Article 37 – Désignation du délégué à la protection des données

Article 37 - Désignation du délégué à la protection des données

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:
  • a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
  • b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.
2. Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l'Union ou le droit d'un État membre l'exige, sont tenus de désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39.

6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service.

7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle.


En savoir plus...

L'article 37 du RGPD réaffirme l'importance du rôle du délégué à la protection des données (DPO). Le rôle du DPO est particulièrement important pour démontrer le respect des principes de protection des données, ce qui est au cœur du principe de responsabilité (article 5, paragraphe 2, et article 24 du RGPD). Le paragraphe 1 impose aux responsables du traitement et aux sous-traitants l'obligation de désigner un délégué à la protection des données (DPO) sous certaines conditions. Le paragraphe 2 prévoit la possibilité de désigner un DPO pour l'ensemble du groupe d'entreprises, tandis que le paragraphe 3 établit une règle similaire pour les autorités publiques. Le paragraphe 4 étend l'obligation de désigner un DPO au-delà des cas spécifiés au paragraphe 1, lorsque la législation des États membres le prévoit. Les paragraphes 5 et 6 établissent des exigences de compétence pour le DPO, l'obligeant à accomplir les tâches décrites à l'article 39 et permettant que le poste soit occupé soit par des personnes faisant déjà partie du personnel du responsable du traitement ou du sous-traitant, soit par des sujets externes sur la base d'un accord contractuel. Enfin, le paragraphe 7 impose au responsable du traitement de publier les coordonnées du délégué et de les communiquer à l'autorité compétente en matière de protection des données.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Data Protection officer]
97. Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.

Droit souple

Lignes directrices et recommandations
> WP29 - Lignes directrices - Délégué à la protection des données
WP243, 13 décembre 2016, modifiées le 05 avril 2017

Guides pratiques
> CNIL - Guide pratique - Délégué à la protection des données
06 avril 2022

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

UODO (autorité polonaise)
21 janvier 2025

Amendes contre Toyota Bank (environ 135 000 euros au total) pour avoir enfreint l’indépendance de son DPO et pour non conformité du profilage réalisé

Le Président de l’UODO, Mirosław Wróblewski, a annonce aujourd’hui que les actions de Toyota Bank Polska S.A., en tant que responsable de traitement, ont conduit à une situation où le DPO n’était pas entièrement indépendant dans son travail, ce qui [...]

APD (autorité belge)
05 décembre 2024

L’autorité belge impose une amende de 25 000 euros contre l’Institut des Conseillers Fiscaux et des Comptables (ITAA)

Aujourd’hui, l’autorité belge a publié une décision de sanction à l’encontre de l’Institut des Conseillers Fiscaux et des Comptables (ITAA), anciennement le BIBF (Institut des Experts-Comptables et des Fiscalistes agréés), qui est l’entité en charge de gérer le registre publ [...]

CNIL
21 novembre 2024

Non-désignation d’un délégué à la protection des données : clôture de la procédure à l’encontre de la commune de KOUROU

La commune de KOUROU, comme toute autorité publique, a pour obligation de désigner un délégué à la protection des données (article 37 du RGPD). La CNIL lui avait rappelé cette obligation à plusieurs reprises, successivement par une mise en demeure puis par une décision de sanction simplifiée. En raiso [...]

UODO (autorité polonaise)
19 novembre 2024

Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique

Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de Częstochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omi [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu
Retour en haut