièrement de ressources et de moyens disponible afin de répondre à ces questions.

A propos de Camille MINEUR

Depuis toujours passionnée par la lecture et le droit, et en même temps jamais bien loin d'une connexion internet, allier travail et passion m'a naturellement dirigé vers le droit des nouvelles technologies. Avec une petite préférence pour la protection des données personnelles ainsi que les contrats informatiques.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.