Toutes les asbl doivent-elles désigner un DPO ?
Suite à différents contacts entre l’Unisoc et l’Autorité de protection des données (APD, ex-Commission de protection de la vie privée), celle-ci indique qu’en vertu de la nouvelle loi « vie privée », toute asbl financée majoritairement par les autorités publiques ou dont une majorité des membres du CA sont désignés par les autorités publiques doit être considérée comme une « autorité publique » au sens du Règlement général sur la protection des données (RGPD) et doit, dès lors, désigner un data protection officer (DPO). Une interprétation contestée par l’Unisoc
Entré en vigueur le 25 mai 2018, le RGPD prévoit notamment l’obligation, tant pour les autorités publiques ou organismes publics que pour une série d’entreprises privées, de désigner un DPO (sorte de conseiller chargé d’aider voire de contrôler l’organisation pour qu’elle mène une activité conforme aux règles relatives au respect des données personnelles).
Suite à l’entrée en vigueur du RGPD, le Parlement fédéral a voté une nouvelle loi « vie privée » du 30 juillet 2018 (ci-après « la nouvelle loi »,) qui contient, en son article 5, une définition de la notion d’« autorité publique », notion reprise à l’article 37.1.a) du RGPD.
Après examen de la question, l’Unisoc est d’avis que l’article 5 de la nouvelle loi a une portée limitée à l’application de cette loi et qu’elle ne fournit pas une définition de la notion d’autorité publique telle que reprise à l’article 37.1.a) du RGPD.
Par conséquent, l’Unisoc a saisi l’APD, institution publique en charge du respect du RGPD et de la législation relative à la protection des données personnelles, pour obtenir confirmation que la définition de l’autorité publique à l’article 5 de la nouvelle loi se limite à l’application de cette loi et ne doit pas être lue comme impliquant une obligation générale de désignation d’un DPO à charge de toute asbl financée majoritairement par les pouvoirs publics (obligation qui nous paraît en outre être en décalage avec l’intention du législateur européen).
Hélas, l’APD a rejeté nos arguments et confirme l’interprétation selon laquelle la nouvelle loi précise la notion d’autorité publique au sens de l’article 37.1.a) du RGPD. À titre subsidiaire, l’Unisoc a demandé à l’APD de prévoir un moratoire sur les contrôles afin de nous donner la possibilité de prendre les initiatives politiques nécessaires pour faire trancher ce point. Cette demande a été rejetée également.
L’Unisoc prend acte de la position de l’APD et ne peut que conseiller à chaque asbl qui rentre dans les critères de l’article 5 de la nouvelle loi de désigner un DPO pour éviter une sanction en cas de contrôle ou de plainte. Pour sa part, l’Unisoc ne manquera pas d’interpeller le prochain gouvernement fédéral sur cette interprétation - selon nous excessive et inadéquate - de la portée de la nouvelle loi.
Enfin, compte tenu de la charge administrative et financière que l’obligation de désigner un DPO représente pour bon nombre d’asbl, l’Unisoc rappelle que les articles 37.2 et 37.3 du RGPD permettent une mutualisation : plusieurs asbl peuvent dès lors désigner ensemble et se partager les services d’un seul DPO. Une piste à explorer pour amortir l’impact d’une telle obligation.
Retour à la fiche thématique