Le délégué à la protection des données occupe une place importante au sein du cadre juridique créé par le RGPD. Il a une mission d’information, de conseil et de contrôle du respect des règles prévues en matière de protection des données. Le DPO fait en plus office de point de contact pour la CNPD.
En principe, le traitement de données personnelles n’est pas au cœur de l’activité quotidienne d’une association, mais il s’agit d’une activité accessoire, indispensable pour son fonctionnement, sa gestion et son administration. La nomination obligatoire d’un DPO est donc très rare dans ce domaine.
Il est obligatoire de désigner un DPO si une des trois conditions suivantes s’applique :
- vous êtes une autorité publique ou un organisme public (pas applicable) ;
- vos activités de base consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées (en principe pas applicable) ;
- vos activités de base consistent en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions (rarement applicable).
Il s’avère dès lors que parmi ces trois cas de figures, uniquement le dernier est susceptible de s’appliquer aux associations, comme par exemple dans le cadre d’un réseau national d’aides et de soins à domicile traitant des données de santé à grande échelle. Certaines associations peuvent aussi nommer un DPO en commun, qui peut être soit un membre du personnel (DPO interne), soit exercer ses missions sur base d’un contrat de service (DPO externe).
Ses coordonnées sont à communiquer au public (une adresse mail spécifique sur le site internet sera suffisante) et à la CNPD par le formulaire de nomination accessible sur son site.