Dossier thématique : Délégué à la protection des données

Le Délégué à la protection des données : un nouvel intervenant !

Le nouveau Règlement européen relatif à la protection de la vie privée (RGPD) prévoit un nouvel intervenant : le délégué à la protection des données, également appelé Data Protection Officer (DPO). 

Le délégué à la protection des données contrôle les traitements de données au sein de son organisation. 

À partir du 25 mai 2018, certains responsables du traitement (et/ou sous-traitants) seront obligés de désigner un délégué à la protection des données. Ceux qui ne sont pas soumis à cette obligation ont quand même un intérêt à désigner un tel délégué. Celui-ci jouera en effet un rôle non négligeable dans la politique de protection des données de son organisation. 

Cas obligatoires

La désignation d'un délégué à la protection des données est obligatoire lorsque : 

le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle.

les activités de base d'un responsable du traitement consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

les activités de base du responsable du traitement consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

Qu'est-ce un traitement à grande échelle ?

Missions

Dans le cadre de l'obligation de veiller au respect du RGPD, un délégué peut notamment :

  • collecter des informations pour identifier les activités de traitement ;
  • analyser et vérifier la conformité des activités de traitement au RGPD et
  • informer, conseiller ou adresser des recommandations au responsable du traitement ou au sous-traitant.

Position

Le RGPD exige que l'organisation aide son délégué en lui fournissant l'accès aux données à caractère personnel et aux opérations de traitement ainsi qu'en mettant à sa disposition les ressources nécessaires pour exercer ces missions, et en lui permettant d’entretenir ses connaissances spécialisées. Au plus les traitements sont complexes et/ou sensibles, au plus il convient d'offrir des ressources au délégué. À cet égard, il convient notamment de prévoir ce qui suit :

  • Soutien actif de la fonction du délégué par le management supérieur (par ex. au niveau de la direction) ;
  • Temps suffisant pour le délégué afin de remplir ses missions ;
  • Soutien suffisant en termes de moyens financiers, d'infrastructure (site, installations, équipement) et, si nécessaire, de personnel ;
  • Communication officielle sur la désignation du délégué à l'ensemble des collaborateurs ;
  • L'accès requis aux autres services au sein de l'organisation de sorte que le délégué de ces autres sections reçoive le soutien, la contribution et les informations essentiels.

 

Indépendance

Le RGPD reprend différentes garanties qui aident le délégué à pouvoir faire son travail en toute indépendance.

  • Le délégué ne reçoit aucune instructions sur la manière d'exécuter ses missions en tant que délégué ;
  • Le délégué ne peut pas être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions ;
  • Il ne peut y avoir de conflit d'intérêts entre les missions de délégué et les éventuelles autres missions ou fonctions du délégué.

Conflit d'intérêt

Bien que le délégué puisse avoir d'autres fonctions, il ne peut se voir conférer d'autres missions et responsabilités que si celles-ci n'engendrent pas de conflit d'intérêt. Cela implique notamment que le délégué ne peut occuper une fonction au sein de l’organisme qui le conduit à déterminer les finalités et les moyens du traitement de données à caractère personnel.

En règle générale, les fonctions/positions conflictuelles au sein d’une entreprise peuvent comprendre des postes de direction, mais peuvent également comprendre des fonctions se situant à un niveau inférieur de la structure organisationnelle.

Cumul avec d'autres fonctions (recommandation)

La Commission vie privée est régulièrement interrogée pour savoir si le "conseiller en sécurité", que certaines organisations doivent désigner, peut devenir le délégué à la protection des données. 

Le RGPD ne l'interdit en principe pas. Le responsable du traitement et le sous-traitant, qui souhaitent ou doivent désigner un délégué, doivent examiner la possibilité de cumul avec une autre fonction ou le passage d'une fonction à l'autre.

Pour les accompagner dans cette analyse et dans le choix d'un délégué en conformité avec le RGPD, la Commission vie privée a publié une recommandation. 

Recommandation

En savoir plus sur la recommandation