Il est obligatoire de nommer un Délégué à la Protection des Données uniquement dans certains cas.

Le RGPD[1] indique qu’un Délégué à la Protection des Données doit obligatoirement être nommé pour :

  • Les autorités et organismes publics ;
  • Les entreprises qui effectuent des opérations nombreuses sur un grand nombre de personnes ;
  • Les entreprises qui traitent des données « sensibles ».

« Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

— RGPD, article 37-1, désignation du délégué à la protection des données

Les entreprises qui n’ont pas l’obligation de nommer un Délégué à la Protection des Données (DPD) peuvent toutefois le faire pour faciliter l’implémentation des mesures exigées par le RGPD et faciliter la relation avec les utilisateurs et autorités. Le DPD devra cependant appliquer toutes les exigences[2] du RGPD.

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD définit les contraintes et les missions du Délégué à la Protection des Données. Voir « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? ».