Parmi les nombreuses obligations, à destination des entreprises, issues du Règlement Général pour la Protection des Données, il y en a une dont Rapidata GmbH, une petite entreprise allemande d’informatique se souviendra longtemps.
Ce 9 décembre dernier, l’autorité de la protection des données allemandes, le BfDI, a en effet décidé de passer à l’action et d’infliger une amende de 10.000 euros à la société pour avoir manqué à son obligation de nommer un Délégué à la Protection des Données (Data Protection Officer ou DPO en anglais) malgré plusieurs rappels de l’autorité.
Si l’amende peut sembler légère au vu des montants astronomiques présents dans les textes, il faut savoir que celle-ci est proportionnelle à la petite taille de l’entreprise (80.000 euros de Ch. Aff. en 2017). En effet, dans la même décision, le BfDI annonce aussi une amende de 9.550.000 d’euros pour 1&1 Telecom GmbH , une entreprise de télécommunication allemande qui ne sécurisait pas suffisamment les données de ses clients. L’autorité précise cependant que, grâce à la coopération complète de l’entreprise, le montant de l’amende, originalement plus élevé, a été rabaissé pour n’être « que » de 10 millions d’euros.
Nommer un DPO est-il toujours une obligation ?
L’une des raisons principales de l’absence de DPO dans la plupart des entreprises soumises à l’obligation est généralement due à une mauvaise compréhension de la loi plutôt qu’à une volonté d’enfreindre cette dernière. Les nombreux critères et exceptions présents dans le texte ne facilitant pas la tâche aux non-initiés…
Certaines entreprises et organismes sont toujours soumis à cette obligation, on parle ici des institutions et organismes publiques et des entreprises traitant de données sensibles comme les données médicales ou biométriques.
Déjà sur ce point les définitions se font larges : en Belgique sont considérés comme organismes publiques non seulement les acteurs évidents, comme l’administration régionale ou communale, mais aussi tout organisme d’intérêt public et majoritairement subventionné ou contrôlé par l’administration publique. On retrouve donc dans cette catégorie la grande majorité des ASBL gérées par des particuliers mais subventionnées par les communes ou les régions.
Pour les entreprises qui traitent des données plus anodines de leurs clients, l’obligation peut démarrer à partir du moment où celles-ci sont traitées de façon régulière, systématique et à grande échelle.
Qu’est-ce qu’un traitement à grande échelle?
A nouveau, les définitions du texte légal sont de peu de secours aux entreprises cherchant à évaluer leurs obligations. La notion de « Grande échelle » n’est pas définie dans les textes. A partir de combien de clients l’obligation prend-elle cours ? Doit-on d’ailleurs parler de nombre de personnes touchées par les traitements ou du nombre d’informations traitées sur chacune d’entre-elles ? Aucun chiffre concret n’existe actuellement et l’évaluation s’effectue généralement au cas par cas.
Le groupe de travail article 29 évoque plusieurs cas concrets ou le DPO est obligatoire comme pour « le traitement à des fins statistiques de données de localisation actuelles de clients d’une chaîne de restauration rapide internationale par un sous-traitant spécialisé dans ces services » ou « le traitement de données de clients dans le cadre des activités courantes d’une compagnie d’assurance ou d’une banque ».
Il exempte par ailleurs de cette obligation plusieurs cas comme « le traitement de données de patients par un médecin individuel » ou « le traitement de données à caractère personnel relatives à des condamnations et infractions par un avocat individuel. »
L’on comprend évidemment qu’entre la chaîne de restauration internationale et le cabinet de médecin unipersonnel, une multitude d’entreprises et d’institutions de toutes tailles se retrouvent sans réponse concrète sur leur obligation ou non de nommer un DPO.
L’Autorité de Protection des Données belge recommande évidement à toutes les entreprises et institutions de nommer un DPO dans une optique de « Best Practice » mais la pratique et la doctrine devront continuer à débattre de la question avant que l’APD ne puisse publier des « guidelines » plus claires.
Retrouvez les réponses de l’APD aux questions les plus couramment posées autour de l’obligation de nommer un DPO sur : https://www.autoriteprotectiondonnees.be/faq-themas/quand-d%C3%A9signer-un-d%C3%A9l%C3%A9gu%C3%A9-%C3%A0-la-protection-des-donn%C3%A9es
Pour plus d’informations sur le RGPD, sur la protection des données ou sur l’impact de ces nouveaux règlements sur votre entreprise, n’hésitez pas à nous contacter ou à nous rencontrer lors d’une entrevue sans engagements : https://digi-lex.be/index.php/contact/
Ping :L'APD rappelle l'importance de l'indépendance du DPO en prenant la décision de sanctionner Proximus. | Digilex