Feuillet Hebdo de la Revue Fiduciaire
Désigner un délégué à la protection des données
L'employeur devra également désigner un délégué à la protection des données (DPD, ou DPO pour la version anglaise : Data protection officer, dans la continuité du correspondant informatique et libertés).
Le délégué sera différent du responsable du traitement des données qui pourra être une société spécialisée externe ou une personne de la Direction.
Le texte prévoit que les entreprises ne sont pas dans l'obligation de désigner un délégué, sauf si (règlt UE 2016/679 du 27 avril 2016, art. 37) :
- le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
- les activités de base du responsable de traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base du responsable de traitement consistent en un traitement à grande échelle de données sensibles (données de santé par exemple) (voir § 4-10).
Dès lors, les services RH sont potentiellement directement concernés par la désignation d'un délégué.
Un membre du service des ressources humaines pourra être désigné DPO, en particulier dans les TPE ou PME.