La désignation d'un Délégué à la Protection des Données (DPO) est une obligation du RGPD pour certaines catégories d'organisations. Pour beaucoup d'entreprises espagnoles, la question n'est pas de savoir si elles doivent désigner un DPO, mais si elles doivent le faire et si l'externalisation est la meilleure option. Ce guide clarifie les critères légaux et pratiques.
Les trois situations d’obligation légale
L’article 37 du RGPD impose la désignation d’un DPO dans trois situations cumulativement bien délimitées :
Situation 1 : organismes publics
Toute autorité publique ou tout organisme public est tenu de désigner un DPO, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle. En Espagne, cela comprend toutes les administrations publiques, les organismes autonomes et les entités de droit public.
Situation 2 : suivi régulier et systématique à grande échelle
La désignation est obligatoire lorsque les activités principales du responsable ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Les notions clés à interpréter sont « activités principales » (l’activité principale de l’organisation, non pas une activité accessoire), « grande échelle » (nombre important de personnes concernées, volume significatif de données, durée étendue) et « suivi régulier et systématique » (observation, profilage, surveillance continue).
Exemples typiques en Espagne : plateformes de commerce en ligne qui analysent les comportements d’achat, opérateurs téléphoniques, réseaux sociaux, sociétés d’assurance qui analysent les données de conduite via des objets connectés, systèmes de vidéosurveillance à grande échelle, applications de santé et de bien-être.
Situation 3 : traitement à grande échelle de données sensibles
La désignation est obligatoire lorsque les activités principales consistent en un traitement à grande échelle de catégories particulières de données (art. 9 RGPD) : données de santé, données biométriques, données génétiques, origines raciales ou ethniques, convictions religieuses ou philosophiques, appartenance syndicale, orientation sexuelle, données relatives à des condamnations pénales.
Exemples typiques : hôpitaux et cliniques, médecins gérant un nombre significatif de patients, laboratoires pharmaceutiques, employeurs qui traitent des données de santé de nombreux salariés.
Quand la désignation est facultative mais recommandée
En dehors des trois situations d’obligation légale, la désignation d’un DPO reste facultative. Elle est néanmoins fortement recommandée pour : les entreprises qui traitent des données personnelles à une échelle modérée mais croissante, les entreprises qui développent de nouveaux produits ou services impliquant des traitements innovants, les PME souhaitant démontrer leur engagement en matière de conformité à leurs clients et partenaires, et les entreprises opérant dans des secteurs soumis à une surveillance accrue de la AEPD (télémarketing, ressources humaines, commerce en ligne).
DPO interne vs DPO externe : le choix pratique pour les PME
Pour la majorité des PME espagnoles, l’externalisation du DPO est la solution la plus efficiente. Les raisons : un DPO interne compétent requiert une formation spécialisée coûteuse et une mise à jour continue ; les PME n’ont généralement pas un volume de travail suffisant pour justifier un poste à temps plein ; et un DPO externe apporte une indépendance structurelle et une expertise actualisée à un coût bien inférieur.
Les coûts indicatifs en Espagne : un DPO externe coûte entre 3 000 et 10 000 euros annuels pour une PME, selon le volume de traitements et la complexité de la situation. Un DPO interne à temps plein représente 40 000 à 70 000 euros de coût employeur annuel.
Les fonctions du DPO
Que le DPO soit interne ou externe, ses fonctions légales sont les mêmes :
- Informer et conseiller le responsable, le sous-traitant et leurs employés sur les obligations découlant du RGPD.
- Contrôler le respect du RGPD, des autres dispositions du droit de l’UE et du droit national en matière de protection des données.
- Conseiller sur les analyses d’impact relatives à la protection des données (AIPD/EIPD).
- Coopérer avec l’autorité de contrôle (AEPD en Espagne) et servir de point de contact.
- Tenir compte des risques associés aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.
BMC propose un service de DPO externe pour les entreprises espagnoles tenues de désigner un délégué ou souhaitant consolider leur conformité RGPD.
