Conformément à l’article 37.1. a) du RGPD, un.e DPO doit obligatoirement être désigné.e si votre organisme couvre un des cas suivants :
- Il s’agit d’un organisme public ou d’une autorité publique ;
- Vos activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage) ;
- Vos activités de base consistent en un traitement à grande échelle de données sensibles.
Toutefois, si le RGPD rend sa désignation obligatoire dans ces cas, il la conseille vivement dans tous les cas. De plus, suite à l’entrée en vigueur du RGPD, la notion d’autorité publique a été précisée à l’article 5 de la loi « vie privée »…
L’Unisoc (Union des entreprises à profit social), d’avis que cet article ne fournit pas une définition de la notion d’autorité publique telle que reprise au RGPD, a saisi l’Autorité de protection des données pour en avoir confirmation. L’APD a rejeté les arguments de l’Unisoc.
Par conséquent, les asbl dont soit, l’activité est financée majoritairement par les autorités ou organismes publiques, soit, la gestion est soumise à un contrôle des autorités publiques, soit, la majorité des membres du conseil d’administration sont désignés par les autorités publiques, sont dans l’obligation de désigner un(e) délégué(e) à la protection des données.
À titre subsidiaire, l’Unisoc a demandé à l’APD de prévoir un moratoire sur les contrôles afin de se donner la possibilité de prendre les initiatives politiques nécessaires pour faire trancher ce point. Cette demande a été rejetée également.
En définitive, il est conseillé aux asbl qui rentrent dans les critères de l’article 5 de la loi « vie privée » de désigner un DPO pour éviter une sanction en cas de contrôle ou de plainte.