Questions les plus fréquemment posées - Quand désigner un délégué à la protection des données ?

Les notions d' "autorité publique" ou d' "organisme public" ne sont pas définies dans le nouveau règlement. Ces notions devront être interprétées à la lumière du droit belge. Les cours et tribunaux belges ne sont pas soumis à cette disposition lorsqu'ils traitent des données à caractère personnel dans le cadre de l'exercice de leurs missions judiciaires.

Ceci étant, en la matière, le Groupe de travail Article 29 considère actuellement que la notion d’autorité publique ou d’organisme public ne se limite pas au concept d’autorités nationales, régionales ou locales mais inclut également les organismes de droit public et renvoie à titre d’exemple à la définition reprise par la Directive 2003/98 sur la réutilisation des informations du secteur public ; à savoir, “tout organisme créé pour satisfaire spécifiquement les besoins d’intérêt général ayant un caractère autre qu’industriel ou commercial, doté de la personnalité juridique et dont soit l’activité est financée majoritairement par l’État, les collectivités territoriales ou d’autres organismes de droit public, soit la gestion est soumise à un contrôle par ces derniers, soit l’organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les collectivités territoriale ou d’autres organismes de droit public”.

Attention, des questions se posent encore concernant l’étendue de la notion d' "organisme public" en droit belge. À titre d’exemple, l’article 27 de la loi du 24 décembre 1993 relative aux marchés publics et à certains marchés de travaux, de fourniture et de services couvre potentiellement davantage d’organismes que la Directive 2003/98. En effet, ces dernières années, des entreprises, dans lesquelles l’État dispose d’une influence dominante - de par sa propriété, sa participation financière ou sa participation dans les organes de décision -, interviennent dans des secteurs industriels ou commerciaux concurrentiels ou encore mixtes (une partie des activités restant sous régime monopolistique de service public). Celles-ci sont couvertes par la notion d’entreprise publique employée dans cette loi.

Une intervention du législateur national chargé d’adopter les mesures d’exécution du nouveau règlement est souhaitable en la matière pour clarifier la notion.

En tout cas, le Groupe de travail Article 29 recommande comme "best practice" que les entités privées qui traitent des données à caractère personnel dans le cadre de l'exécution de missions d'intérêt général qui leur ont été confiées désignent également un délégué à la protection des données et que l'activité de ce délégué couvre tous les traitements, y compris ceux qui ne sont pas liés à l'exécution d'une mission publique. Cette recommandation s'appuie sur le constat suivant : lors de traitements de données effectués dans le cadre de l'exécution de missions d'intérêt général, même si ceux-ci sont réalisés par des entités privées, les personnes concernées se trouvent souvent dans une situation comparable à celle où leurs données sont traitées par une autorité publique ou un organisme public (absence de consentement, informations limitées). L'existence d'un délégué à la protection des données constitue un moyen complémentaire de protection et de transparence accrue.

Sources :

OUI. La désignation volontaire d’un DPO par les responsables de traitement et les sous-traitants est encouragée par le Groupe de l’Article 29. Si il ou elle est désigné(e) en tant que tel et dénommé(e) «  délégué à la protection des données », l’ensemble des exigences du RGPD devront être respectées. Les articles 37 à 39 s’appliqueront de la même façon que si sa désignation avait été obligatoire.

Cela n’empêche pas qu’un organisme emploie du personnel ou fasse appel à un consultant externe pour exercer des missions relatives à la protection des données sur base volontaire et ce,  sans souhaiter se conformer strictement à l‘ensemble des exigences du RGPD. Comme il vient d’être mentionné, le Groupe 29 encourage la désignation de délégué au sens du RGPD mais si ce n’est toutefois pas le choix du responsable de traitement ou du sous-traitant, il est important qu’aucune confusion n’existe tant en interne que pour les autorités de contrôle et les personnes concernées s’agissant du titre, du statut et des tâches de cette personne qui ne peut être considérée comme un « délégué à la protection des données «  au sens du RGPD.

Pour plus de détails voy. la section 2.1.3. des lignes directrices.

L’article 37.1.c) vise les traitements à grande échelle  et à titre d’activité de base, des données des articles  9 et 10 du RGPD.

Pour ce qui concerne les données de l’article 9 du RGPD, ces données sont les données « sensibles «  des articles 6 et 7 de la Loi Vie privée auxquelles s’ajoutent les données biométriques (définies à l’art. 4.14), génétiques (définies à l’article 4.13) et relatives à l’orientation sexuelle. Les données de l’article 10 du RGPD sont les données relatives à des condamnations pénales et à des infractions.

La conjonction « et » est utilisée à l’article 37.1. c) et donne dès lors l’impression que la désignation obligatoire du délégué doit intervenir lorsque tant des données visées à l’article 9 que des données visées à l’article 10 (présence cumulative de données de ces deux catégories) sont traitées à grande échelle et à titre d’activité de base du responsable de traitement ou du sous-traitant. Ce n’est pas l’intention du législateur. Le « et » doit se lire « ou ». Le traitement, dans les conditions de l’article 37.1. c),  soit de données « sensibles » au sens de l’article 9, soit de données « judiciaires » au sens de l’article 10 suffit à emporter la désignation obligatoire du délégué.

Le nouveau règlement ne le définit pas. Seul le considérant 91 donne quelques indications. Il est évident qu'il n'est ni possible, ni cohérent avec une approche basée sur les risques, de déterminer un nombre précis pour chaque situation, que ce soit au niveau du volume de données traitées ou du nombre de personnes concernées. Il est dès lors recommandé d'analyser les facteurs repris ci-dessous et le cas échéant de les combiner afin de déterminer si un traitement est réalisé à grande échelle ou non :

  • Le nombre de personnes concernées, le cas échéant par rapport à une population concernée ;
  • Le volume de données et l'éventail des différentes données traitées ;
  • La durée ou la permanence de l'activité de traitement ;
  • La répartition géographique de l'activité de traitement.

Attention ! La caractéristique "à grande échelle" n'est qu'une étape dans le processus destiné à déterminer si un délégué à la protection des données doit être désigné !

Exemples d'un traitement à grande échelle :

  • le traitement de données de patients dans le cadre des activités courantes d'un hôpital ;
  • le traitement d'informations de voyage de personnes qui se déplacent en transports en commun dans une ville déterminée (en les suivant par exemple via des cartes de trajet) ;
  • le traitement à des fins statistiques de données de localisation actuelles de clients d'une chaîne de restauration rapide internationale par un sous-traitant spécialisé dans ces services ;
  • le traitement de données de clients dans le cadre des activités courantes d'une compagnie d'assurance ou d'une banque ;
  • le traitement de données à caractère personnel par un moteur de recherche en vue de l'affichage de publicités sur la base du comportement de navigation ;
  • le traitement de données (contenu, flux, localisation) par des fournisseurs de services de téléphonie et d'Internet.

Exemples d'un traitement qui n'est pas considéré comme un traitement à grande échelle :

  • le traitement de données de patients par un médecin individuel ;
  • le traitement de données à caractère personnel relatives à des condamnations et infractions par un avocat individuel.

Source : section 2.1.2. des lignes directrices du Groupe 29 sur le DPO

Les activités de base d'un responsable du traitement ou d'un sous-traitant ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Les activités de base ne doivent pas être interprétées de manière restrictive.

Chaque fois que le traitement de données fait partie intégrante de l'activité du responsable du traitement ou du sous-traitant, il est question d'une activité de base). Même si elles sont nécessaires aux activités du responsable du traitement ou du sous-traitant, les activités d'appui (paiement des salaires, données liées à la gestion de la carrière) seront considérées de manière générale comme des activités auxiliaires.

Voici quelques exemples d'activités de base :

  • le traitement de données relatives à la santé dans le cadre des soins prodigués par un hôpital ;
  • les traitements de données dans le cadre de la fourniture de produits d'assurance par les compagnies d'assurance ;
  • le traitement de données par des bureaux d'intérim concernant les intérimaires inscrits chez eux ;
  • le traitement de données par des instituts d'enseignement en ce qui concerne leurs élèves ou étudiants ;
  • le traitement de données par des secrétariats sociaux en ce qui concerne les travailleurs de leurs clients.

Attention ! Les "activités de base" ne sont qu'une étape dans le processus destiné à déterminer si un délégué à la protection des données doit être désigné !

Source : section 2.1.2. des lignes directrices du Groupe 29 sur le DPD

Non. Les notions « autorité publique » et « organisme public » ne sont pas définies dans le RGPD. Ces notions devront être interprétées à l’aune du droit belge. Les cours et tribunaux belges ne sont pas concernés par cette disposition lorsqu’ils traitent des données personnelles dans l’exercice de leur fonction juridictionnelle.

Le Groupe 29 recommande, au titre de « best practice » que les entités privées qui traitent des données personnelles dans le cadre de l’exercice de missions d’intérêt public qui leur sont confiées désignent également un délégué à la protection des données et que l’activité de ce délégué couvre tous les traitements mis en œuvre, y compris ceux qui ne sont pas liés à l’exercice d’une mission publique. Cette recommandation s’appuie sur le constat qu’au regard des traitements de données opérés dans le cadre de l’exercice de missions d’intérêt public, fut-ce par des entités privées, les personnes concernées sont souvent placées dans une situation similaire à celle où leurs données sont traitées par une autorité ou un organisme publics (absence de consentement, information réduite). L’existence d’un délégué à la protection des données est un outil de protection additionnelle et de transparence accrue.

Pour plus de détails voy. la section 2.1.1. des lignes directrices.

Le RGPD (art.37)  prévoit 3 hypothèses dans lesquelles il est obligatoire de désigner un DPO.

  • Le traitement est effectué par une autorité publique  ou un organisme public  quelles que soient les données qu’ils traitent, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle (37.1.a)) ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (37.1.b)) ;
  • Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 (37.1.c)).

Le RGPD mentionne également que le législateur national peut prévoir par la voie d’une loi nationale des cas supplémentaires dans lesquels la désignation obligatoire d’un délégué doit intervenir. La Commission de la protection de la vie privée n’a pas d’information sur les intentions du législateur belge à cet égard.

NON, pas par principe. La question de savoir si le sous-traitant doit désigner un délégué à la protection des données est indépendante de celle de savoir si le responsable de traitement doit en désigner un. Plusieurs cas de figure sont ainsi susceptibles de se présenter, selon que l’un ou l’autre ou les deux tombent sous le coup des critères de désignation obligatoire d’un délégué.

Dans ce dernier cas, il est recommandé que les délégués coopèrent entre-eux. Lorsque le responsable de traitement qui est tenu de désigner un délégué fait appel à un sous-traitant qui n’en est pas tenu, la désignation d’un tel délégué par le sous-traitant est encouragée au titre de bonne pratique.

Pour plus de détails voy. la section 2.2. des lignes directrices.

Désigner un délégué à la protection des données est, selon les cas, une obligation et, le cas échéant, une faculté tant pour les responsables de traitement que pour les sous-traitant auxquels s’applique le RGPD. En conséquence, ces responsables de traitement et sous-traitants peuvent être établis en Belgique ou dans tout autre pays de l’Union européenne mais aussi au-delà des frontières de l’Union.

En effet, l’article 3.2. du RGPD (champ d’application territorial) prévoit que les responsables de traitement et les sous-traitants qui n’ont pas d’établissement sur le territoire de l‘Union doivent appliquer le RGPD lorsque a) leurs activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’Union ou b) lorsque leurs activités de traitement sont liées au suivi du comportement de ces personnes dans la mesure où il s’agit d’un comportement qui a lieu dans l’Union.

En conséquence, un responsable de traitement établi par exemple aux Etats-Unis, sans  établissement en Belgique ni dans aucun autre pays de l’Union européenne, devra appliquer le GDPR s’il offre des services ou des produits à des citoyens dans l’Union (par exemple via un site Internet  ciblé vers es consommateurs européens) et désigner un DPO si, compte tenu de ses activités de traitement de données, il tombe dans les hypothèses visées à l’article 37.1. b) ou c).