Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 197

Doctrine

Données personnelles
Les guidelines
du G29 sur le DPO
Les lignes directrices étaient annoncées depuis longtemps tant
les questions autour du DPO (Data Protection Officer) prévu par le
règlement général sur la protection des données personnelles (le
GDPR) sont nombreuses. Les guidelines adoptées le 5 avril 2017 par
le G29, le groupement des Cnil européennes, apportent des précisions
attendues sur les obligations de nomination d'un délégué à la
protection des données ainsi que les conditions de qualification et
de disponibilité. Il s'agit d'une étape importante pour permettre aux
entreprises de mettre en place une organisation et une gouvernance
appropriée en matière de protection des données personnelles.
Plusieurs questions restent cependant en suspens.

L

a section 4 du GDPR prévoit que
les responsables de traitements
ainsi que les sous-traitants dont
les activités correspondent aux
critères suivants sont tenus de désigner
un DPO :
■ les autorités publiques ou organismes publics (le G29 renvoie la
définition de ces notions aux droits
nationaux des Etats membres) ;
■ les responsables de traitement ainsi
que les sous-traitants dont les activités de base les amènent à réaliser
un suivi régulier et systématique à
grande échelle des personnes ;
■ les responsables de traitement ainsi
que les sous-traitants dont les activités de base les amènent à réaliser
des traitements à grande échelle de
données sensibles et de données
relatives à des condamnations et
infractions pénales.

Le GDPR laisse également la possibilité
aux Etats membres d'imposer la désignation d'un DPO à d'autres catégories d'entreprises. Le G29 apporte des précisions
permettant de mieux cerner les notions
centrales qui conditionnent l'obligation de
désignation d'un DPO :
■ la notion d'activité de base (« core
activities« ) ;
■ la notion de traitement « à grande
échelle« .

Ces précisions étaient attendues. Il semble
cependant que le G29 ait souhaité étendre
le nombre des entreprises soumises à
l'obligation de désignation d'un DPO en
adoptant des critères de définition larges,
de sorte qu'il est possible que le nombre
d'entreprises concernées soit in fine plus
important que ce qui était initialement
envisagé lors de l'adoption du GDPR.

La notion d'activité de base
s'étend au-delà du cœur de
métier de l'organisation visée
Le G29 considère que les « activités de
base » visées dans le Règlement couvrent
l'ensemble des opérations nécessaires
à l'organisme pour réaliser ses objectifs, c'est-à-dire l'ensemble des activités
dans lesquelles le traitement de données
personnelles constitue une part inextricable de l'activité du responsable de
traitement ou du sous-traitant concerné.
A titre d'exemple, le G29 cite l'activité
d'un hôpital, qui est de fournir des soins.
Cependant, l'hôpital ne peut fournir de
soin aux patients de manière efficace
et en toute sécurité sans effectuer de
traitements des données de santé des
patients tels que leur dossier médical.
Dans cet exemple, le G29 considère que
ce traitement de données constitue une
activité de base de l'hôpital. A ce titre, ce
dernier devra désigner un DPO. Le G29
cite également l'exemple d'une société

EXPERTISES MAI 2017

de sécurité dont le cœur de métier est de
fournir des prestations de surveillance de
lieux publics ou privés, activité inextricablement liée au traitement de données
personnelles. Cette entreprise sera également tenue de désigner un DPO.
A l'inverse, bien que la gestion de
ressources humaines de même que les
activités classiques de gestion du système
d'information d'un organisme soient
indispensables, ces activités doivent être
considérées comme accessoires et non
comme des activités de base.
Aussi, les responsables de traitements
et sous-traitants ne seront pas tenus de
désigner un DPO lorsque les traitements
de données qu'ils mettent en œuvre
se limitent à ces activités qualifiées
d'accessoires.

Notion de traitement à grande
échelle
La notion de traitement à grande échelle
qui figure pourtant au centre de l'obligation de désignation d'un DPO n'est pas
définie par le Règlement. Certaines indications figurent dans les considérants
relatifs à l'obligation de mener une étude
d'impact mais ne sont pas intégralement
transposables au DPO.
Le G29 ne donne pas d'indication chiffrée
sur le nombre de personnes concernées
par un traitement de données ou sur la
quantité de données traitées permettant

197



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424

Couverture
Editorial & Sommaire
FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
DOCTRINE
DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - FOCUS DONNÉES PERSONNELLES FAIS CE QUE JE DIS, PAS CE QUE JE FAIS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - EN BREF L'INFORMATIONS RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 169
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - MAGAZINE L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 171
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 172
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 173
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 174
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - INTERVIEW 2017, UN TOURNANT POUR L’OPEN DATA
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 176
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 177
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 178
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 179
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - L’ASSURABILITÉ DES SANCTIONS ADMINISTRATIVES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 181
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 182
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 183
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 184
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - MESURES D’AUDIENCE : ANONYMISATION ET DROIT À L'INFORMATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 186
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 187
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 188
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 189
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LE RGPD ET LA NÉCESSAIRE ADAPTATION DES CONTRATS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 191
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 192
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 193
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - UNION EUROPÉENNE - BREXIT : IMPACTS SUR LA PROTECTION DES DONNÉES PERSONNELLES ET LA SÉCURITÉ
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 195
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 196
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - LES GUIDELINES DU G29 SUR LE DPO
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 198
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 199
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - DONNÉES PERSONNELLES - DROIT À L’OUBLI ET REGISTRE DES SOCIÉTÉS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - CONTRAT INFORMATIQUE - REDÉFINITION DES COMPÉTENCES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mai 2017 - n°424 - 204
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com