Article 37 du RGPD

Désignation du délégué à la protection des données

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 4 - délégué à la protection des données »  article 37

  1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
    • a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
    • b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
    • c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
  2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.
  3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.
  4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
  5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
  6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
  7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Article 37 du RGPD : Ce qu'il faut comprendre

L’article 37 du RGPD exige la désignation d’un délégué à la protection des données (DPO) dans certains cas spécifiques. Le DPO est responsable de surveiller la conformité du traitement des données au RGPD et agit comme point de contact pour l’autorité de contrôle et les personnes concernées.

Cas où la désignation d’un DPO est obligatoire

  1. Autorité ou organisme public : Toutes les autorités publiques ou organismes publics doivent désigner un DPO, sauf les juridictions dans l’exercice de leur fonction juridictionnelle.
  2. Suivi régulier à grande échelle : Si les activités principales du responsable ou du sous-traitant consistent à suivre régulièrement et de manière systématique les personnes à grande échelle (comme le profilage des utilisateurs sur une plateforme en ligne), un DPO est obligatoire.
  3. Traitement à grande échelle de données sensibles : Lorsque les activités principales impliquent le traitement à grande échelle de données sensibles (par exemple, les données de santé, ou les condamnations pénales), un DPO doit être nommé.

Désignation d’un DPO dans d’autres cas

Même si un DPO n’est pas obligatoire dans d’autres situations, les entreprises ou associations peuvent choisir d’en désigner un volontairement pour assurer la conformité aux règles de protection des données. Dans certains cas, les lois nationales peuvent rendre cette désignation obligatoire.

DPO pour plusieurs entités

  • Un groupe d’entreprises peut désigner un DPO unique à condition qu’il soit facilement accessible à partir de chaque établissement.
  • De même, une seule autorité publique peut désigner un DPO pour plusieurs organismes publics, en fonction de leur taille et de leur structure organisationnelle.

Critères pour la désignation d’un DPO

Le DPO doit être choisi en fonction de ses compétences professionnelles, notamment de sa connaissance du droit de la protection des données et de sa capacité à accomplir les tâches requises par l’article 39 du RGPD.

Statut du DPO

Le DPO peut être soit :

  • Un employé de l’organisation (interne), soit
  • Un prestataire externe qui exerce ses missions sur la base d’un contrat de service.

Communication et publication des coordonnées

Une fois désigné, le responsable du traitement ou le sous-traitant doit :

  • Publier les coordonnées du DPO pour que les personnes concernées puissent le contacter.
  • Informer l’autorité de contrôle (comme la CNIL) de cette désignation.

Article 37 du RGPD – Exemples concrets

  • Exemple 1 : Hôpital
    Un hôpital qui traite de grandes quantités de données de santé doit désigner un DPO pour garantir que les traitements de données sensibles respectent les règles du RGPD.
  • Exemple 2 : Plateforme de vente en ligne
    Une grande plateforme e-commerce qui suit les comportements d’achat de ses utilisateurs à grande échelle (pour des recommandations personnalisées, par exemple) doit nommer un DPO, car elle effectue un suivi régulier et systématique des personnes concernées.
  • Exemple 3 : Groupe multinational
    Un groupe multinational ayant plusieurs filiales dans différents pays peut désigner un DPO unique pour toutes ses entités, à condition que ce DPO soit accessible pour chaque filiale.

← Article 36 – Consultation préalable
Article 38 – Fonction du délégué à la protection des données →

Les articles du RGPD mentionnant l'article 37