Laura Slootmaeckers - 23 jan 2017

Depuis la publication officielle du RGPD, une foule de choses ont déjà été modifiées ou clarifiées. La réglementation concernant le DPD ou Délégué à la protection des données s’accompagne de directives propres émanant du groupe de travail « article 29 », un organe consultatif européen. Voici un résumé des principaux éléments et clarifications. Car il n’est pas toujours évident de savoir si un DPD doit être désigné ou non.

Groupe de travail « article 29 » : de quoi s’agit-il ?

G29, ou le groupe de travail article 29, est un organe consultatif composé de représentants de chaque pays de l’UE, de représentants des institutions européennes et d'un représentant de la Commission européenne.

Les documents qu'il publie, donc également les directives sur le DPD, traduisent leur avis et non la position officielle de la Commission européenne. Le G29 est une plateforme de coopération dont les responsabilités sont les suivantes :

  • Donner des conseils en matière de protection des données provenant du niveau national à la Commission européenne.
  • Donner des conseils à la Commission européenne à propos de tout droit commun européen ayant une influence sur le droit à la protection des données.

En décembre 2016, il a publié ses directives concernant l’introduction du Délégué à la protection des données. L’obligation de désignation d’un DPD est l’un des changements les plus importants du RGPD mais ne s’applique pas à tout le monde. Il y a des critères auxquels une organisation doit répondre. Découvrez-en davantage à propos du Délégué à la protection des données, de ses fonctions et des modalités pratiques dans notre article de blog.

Concrétisation des conditions

Une condition importante reprise dans la Directive du G29 est qu’une entreprise doit s'occuper du traitement de données à caractère personnel de plus de 5 000 personnes concernées par an. Il ne s’agit également plus d'une condition spécifique du RGPD. Au lieu de cela, la directive clarifie les autres conditions.

Condition 1 : le traitement est exécuté par une autorité publique ou instance gouvernementale.

Le RGPD ne spécifie pas ce qu'il y a lieu d’entendre par « autorité publique ou instance gouvernementale ». La directive stipule que l’autorité régionale doit définir cette notion. Il y a en outre plusieurs tâches publiques qui ne sont pas exécutées (seulement) par les instances publiques, mais également par d’autres personnes physiques ou morales qui respectent des droits publics ou privés.

Dans de tels cas, les personnes concernées peuvent avoir besoin de la protection supplémentaire qu’un DPD peut offrir. Elles ne peuvent en effet pas toujours choisir la manière dont se déroule le traitement des données et la raison de celui-ci. Même s'il n’est pas question de désignation obligatoire de DPD, le G29 la recommande vivement.

Condition 2 : les activités principales du sous-traitant ou responsable du traitement se composent d’activités de traitement pour lesquelles un contrôle régulier et systématique des personnes concernées à grande échelle est nécessaire.

Le terme « activités de base » fait référence aux activités principales et n’a rien à voir avec le traitement de données à caractère personnel comme activité secondaire. Cela n’exclut cependant pas les activités dans lesquelles le traitement des données est intrinsèquement lié aux activités du sous-traitant ou responsable du traitement. Le défi consiste ici à faire une distinction entre les « activités secondaires », comme des fonctions de support nécessaires dans une entreprise, et les « activités intrinsèquement liées », comme le traitement des données dans une société de sécurité.

Le support informatique est un exemple de fonction de support d'une entreprise qui est essentiel mais ne fait pas partie de l’activité de base.

Le terme « à grande échelle » n’est pas expliqué en plus amples détails dans le RGPD, mais plusieurs directives ont rectifié cela. Il est impossible de coller un nombre exact à la quantité de données traitées ou à la quantité de personnes concernées. Les situations sont très diverses. Il est cependant attendu que, à mesure que le temps passe, une norme soit établie pour les activités de traitement fréquentes. Le G29 va également publier des exemples pratiques pertinents. Pour déterminer s’il est question de « grande échelle », le Groupe de travail recommande de tenir compte des éléments suivants :

  • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ;
  • le volume des données ;
  • la durée des activités de traitement ;
  • l’étendue géographique des activités de traitement.

La notion de suivi régulier et systématique des personnes concernées n’est pas définie dans le RGPD, mais celle de « contrôle des personnes concernées » est mentionnée au considérant 24, et inclut clairement toutes les formes de suivi et de profilage sur Internet, y compris à des fins de publicité comportementale.

Le G29 interprète le terme « régulier » comme recouvrant une ou plusieurs des significations suivantes :

  • continu ou se produisant à intervalles réguliers au cours d’une période donnée ;
  • récurrent ou se répétant à des moments fixes ;
  • ayant lieu de manière constante ou périodique.

Le G29 interprète le terme « systématique » comme recouvrant une ou plusieurs des significations suivantes :

  • se produisant conformément à un système ;
  • préétabli, organisé ou méthodique ;
  • ayant lieu dans le cadre d’un programme général de collecte de données ;
  • effectué dans le cadre d’une stratégie.

Condition 3 : les activités de base du responsable du traitement ou sous-traitant se composent du traitement de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et infractions à grande échelle.

Le RGPD stipule qu'il convient de satisfaire aux deux critères (catégories particulières de données et données à caractère personnel relatives à des condamnations pénales et à des infractions), mais en réalité, il convient de comprendre la condition cumulative comme un ou.

DPD du sous-traitant et du responsable du traitement

Cette condition s’applique aussi bien au responsable du traitement qu’au sous‑traitant. Dans certains cas, un seul d’entre eux doit désigner un DPD, et dans d’autres, les deux doivent le faire. Même si le responsable répond aux conditions de nomination d’un DPD, il n’est pas certain que le sous-traitant y soit également tenu.

Coordonnées du DPD : publication

Conformément au RGPD, le responsable du traitement et le sous-traitant des données doivent :

  • Publier les coordonnées du DPD
  • et communiquer ces coordonnées à l’autorité de contrôle compétente.

Ces exigences visent à garantir que les personnes concernées et les autorités de contrôle puissent prendre contact de manière confidentielle avec le DPD sans devoir s’adresser à un autre service de l’organisme. De quelles données s’agit-il ?

  • Une adresse postale
  • Un numéro de téléphone spécifique
  • Une adresse de courrier électronique spécifique

Le RGPD n’exige pas que les coordonnées publiées incluent le nom du DPD. Le G29 recommande également que tout organisme communique le nom et les coordonnées du DPD à ses employés.