Depuis le 25 mai 2018, le Règlement Général sur la la Protection des Données (RGPD – GDPR au Royaume-Uni – DSGVO en Allemagne) exige la désignation obligatoire d’un Délégué à la Protection des Données (DPO / Data Protection Officer / Datenschutzbeauftragte) pour de nombreuses entreprises.
Sa désignation est obligatoire dans 3 cas :
- Pour les autorités ou les organismes publics, quelles que soient les données,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Que dit la législation allemande ?
La BDSG (Bundesdatenschutzgesetz : loi fédérale allemande sur la protection des données) apporte des précisions sur les cas où la désignation d’un DPO est obligatoire. 3 domaines doivent être analysés :
- La taille de l’entreprise / le nombre d’employés : on vérifie l’étendue du traitement de données. Un DPO doit être nommé:
– Si au moins 10 personnes sont impliquées, au sein de l’entreprise, dans un traitement automatisée de données personnelles (collecte et utilisation) ;
– Si au moins 20 personnes sont impliquées, au sein de l’entreprise, dans un traitement non automatisée de données personnelles (via des fichiers manuels : formulaires etc).
Il peut s’agir aussi bien de travailleurs temporaires, travailleurs à domicile, stagiaires ou bénévoles.
- Le niveau de détail des données : Un DPO doit être nommé en cas de traitement de données personnelles dites “sensibles” : sur la race, l’origine ethnique, l’opinion politique, les convictions religieuses, l’affiliation syndicale, la santé ou la vie sexuelle d’une personne.
- Le domaine d’activité : Un DPO doit toujours être nommé si des données à caractère personnel sont traitées, collectées, transmises, utilisées dans un but commercial. Cela concerne notamment les agences de crédit et les banques, où à des fins de recherche de marché et d’opinion.
Ces deux dernières règles valent indépendamment du nombre de personnes employées.
La Commission Nationale à la protection des données et à la liberté de l’information de la Rhénanie-du-Nord-Westphalie a édité un test pour déterminer si la nomination d’un DPO est obligatoire ou non (https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Betriebliche_Datenschutzbeauftragte/Inhalt/Check/Check.php)
La difficulté restera pour les entreprises de savoir analyser correctement ces différentes conditions … La publication de guides et de recommandations de la part des autorités nationales compétentes sera grandement appréciée par les petites et moyennes entreprises, qui manquent régulièrement de ressources et de moyens disponible afin de répondre à ces questions.
