📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 37 du RGPD : Désignation du délégué à la protection des données

Sommaire

Comprendre l’article 37

L’article 37 du RGPD précise les conditions de désignation d’un DPO (Data Protection Officer), aussi appelé DPD (Délégué à la Protection des Données) en français.

La désignation d’un DPO n’est pas systématique. Elle devient obligatoire dans les cas suivants :

  • Le traitement est effectué par une autorité publique ou un organisme public (hors juridictions dans l’exercice de leurs fonctions).
  • Les traitements exigent, par leur nature, leur portée ou leur finalité, un suivi régulier et systématique des personnes à grande échelle.
  • Les traitements portent sur des données sensibles ou relatives à des infractions ou condamnations pénales, également à grande échelle.

Le DPO doit être désigné en fonction de ses compétences professionnelles, de sa connaissance du droit en matière de protection des données et de sa capacité à remplir les missions qui lui incombent. Il n’existe pas de certification obligatoire pour exercer cette fonction.

Le DPO peut être un salarié interne ou un prestataire externe agissant dans le cadre d’un contrat de service.

Une fois désigné, ses coordonnées doivent être publiées et transmises à l’autorité de contrôle (en France, la CNIL).

Il est possible de mutualiser la fonction :

  • Un groupe d’entreprises peut nommer un DPO unique pour plusieurs entités, à condition qu’il reste facilement joignable pour chacune.
  • Les collectivités territoriales ou organismes publics peuvent également partager un DPO, en fonction de leur taille et organisation.

Enfin, même si la désignation n’est pas obligatoire, toute structure peut choisir de nommer un DPO à titre volontaire. Dans ce cas, la déclaration auprès de la CNIL reste facultative.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 37 du RGPD

  1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:      a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
  2. Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.
  3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.
  4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l’Union ou le droit d’un État membre l’exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.
  5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.
  6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.
  7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l’autorité de contrôle.

Jurisprudence

Aucune jurisprudence sur cet article !

Mon Expert RGPD accompagne les entreprises de toutes tailles. Trouvez votre DPO externe dès aujourd’hui.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.