Feuillet Hebdo de la Revue Fiduciaire
Désigner, ou non, un délégué à la protection des données
Il peut être difficile pour une société de savoir si elle entre dans le périmètre des sociétés soumises à l'obligation de désigner un délégué à la protection des données (voir § 3-9).
Elle peut notamment se demander si elle doit être considérée comme une société dont les activités de base l'amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
Lorsque l'entreprise a un doute, elle peut recourir, pour l'aider dans son analyse, aux lignes directrices du G29 qui constituent un guide pour l'interprétation du règlement (le G29 est un groupe de travail au niveau européen rassemblant les représentants de chaque autorité indépendante de protection des données nationales). Ainsi, à propos de la notion d'« activités de base », le G29 précise, concernant la rémunération des employés, que, bien que ces activités soient nécessaires ou essentielles, elles sont généralement considérées comme des fonctions auxiliaires plutôt que comme l'activité de base.
La désignation d'un délégué n'est donc absolument pas systématique.
• L'entreprise qui décide de désigner un délégué, qu'elle ait l'obligation de le faire ou qu'elle décide volontairement de le faire, devra respecter l'ensemble des textes concernant le délégué, notamment son indépendance et l'absence de conflit d'intérêts.
• L'entreprise qui décide de ne pas désigner un délégué a tout intérêt à disposer en interne d'un référent sensibilisé à ces questions et capable de gérer les demandes afférentes, que celles-ci émanent d'un client, d'un employé, d'une autorité de protection ou d'un tiers.