Article 37 du RGPD : Désignation du délégué à la protection des données

Sommaire :

Comprendre l’article 37

Communément appelé DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données), sa désignation est indiquée dans cet article 37 du RGPD

La désignation d’un DPO n’est pas obligatoire, sauf dans certains cas : 

  • lorsque les opérations réalisées sur les données (traitements) sont effectuées par une autorité publique ou un organisme public, sauf pour les juridictions agissant dans l’exercice de leur fonction 
  • si les traitements de par leurs natures, leurs portées, leurs finalités exigent un suivi régulier, systématique et à grande échelle 
  • si les traitements traitent de données sensibles/relative à des infractions ou condamnations pénales à grande échelle 

Le DPD doit être désigné au regard de ses qualités professionnelles, de ses connaissances pratiques et théoriques du droit de la protection des données personnelles et de sa capacité à accomplir les missions qui lui sont attribuées. Il n’existe pas une certification nécessaire pour exercer la fonction de DPD.

Le DPD peut être un membre du personnel, ou il peut exercer ses missions sur la base d’un contrat de service. 

Une fois désigné, les coordonnées du DPD doivent être publiées et communiquées à l’autorité de contrôle (la CNIL). 

Un groupe d’entreprise peut désigner un seul DPD pour plusieurs établissements, à condition que le DPD soit accessible pour chaque établissement. 

Pour les autorités et organismes publics, un seul DPD peut être désigné en fonction de la structure/taille (exemple : 1 DPD pour plusieurs communes). 

Un DPD peut être désigné, même en dehors de ces situations. Dans ce cas, sa désignation à la CNIL n’est pas obligatoire.

Besoin d’aide pour désigner votre DPO ? Consultez notre article : Comment trouver son DPO ?

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 37 du RGPD

  1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

    a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

    b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

    c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

  2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.

  3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

  4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

  5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
  6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
  7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Jurisprudence

Aucune jurisprudence sur cet article ! 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €