Délégué à la Protection des Données (DPD)

Qu’est-ce qu’un DPD ?

Un Délégué à la Protection des Données (DPD) — Delegado de Protección de Datos (DPD) en espagnol — est un rôle créé et défini par les articles 37 à 39 du RGPD et complété par la LOPD-GDD espagnole. Le DPD n’est pas un simple responsable de la conformité : le rôle est doté de caractéristiques juridiques spécifiques, notamment l’indépendance, l’accès direct à la direction générale et la protection contre la révocation ou la sanction pour l’exercice de ses missions.

Le DPD sert trois parties prenantes principales : l’organisation pour laquelle il travaille (en la conseillant sur la conformité), les personnes dont l’organisation traite les données (en servant de premier interlocuteur pour les demandes d’exercice de droits), et l’autorité de contrôle (l’AEPD en Espagne, en assurant la liaison et en facilitant la coopération).

Quand un DPD est-il obligatoire ?

En vertu de l’article 37 du RGPD, un DPD est obligatoire dans trois situations :

1. Les autorités et organismes publics (avec des exceptions limitées pour les juridictions)
2. Le suivi systématique à grande échelle d’individus comme activité principale (ex. : réseaux de publicité comportementale, surveillance des salariés à grande échelle, opérations de vidéosurveillance, opérateurs de télécommunications)
3. Le traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales comme activité principale (ex. : hôpitaux et assureurs santé traitant des données de santé à grande échelle, plateformes RH traitant des données relatives aux handicaps ou à l’appartenance syndicale)

L’expression clé est « activité principale » — le traitement de données à caractère personnel à titre accessoire par rapport à une activité professionnelle principale ne déclenche pas automatiquement l’obligation. Toutefois, les lignes directrices de l’AEPD retiennent une interprétation large de la notion de « grande échelle ».

Extensions spécifiques à l’Espagne (LOPD-GDD)

L’article 34 de la LOPD-GDD espagnole étend significativement l’obligation de désignation d’un DPD au-delà de la base du RGPD, en imposant cette désignation notamment aux :

• Établissements de crédit et d’assurance
• Entreprises de services d’investissement et organismes de placement collectif
• Opérateurs de réseaux d’énergie et de communications
• Opérateurs de jeux
• Entreprises de sécurité privée
• Entités traitant à grande échelle les données de personnes vulnérables (santé, enfants, exclusion financière)
• Agences de publicité et sociétés d’études de marché
• Établissements d’enseignement (du primaire à l’université)
• Fédérations sportives
• Entreprises pharmaceutiques

Cette extension par la LOPD-GDD signifie qu’un éventail beaucoup plus large d’entreprises espagnoles sont soumises à l’obligation de désignation d’un DPD que dans de nombreux autres États membres de l’UE.

Fonctions principales du DPD

En vertu de l’article 39 du RGPD, le DPD doit :

• Informer et conseiller l’organisation et ses collaborateurs sur leurs obligations en matière de protection des données
• Contrôler le respect du RGPD, de la législation nationale et des politiques internes de protection des données, notamment en ce qui concerne la répartition des responsabilités, la sensibilisation, la formation et les audits
• Conseiller sur les AIPD et en contrôler l’exécution, sur demande
• Coopérer avec l’AEPD et servir d’interlocuteur principal
• Traiter les demandes d’exercice des droits des personnes concernées

Indépendance et responsabilité

Le DPD doit être fonctionnellement indépendant : il rend compte directement au plus haut niveau de direction et ne peut recevoir d’instructions de l’organisation quant à la manière d’exercer ses missions. Il ne peut être ni révoqué ni pénalisé pour l’exercice de son rôle (article 38(3)). Il s’agit d’une règle juridique impérative et non d’un principe directeur — l’AEPD a instruit des affaires dans lesquelles des DPD avaient été révoqués à la suite d’avis avec lesquels l’organisation était en désaccord.

Le DPD peut être un salarié ou un prestataire externe. Il doit être accessible aux personnes concernées (ses coordonnées doivent être publiées) et doit être enregistré auprès de l’AEPD.

DPD externalisé : le modèle externe

De nombreuses entreprises espagnoles — en particulier les PME et les entreprises de taille intermédiaire — recourent au modèle de DPD externalisé (DPO-as-a-Service). Cela est pleinement autorisé par l’article 37(6) du RGPD, qui permet un dispositif par « contrat de services ». Un DPD externalisé :

• Peut servir plusieurs organisations simultanément (sous réserve d’absence de conflits d’intérêts)
• Doit bénéficier d’un contrat de services formel définissant le périmètre d’activité
• Doit être enregistré auprès de l’AEPD dans les mêmes conditions qu’un DPD interne
• Doit être véritablement accessible aux collaborateurs et aux personnes concernées — pas seulement un nom sur le papier

Le modèle externalisé est particulièrement adapté aux entreprises qui doivent satisfaire à l’obligation de désignation prévue par la LOPD-GDD mais ne disposent pas d’un volume suffisant de travaux de protection des données pour justifier un poste interne à temps plein.

Conséquences de l’absence de désignation

L’absence de désignation d’un DPD obligatoire constitue en soi une infraction à l’article 37 du RGPD, passible d’amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. L’AEPD a sanctionné des organisations pour cette infraction spécifique. Au-delà du risque d’amende, opérer sans DPD obligatoire prive l’organisation de la supervision structurée de la conformité que ce rôle est censé assurer.

Comment BMC peut vous aider

Nous fournissons des services de DPD externalisé à des entreprises de tous secteurs, en gérant l’enregistrement auprès de l’AEPD, la tenue des registres des activités de traitement (RAT), le conseil sur les AIPD, le traitement des demandes d’exercice des droits, la formation des collaborateurs et en servant d’interlocuteur principal auprès de l’AEPD en cas d’enquêtes ou de réclamations.