← Article précédent
Télécharger en PDF
Article suivant →

Une fondation est-elle obligée de désigner un délégué à la protection des données si elle gère des données sensibles ?

Réponse courte

Une fondation luxembourgeoise doit obligatoirement désigner un délégué à la protection des données (DPO) si elle effectue un traitement à grande échelle de données sensibles, conformément à l'article 37 du RGPD et l'article 34 de la loi du 1er août 2018. Le seuil de "grande échelle" est apprécié selon le nombre de personnes concernées, le volume de données et la durée du traitement.

Définition

Le DPO est un expert indépendant chargé d'informer, conseiller et contrôler le respect des obligations en matière de protection des données personnelles. Les données sensibles comprennent les informations sur l'origine raciale/ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, la santé, la vie sexuelle, les données génétiques et biométriques (Art. 9 RGPD).

Conditions d’exercice

La désignation d'un DPO est obligatoire dans trois cas :

  • Pour les autorités et organismes publics
  • En cas de suivi régulier et systématique à grande échelle des personnes
  • Pour le traitement à grande échelle de données sensibles

Le DPO doit disposer des qualifications professionnelles et connaissances spécialisées du droit et des pratiques en matière de protection des données.

Modalités pratiques

La fondation doit :

  • Désigner officiellement le DPO par écrit
  • Notifier la désignation à la CNPD via le formulaire dédié
  • Publier les coordonnées du DPO
  • Garantir son indépendance et l'absence de conflit d'intérêts
  • Lui fournir les ressources nécessaires
  • L'associer à toutes les questions relatives aux données personnelles

Pratiques et recommandations

Il est conseillé de :

  • Documenter l'analyse justifiant la désignation ou non d'un DPO
  • Établir une fiche de poste détaillée
  • Prévoir un budget formation continue
  • Mettre en place un dispositif de suppléance
  • Réaliser un audit annuel des activités du DPO

Cadre juridique

  • Article 37 du Règlement Général sur la Protection des Données (RGPD)
  • Articles 34 à 36 de la loi luxembourgeoise du 1er août 2018
  • Lignes directrices WP243 du Groupe de travail Article 29
  • Délibérations et recommandations de la CNPD

Note

Le non-respect de l'obligation de désignation d'un DPO expose la fondation à des amendes administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial. Une analyse documentée des critères de désignation est essentielle pour justifier sa position auprès de la CNPD.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...