Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dénommé ci-après le « Règlement »), est le nouveau texte de référence en matière de protection des données à caractère personnel au sein de l’Union Européenne. Il entre en vigueur le 25 mai 2018.
Le Data Protection Officer (dénommé ci-après le « DPO ») est le personnage central du Règlement : d’ailleurs, trois articles lui sont consacrés, les articles 37, 38 et 39.
Le DPO est une personne interne ou externe à l’organisme (privé ou public), chargée de mettre en oeuvre des mesures permettant de satisfaire à la conformité du droit des données à caractère personnel concernant les traitements de données réalisés au sein de l’organisme.
Sa désignation peut s’avérer obligatoire ou facultative.
Selon l’article 37 du Règlement, la désignation d’un DPO est obligatoire lorsque :
« a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l‘article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. ».
En dehors de ces cas, la désignation d’un DPO reste tout de même conseillée par le G29, car elle permet de confier à une personne de confiance, l’application du droit des données à caractère personnel.
Pour plus d’informations :
- Les lignes directrices du G29 sur le DPO.
- L’article de la CNIL : « Devenir délégué à la protection des données ».