Ne pas désigner de DPO peut avoir de graves conséquences légales
De façon synthétique l’article 37 du RGPD définit trois cas de désignation obligation d’un délégué à la protection des données :
- vous êtes un établissement public ou vous exercez une mission de service public
- votre activité de base (métier) vous amène à traiter des données à “grande échelle” de façon systématique et régulière
- vous traitez des données sensibles (au sens RGPD)
En cas de problème avec un tiers (client, fournisseur, collaborateur), si la CNIL venait à constater l’absence d’un délégué dans un cas où il devrait y en avoir un, les données personnelles collectées pour les traitements liés à l’application des loi Informatique & Liberté et RGPD pourraient être déclarées comme sans valeur légale ce qui pourrait entraîner la nullité du traitement.
Par exemple, un contrat conclu et exécuté pourrait être déclaré comme finalement nul.
Recommandation : si vous pensez ne pas devoir désigner un DPD/DPO, préparez dans tous les cas un document expliquant clairement sur quelles bases vous avez fondé votre décision.
Article 37.1 – Désignation du délégué à la protection des données
Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.