Les DPD jouent un rôle crucial lors de la conception et de la mise en œuvre des activités de traitement des données dans le respect du RGPD. Ils constituent une autre garantie que le RGPD rend obligatoire à certaines occasions et, en général, il est recommandé de nommer une telle personnalité. Le groupe de travail Article 29 considère qu’il s’agit “d’une pierre angulaire de la responsabilité et que la nomination d’un DPD peut faciliter la conformité”.^[1]

L’article 37, paragraphe 1, du RGPD ^[2] indique quand les responsables du traitement et les sous-traitants doivent désigner un DPD. Dans le cas des dispositifs et systèmes de localisation et de proximité, la désignation d’un DPD sera très probablement nécessaire, car la plupart d’entre eux traitent des données à caractère personnel d’une manière qui peut nécessiter un suivi régulier des personnes concernées à grande échelle, ou qui peut être effectué par les autorités publiques.

Il serait utile que la réglementation de chaque État membre relative à la nécessité de désigner un DPD élargisse la liste des activités qui exigent la désignation d’un DPD ou, au moins, fournisse des exemples clairs qui pourraient aider à interpréter quelles activités de traitement des données effectuées par les responsables du traitement et les sous-traitants exigent une telle désignation.

Si un DPD doit être désigné, pour l’une des raisons mentionnées ci-dessus, il est nécessaire d’avoir sa participation dès le début du projet, comme la rédaction d’une AIPD (requise par l’article 39, paragraphe 1, point c)) ainsi que toute autre question liée à la protection des données au sein de l’entité (comme prescrit par l’article 39, paragraphe 1, point a)). Cela peut inclure l’examen d’un sous-traitant potentiel, comme décrit dans le point précédent.

Liste de contrôle : DPD  Les responsables du traitementont vérifié si l’institution a déjà nommé un DPD.  Si ce n’est pas le cas, ils ont vérifié auprès du service juridique si les activités de traitement des données envisagées nécessitent la désignation d’un DPD, en examinant les interprétations européennes faisant autorité, les réglementations locales, les interprétations locales faisant autorité et la jurisprudence nationale et européenne pertinente.  Les responsables du traitementont exigé la nomination d’un DPD si nécessaire, et son implication dans le processus de développement de l’outil si nécessaire.  En règle générale, le DPD doit être informé de chaque démarche entreprise afin de pouvoir intervenir s’il le juge utile.

 

1. Groupe de travail Article 29 (2017) Lignes directrices sur les délégués à la protection des données (“DPD”), p.4. Commission européenne, Bruxelles. ↑
2. Article 37. Désignation du délégué à la protection des données. 1. Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas où : (a) le traitement est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leurs fonctions juridictionnelles ; b) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle ; ou c) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements à grande échelle de catégories particulières de données conformément à l’article 9 et de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l’article 10. ↑