Qu’ils soient responsables de traitement ou sous-traitants, la désignation d’un délégué est obligatoire pour :
• les autorités ou organismes publics (à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles) ;
• les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique de personnes à grande échelle ;
• les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
Un organisme qui n’aurait pas désigné de DPO lorsque cette désignation est obligatoire s’exposerait à une sanction de la CNIL, qui pourrait notamment prendre la forme d’un rappel à l’ordre, d’une injonction à se mettre en conformité ou d’une amende administrative pouvant s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
TEXTES OFFICIELS
Sur cnil.fr :
• Article 37.5 du RGPD sur les connaissances et compétences du délégué.
• Article 38.6 du RGPD sur l’absence de conflit d’intérêts.
• Lignes directrices du CEPD relatives au délégué à la protection des données
(p.13 et suivantes ; p. 19 et suivantes)