Concernant l’obligation éventuelle de désigner un Délégué à la Protection des Données (ci-après « DPD ou DPO »), ni le RGPD, ni le Groupe de Travail européen chargé de l'application du RGPD n'ont précisé ce qu'ils entendent par "autorité publique" ou "mission d'intérêt public". Tous deux se contentent de renvoyer vers le droit national.
En Belgique, la loi relative à la protection des personnes physiques relativement au traitement de données à caractère personnel du 30 juillet 2018 complète la réglementation européenne déjà en vigueur.
Cette loi donne une définition extensive de la notion d’autorité publique et retient des critères identiques à ceux prévus par la loi du 17 juin 2016 relative aux marchés public, en ce compris celui d’un financement public majoritaire.
L’Autorité de protection des données (ci-après « APD ») a été interpelée par l’UNISOC afin de préciser si cette définition de l’autorité publique avait également un impact sur l’évaluation de l’obligation de désigner un DPD ou DPO.
L’APD a répondu par l’affirmative et confirme que lors de contrôles, les ASBL créées pour satisfaire un besoin d’intérêt général, financées à + de 50 % par les autorités publiques (ou comptant une représentation de + de 50 % d’autorités publiques dans ses organes de gestion) pourraient être considérées comme des autorités publiques tenues de désigner un DPD ou DPO.
Nous avons dès lors mis à jour nos Outils / RGPD (notamment le plan d’action et le lexique de définitions) afin de tenir compte de cette position (même si celle-ci nous semble excéder les intentions du législateur européen et même si la loi belge exempte les autorités publiques de sanctions administratives).
A toutes fins utiles, nous rappelons que le DPD ou DPO peut être externe ou interne à l’association. Dans ce dernier cas, il doit bénéficier d’une certaine indépendance : il ne peut notamment pas être licencié ou pénalisé pour l’exercice de ses missions de DPD ou DPO. Il est possible de mutualiser les coûts d’un DPD ou DPO entre plusieurs associations. Vous pouvez vérifier la nécessité de désigner un DPD ou DPO sur base des questions contenues dans l’inventaire développé par la CESSoC (v. étape 3).
À défaut de désigner un DPD ou DPO, il peut cependant être utile de désigner un référent interne RGPD (ou une équipe multidisciplinaire juriste-informaticien, ou responsable de département…) qui sera chargé de suivre la matière et de cartographier le traitement des données personnelles au sein de l’association.
Pour plus d’information à ce sujet, vous pouvez consulter l’article de l’UNISOC ici.
Intéressé·e à suivre cette matière ? Abonnez-vous au mot-clé RGPD dans votre compte personnel (en haut à droite : Mon compte) : cliquez sur Mes abonnements, cliquez sur le signe +, cherchez et cochez le ou les mots-clés qui vous intéressent. Vous recevrez, au rythme que vous décidez, une notification par courriel chaque fois que nous évoquerons ces mots-clés dans nos contenus.