Réponse
Le règlement général sur la protection des données (RGPD) repose sur l’approche fondée sur le risque. En d’autres termes, les entreprises/organisations qui traitent des données à caractère personnel sont encouragées à mettre en œuvre des mesures de protection correspondant au niveau de risque de leurs activités de traitement des données. C’est pourquoi les obligations d’une entreprise qui traite une grande quantité de données sont plus contraignantes que celles d’une entreprise qui traite une faible quantité de données.
Par exemple, la probabilité d’engager un délégué à la protection des données dans une entreprise/organisation qui traite une grande quantité de données est plus élevée que dans une entreprise/organisation qui traite une faible quantité de données (dans ce cas, cet aspect est lié à la notion de traitement des données à caractère personnel à «grande échelle»). Par ailleurs, la nature des données à caractère personnel et l’impact du traitement envisagé peuvent également jouer un rôle. Le traitement d’une faible quantité de données, mais de nature sensible (par exemple des données concernant la santé), nécessiterait la mise en œuvre de mesures plus strictes pour se conformer au RGPD.
Dans tous les cas, les principes de la protection des données doivent être respectés et les personnes concernées doivent avoir la possibilité d’exercer leurs droits.