Oui, il est obligatoire de nommer un Délégué à la Protection des Données, mais uniquement dans certains cas précis.

Le RGPD1 indique qu’un Délégué à la Protection des Données (DPO) doit obligatoirement être nommé pour :

  • Les autorités et organismes publics ;
  • Les entreprises qui effectuent des opérations nombreuses sur un grand nombre de personnes ;
  • Les entreprises qui traitent des données « sensibles ».

« Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

— RPGD, article 37, désignation du délégué à la protection des données

Les entreprises qui n’ont pas l’obligation d’en nommer et qui traitent des données à caractère personnel sont cependant encouragées à le faire pour faciliter l’implémentation des mesures exigées par le RGPD et faciliter la relation avec les utilisateurs et autorités.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).