Article 37 Désignation du délégué à la protection des données

Les cas de désignation obligatoire du DPO

L'article 37 identifie trois situations dans lesquelles la désignation d'un DPO est obligatoire. La première concerne les autorités publiques et organismes publics, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle. Cette catégorie inclut les administrations de l'État, les collectivités territoriales, les établissements publics et tout organisme chargé d'une mission de service public. L'obligation s'applique quelle que soit la nature ou l'ampleur des traitements réalisés.

Le deuxième cas vise les responsables de traitement et sous-traitants dont les activités de base consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées. Cette situation concerne notamment les plateformes numériques, les entreprises de publicité ciblée, les opérateurs de télécommunications ou encore les acteurs de l'assurance et de la banque effectuant du scoring ou du profilage à grande échelle.

Le troisième cas concerne les organisations dont les activités de base consistent en un traitement à grande échelle de données sensibles au sens de l'article 9 du RGPD (données de santé, données biométriques, données relatives à l'origine raciale ou ethnique, etc.) ou de données relatives à des condamnations pénales et infractions au sens de l'article 10. Cette catégorie inclut par exemple les établissements de santé, les laboratoires d'analyses médicales ou les organismes de sécurité sociale.

La notion d'activités de base

Le concept d'activités de base est central pour déterminer l'obligation de désigner un DPO dans les deuxième et troisième cas énumérés à l'article 37. Les activités de base sont celles qui sont essentielles à la réalisation des objectifs du responsable du traitement ou du sous-traitant. Elles se distinguent des activités accessoires, telles que la gestion des ressources humaines ou la gestion informatique interne.

Ainsi, pour un hôpital, le traitement de données de santé des patients constitue une activité de base, tandis que la gestion de la paie des salariés est une activité accessoire. À l'inverse, pour un éditeur de logiciel de ressources humaines agissant en tant que sous-traitant, le traitement de données de gestion du personnel constitue son activité de base. Le Comité européen de la protection des données (CEPD) a précisé cette notion dans ses lignes directrices WP 243.

La notion de traitement à grande échelle

La notion de traitement à grande échelle est également déterminante pour apprécier l'obligation de désignation d'un DPO. Le RGPD ne fixe pas de seuil chiffré, mais le CEPD recommande de prendre en compte plusieurs critères cumulatifs : le nombre de personnes concernées, le volume de données traitées, la durée du traitement, l'étendue géographique du traitement et l'impact potentiel sur les personnes concernées.

Par exemple, un traitement portant sur plusieurs milliers de personnes, réalisé de manière continue sur plusieurs années et couvrant plusieurs régions ou pays, sera généralement considéré comme un traitement à grande échelle. À l'inverse, un traitement portant sur quelques dizaines de personnes dans un cadre local et ponctuel ne sera généralement pas qualifié de traitement à grande échelle.

Modalités de désignation du DPO

Le DPO peut être un membre du personnel interne de l'organisation ou exercer ses missions dans le cadre d'un contrat de service externe. Dans ce second cas, il peut s'agir d'une personne physique externe ou d'un organisme proposant des services de DPO mutualisés. Cette flexibilité permet aux petites structures ou aux organismes dépourvus de ressources internes spécialisées de satisfaire à leur obligation de désignation.

L'article 37 autorise également la désignation d'un DPO unique pour un groupe d'entreprises, à condition qu'il soit facilement joignable à partir de chaque établissement. Cette disposition permet de mutualiser la fonction DPO au sein de groupes structurés, sous réserve que le DPO dispose des moyens nécessaires pour assurer efficacement ses missions dans toutes les entités du groupe.

De même, plusieurs autorités publiques ou organismes publics peuvent désigner un DPO commun, compte tenu de leur structure organisationnelle et de leur taille. Cette possibilité est particulièrement utilisée par les collectivités territoriales de petite taille ou les établissements publics partageant des missions similaires.

Qualités professionnelles requises

Le DPO doit être désigné sur la base de ses qualités professionnelles, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions définies à l'article 39 du RGPD. Ces qualités incluent une expertise juridique en droit de la protection des données, une connaissance des technologies de l'information, une compréhension des activités de traitement de l'organisation et une capacité d'analyse des risques.

Le niveau d'expertise requis doit être proportionné à la complexité et à la sensibilité des traitements réalisés par l'organisation. Un organisme public traitant des données à grande échelle ou des données sensibles devra désigner un DPO disposant d'une expertise juridique et technique approfondie, tandis qu'une petite structure pourra se contenter d'un niveau de compétence moins élevé, sous réserve qu'il soit adapté à ses besoins.

Articulation avec les autres dispositions du RGPD

L'article 37 s'articule étroitement avec les articles 38 et 39 du RGPD, qui définissent respectivement le statut du DPO et ses missions. La désignation d'un DPO impose au responsable du traitement et au sous-traitant de respecter l'indépendance du DPO, de lui fournir les moyens nécessaires à l'exercice de ses missions et de garantir l'absence de conflit d'intérêts.

La désignation d'un DPO a également des implications sur d'autres obligations du RGPD, notamment l'obligation de réaliser une analyse d'impact relative à la protection des données (AIPD) prévue à l'article 35, dans le cadre de laquelle le DPO doit être consulté. De même, le DPO est le point de contact privilégié avec l'autorité de contrôle dans le cadre des procédures de contrôle, de consultation préalable ou de gestion des violations de données.

Jurisprudence relative à l'article 37

Plusieurs autorités de contrôle européennes ont sanctionné des responsables de traitement pour défaut de désignation d'un DPO alors que les conditions de l'article 37 étaient réunies. La CNIL française a notamment prononcé plusieurs rappels à l'ordre et avertissements à l'encontre d'organismes publics et d'entreprises privées n'ayant pas désigné de DPO malgré leur obligation légale. Ces décisions rappellent que l'absence de désignation d'un DPO constitue un manquement distinct et sanctionnable, indépendamment d'autres infractions au RGPD.

La jurisprudence administrative française a également précisé que l'obligation de désignation d'un DPO s'applique à l'ensemble des autorités publiques et organismes publics, y compris les collectivités territoriales de petite taille, sans seuil minimal d'effectif ou de volume de données. Cette interprétation stricte traduit la volonté du législateur européen de garantir un niveau élevé de protection des données dans le secteur public.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices WP 243 relatives aux délégués à la protection des données, qui précisent les conditions de désignation, les qualités professionnelles requises et les modalités de mutualisation de la fonction DPO. Ces lignes directrices constituent la référence interprétative de l'article 37 et sont reprises par les autorités de contrôle nationales.

La CNIL recommande aux organisations de procéder à une analyse précise de leurs activités de traitement pour déterminer si elles entrent dans l'un des trois cas de désignation obligatoire du DPO. Elle encourage également les responsables de traitement et sous-traitants à désigner un DPO de manière volontaire, même en l'absence d'obligation légale, afin de renforcer leur gouvernance des données et de bénéficier de l'expertise d'un professionnel spécialisé.

La CNIL insiste également sur l'importance de publier les coordonnées du DPO de manière visible et accessible, notamment sur le site internet de l'organisation et dans les mentions d'information des personnes concernées, afin de faciliter l'exercice des droits et le dialogue avec l'autorité de contrôle.

Implications pratiques pour les responsables de traitement

Pour les organisations, l'article 37 impose une analyse préalable de leurs activités de traitement afin de déterminer si elles entrent dans l'un des cas de désignation obligatoire du DPO. Cette analyse doit porter sur la nature des traitements (secteur public, suivi régulier et systématique, données sensibles), l'ampleur des traitements (grande échelle) et le caractère central ou accessoire de ces traitements dans les activités de l'organisation.

En cas de désignation obligatoire, l'organisation doit identifier un profil disposant des qualités professionnelles requises, que ce soit en interne ou en externe, formaliser la désignation par écrit et publier les coordonnées du DPO. Elle doit également veiller à garantir l'indépendance et les moyens du DPO conformément aux exigences de l'article 38, sous peine de sanctions en cas de contrôle de l'autorité compétente.