Le responsable du traitement consulte l'Autorité préalablement au traitement lorsqu'une analyse d'impact relative à
la protection des données effectuée au titre de l'article précédent indique que le traitement présenterait un risque
élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
Lorsque l'Autorité est d'avis que le traitement envisagé visé à l’alinéa 1er, constituerait une violation des dispositions
du présent Livre, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le
risque, l'Autorité fournit par écrit, dans un délai maximum de huit (08) semaines à compter de la réception de la
demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire
usage de ses pouvoirs. Ce délai peut être prolongé de six (06) semaines, en fonction de la complexité du traitement
envisagé. L'Autorité informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du
délai ainsi que des motifs du retard, dans un délai de trente (30) jours à compter de la réception de la demande de
consultation. Ces délais peuvent être suspendus jusqu'à ce que l'Autorité ait obtenu les informations qu'elle a
demandées pour les besoins de la consultation.
Lorsque le responsable du traitement consulte l'Autorité en application de l’alinéa 1er, il lui communique :
1- le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des
sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises ;
2- les finalités et les moyens du traitement envisagé ;
3- les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu des
dispositions du présent Livre ;
4- le cas échéant, les coordonnées du délégué à la protection des données ;
5- l'analyse d'impact relative à la protection des données prévue à l'article précédent ; et
6- toute autre information que l'Autorité demande.
Article 430 : Désignation du délégué à la protection des données
Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données
lorsque :
1- le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant
dans l'exercice de leur fonction juridictionnelle ;
2- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement
qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande
échelle des personnes concernées ; ou
3- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle
de catégories particulières de données visées à l'article 394 et de données à caractère personnel relatives à des
condamnations pénales et à des infractions visées à l'article 395.
Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la
protection des données soit facilement joignable à partir de chaque lieu d'établissement.
Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul
délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte
tenu de leur structure organisationnelle et de leur taille.
Dans les cas autres que ceux visés à l’alinéa 1, le responsable du traitement ou le sous-traitant ou les associations et
autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner