Réponse

Votre entreprise/organisation doit nommer un DPD, qu'elle soit responsable du traitement ou sous-traitant, si ses activités de base impliquent le traitement à grande échelle de données sensibles ou impliquent un suivi régulier et systématique à grande échelle des personnes concernées. Dans ce contexte, la surveillance du comportement des personnes concernées inclut toutes les formes de suivi et de profilage sur l’internet, y compris à des fins de publicité comportementale.

Les administrations publiques ont toujours l’obligation de nommer un DPD (à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle).

Le DPD peut être un membre du personnel de votre organisation ou faire l’objet d’un contrat externe, sur la base d’un contrat de service. Un DPD peut être une personne ou une organisation.

Exemples

DPD obligatoire
Un DPD est obligatoire quand, par exemple, votre entreprise/organisation est:

  • un hôpital qui traite de grands ensembles de données sensibles;
  • une entreprise de sécurité chargée de surveiller des centres commerciaux et des espaces publics;
  • une petite entreprise de recrutement qui dresse le profil de personnes.

DPD pas obligatoire
Un DPD n’est pas obligatoire si:

  • vous êtes un médecin local et vous traitez les données à caractère personnel de vos patients;
  • vous gérez un petit cabinet d’avocats et vous traitez les données à caractère personnel de vos clients.

Références

  • Groupe de travail «Article 29», Lignes directrices concernant les délégués à la protection des données, 5 avril 2017 (WP 243)
  • Articles 37, 38 et 39 et considérant 97) du RGPD