L’article 37 du Règlement général sur la protection des données (RGPD) impose aux sociétés de désigner un délégué à la protection des données (DPD en français ou, DPO pour Data Protection Officier en anglais) lorsque :
- le traitement est réalisé par une autorité publique ou un organisme public, à l’exception des tribunaux ; ou
- les activités de base de la société consistent en des opérations, qui en raison de leur nature, de leur étendue ou de leurs finalités, requièrent le suivi régulier et systématique de données à une large échelle ; ou
- les activités de base de la société consistent à traiter à une large échelle des données sensibles ou relatives à des condamnations ou infractions.
Néanmoins, de nombreuses entreprises décident de désigner un DPO, bien qu’elles ne se situent dans aucun des cas de désignation obligatoire susmentionnés.
Debora Cohen a publié un article sur cette fonction, de DPO d’une société, dans l’édition n°78 du numéro droit des NTIC, Informatique, marques, brevets, RGPD du Journal du Management juridique du Village de la Justice.
Vous pouvez lire l’article à la page 26 du journal accessible à la page suivante : calameo ou au format PDF accessible ici.