Pour évaluer la nécessité d’un DPD, les développeurs examinent les exigences de l’article 37 du RGPD. Comme celles-ci mentionnent souvent le critère de “grande échelle”, les développeurs décident d’abord d’évaluer si le traitement peut être considéré comme étant de grande échelle, en adoptant l’approche du groupe de travail Article 29.
| Évaluation du critère “grande échelle” | |
| Nombre de personnes concernées | 30 à 50 personnes concernées attendues |
| Volume de données et/ou gamme de données différentes traitées | Les données personnelles (par exemple, le nom, l’âge, etc.) et les catégories spéciales de données (empreintes palmaires) seront traitées |
| Durée ou permanence de l’activité de traitement des données | Les développeurs prévoient que l’étude durera un an |
| Étendue géographique de l’activité de traitement | Les développeurs s’attendent à ce que l’étude ait une portée locale (municipalité) |
Après l’évaluation, les développeurs décident que l’activité de traitement peut être configurée comme une activité à “grande échelle”. Même si des critères quantitatifs ne sont pas disponibles et que, par conséquent, le résultat de l’évaluation ne peut pas être considéré comme concluant, ils décident comme tel en vue de maintenir une approche plus prudente.
Après avoir évalué le critère de “grande échelle”, les promoteurs procèdent à l’évaluation de la nécessité d’un DPD.
| Exigences relatives à la désignation d’un délégué à la protection des données | ||
| “Le traitement est effectué par une autorité ou un organe public, à l’exception des tribunaux agissant dans le cadre de leur capacité judiciaire”. | ✗ | Ne s’applique pas |
| “Les activités essentielles du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle.” | ✗ | Ne s’applique pas (pas de suivi régulier ni systématique) |
| “Les activités principales du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories spéciales de données en vertu de l’article 9.” | ✓ | S’applique (catégories spéciales de données et traitement “à grande échelle”) |
| “Les activités essentielles du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des […] données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10”. | ✗ | Ne s’applique pas (pas de données personnelles liées aux condamnations pénales et aux infractions) |
| Dans tous les autres cas non énumérés par les exigences 1 à 3, “le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, lorsque le droit de l’Union ou des États membres l’exige, désignent un délégué à la protection des données”. | ✗ | Ne s’applique pas (aucune loi spécifique de l’UE ou des EM) |
Comme l’une des exigences s’applique, les développeurs décident de désigner un DPD. Le responsable du traitement des données (Developing Inc.) n’a pas de DPD désigné. Par conséquent, les développeurs procèdent à l’embauche d’un DPD.
| Régime juridique : catégories spéciales de données à caractère personnel | |||
| L’activité répond-elle à l’une des exigences relatives à un DPD ? | Oui | ✓ | La désignation d’un DPD est obligatoire |
| Non | La désignation d’un DPD est facultative | ||