Series: RGPD en 3 questions

Kaufhold & Reveillaud, Avocats a recensé les trois questions les plus récurrentes posées par ses clients en ce qui concerne le Règlement européen sur la protection des données (RGPD). Réponses ci-dessous.

1) Est-il obligatoire de désigner un délégué à la protection des données, plus connu sous le nom de DPO ?

Souvent, la désignation d’un DPO est facultative. Une simple personne de contact à la protection des données étant suffisante. KR peut aider à fournir ses services sur ce point.

Toutefois, il est obligatoire de désigner un DPO pour :

1. Les autorités et organismes publics(e.g. les établissements publics, les ministères, etc.).
2. Les organismes dont les activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées (e.g. fournisseurs d’accès internet, les opérateurs téléphoniques.)
3. Les organismes dont les activités de base consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles »(i.e. données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions.

2) Quelles sont les conséquences du Brexit sur le RGPD ?

L’autorité nationale britannique de la protection des données personnelles, le « Information Commissioner’s Office » ou « ICO » a indiqué que le RGPD est en vigueur depuis le 25 mai 2018 au Royaume-Uni tout comme dans l’ensemble des États membres de l’Union européenne.

Ainsi, pour aussi longtemps que la procédure de sortie du Royaume-Uni de l’Union européenne n’est pas terminée, le Royaume-Uni demeure un État membre de l’Union européenne.

La loi britannique sur la protection des données 2018 (DPA 2018), qui complète et adapte actuellement le RGPD au Royaume-Uni, continuera de s’appliquer.

Les dispositions du RGPD seront incorporées directement dans la loi britannique si le Royaume-Uni quitte l’Union Européenne sans accord pour s’appliquer aux côtés de la DPA 2018.

Enfin, il convient de noter que l’ICO a déjà précisé qu’un niveau élevé de protection des données personnelles serait maintenu au Royaume-Uni dans la phase post-Brexit. En effet, le gouvernement britannique a l’intention d’intégrer le RGPD dans la DPA 2018 au moment du Brexit. Ainsi, dans la pratique, les principes, droits et obligations fondamentaux en matière de protection des données figurant dans le RGPD seront peu modifiés.

3) Est-il obligatoire de recueillir le consentement de la personne concernée ?

Non.

Selon le RGPD, le consentement de la personne dont des données à caractère personnel sont traitées n’est pas nécessaire si ces données sont collectées :

• Pour l’exécution d’un contrat (e.g. contrat de travail, etc.) ou de mesures précontractuelles (e.g. devis, etc.).
• Pour le respect d’une obligation légale (e.g. le registre des bénéficiaires effectifs, etc.).
• Pour sauvegarder les intérêts vitaux d’une personne (e.g. en cas d’épidémie, etc.).
• Pour l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique (e.g. l’administration des contributions, etc.).
• Pour un intérêt légitime (e.g prévenir des cas de fraude, etc.) à moins que les intérêts ou les libertés fondamentales de la personne concernée prévalent.

Si le traitement ne remplit pas l’une des situations ci-dessus, le consentement de la personne concernée est obligatoire.

L’équipe GDPR de Kaufhold & Reveillaud, Avocats se tient à votre disposition pour toute question en la matière.