RGPD : le Délégué à la protection des données (DPO) devient-il obligatoire ?
Désormais, le DPO apparait dans une position centrale. Le RGPD impose d'associer le DPO à toutes les questions relatives au traitement des données à caractère personnel, d'une manière appropriée et en temps utile. Les Correspondants informatique et liberté (CIL) seront remplacés par un DPO. Mais à l'inverse du CIL, est ce que le DPO sera obligatoire ?
La RGPD et le DPO : vers une nomination quasi-obligatoire
Il n'existe pas de seuil (chiffres d'affaires, nombre de salariés, secteurs d'activité) permettant de savoir clairement quelle entité est dans l'obligation de nommer un DPO.
Au plus tard le 25 mai 2018, l'article 37 du RGPD impose aux responsables du traitement et aux sous-traitants de désigner obligatoirement un DPO lorsque :
- le traitement est effectué par une autorité ou un organisme public (sauf fonction juridictionnelle) ;
- le traitement à caractère personnel implique un suivi régulier, systématique et à une échelle importante ;
- les activités consistent en un traitement à grande échelle de données sensibles (origine, génétique…) ou des données relatives à des condamnations pénales et à des infractions.
Mais qu'en est-il de la définition du " traitement à grande échelle ", Le G29 recommande de tenir compte de la quantité de données traitées, de la durée de conservation et de son étendue géographique, ce qui peut concerner les grandes entreprises, comme les PME ou TPE.