Nommer un délégué à la protection des données
Home » Biométrie » Exposition et directives étape par étape » Phase de préparation » Nommer un délégué à la protection des données

Le délégué à la protection des données (DPD) aide le responsable du traitement ou le sous-traitant à se conformer aux normes de protection des données. L’article 37 du RGPD rend obligatoire la nomination d’un DPD dans cinq cas spécifiques.

Exigences relatives à la désignation d’un délégué à la protection des données
Exigence 1 “Le traitement est effectué par une autorité ou un organisme public, à l’exception des tribunaux agissant dans le cadre de leur capacité judiciaire”, article 37.1 du RGPD.
Exigence 2 “Les activités essentielles du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle”, article 37.1 du RGPD.
Exigence 3 “Les activités principales du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données conformément à l’article 9”, article 37.1 du RGPD.
Exigence 4 “Les activités essentielles du responsable du traitement ou du sous-traitant consistent à traiter à grande échelle des […] données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10”, article 37.1 du RGPD.
Exigence 5 “[L]e responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent ou, lorsque le droit de l’Union ou des États membres l’exige, désignent un délégué à la protection des données”, article 37.4 du RGPD.

Les exigences 1 et 3 sont particulièrement pertinentes pour ce document. L’exigence 1 est pertinente car il n’est pas rare que les institutions de recherche soient des organismes publics, comme dans le cas des hôpitaux publics et des universités publiques. Lorsqu’un tel scénario s’applique, l’article 37.3 du RGPD prévoit qu'”un seul délégué à la protection des données peut être désigné pour plusieurs de ces autorités ou organismes”. Par exemple, les hôpitaux publics pourraient ne pas avoir désigné de DPD mais pourraient s’appuyer sur le DPD pour assurer leur service. L’exigence 3 est pertinente car elle mentionne le traitement de catégories spéciales de données à caractère personnel – telles que les données biométriques – comme l’un des trois critères pour la désignation obligatoire d’un DPD. Les deux autres critères s’appliquent lorsque le traitement des données à caractère personnel a lieu dans le cadre d’une activité principale et est réalisé à grande échelle. Les termes “activités principales” et “grande échelle” ne sont pas explicitement définis dans le RGPD. Le groupe de travail Article 29 (WP29) fournit toutefois des orientations interprétatives dans ses lignes directrices sur les délégués à la protection des données. Ainsi, les activités essentielles sont des “opérations clés pour atteindre les objectifs du responsable du traitement ou du sous-traitant”[1] , ce qui exclut les activités de soutien ou auxiliaires. Dans le contexte de la recherche et de l’innovation en matière de TIC, il peut s’agir de toute activité directement liée à l’exécution de la recherche en matière de TIC et à la réalisation de l’innovation en matière de TIC, comme dans le cas du développement d’un système biométrique. Quant au critère de l’échelle, le WP29 le lie au “nombre de personnes concernées – soit en tant que nombre spécifique, soit en tant que proportion de la population concernée -, au volume de données et/ou à l’éventail des différents éléments de données traités, à la durée ou à la permanence de l’activité de traitement des données, [et] à l’étendue géographique de l’activité de traitement”[2] .

Si la désignation d’un DPD est nécessaire, elle doit intervenir le plus tôt possible. En effet, l’article 39.1(a) du RGPD stipule que l’une des responsabilités du DPD est d’informer et de conseiller le responsable du traitement des données pendant toutes les étapes de la recherche. Par conséquent, obtenir l’assistance d’un DPD le plus tôt possible garantit que les chercheurs reçoivent des conseils adéquats sur la manière de répondre aux exigences de conformité.

Les coordonnées du DPD doivent être publiées et mises à la disposition des personnes concernées.

 

 

  1. Article 29 Data Protection Working Party, ‘Guidelines on Data Protection Officers (“DPOs”)’, April 2017, 20.
  2. Article 29 Data Protection Working Party, 21.

 

Aller au contenu principal