Questions les plus fréquemment posées - Délégué à la protection des données

Compte tenu de l’obligation pour les responsables de traitement et les sous-traitants de communiquer à l’autorité de contrôle les coordonnées de leur délégué, la Commission vie privée disposera d’une liste de délégués à la protection des données à partir du 25 mai 2018. Cette liste n’est pas destinée au public mais bien à permettre à l’autorité de contrôle de contacter le délégué dans l’exercice de ses missions, de contrôle notamment.

Source : article 37.3 du RGPD

"Délégué à la protection des données" (souvent aussi désigné par sa dénomination anglaise "Data protection officer") n'est pas une profession réglementée en tant que telle. L'autorité de contrôle n'est dès lors pas compétente pour vérifier de manière proactive si un délégué remplit les conditions.

Celui qui désigne un "délégué à la protection des données" dans le contexte de ses activités de traitement tombe toutefois bel et bien dans le champ d'application des articles 37-39 du nouveau règlement et doit remplir toutes les conditions qui y sont posées.

Sources :

Non. Il n'est pas possible d'établir une liste exhaustive des incompatibilités. Le fait que certaines fonctions soient compatibles ou non dépend en définitive de la situation concrète.

Cela présente l'avantage de pouvoir interpréter les différents rôles et tâches au sein de chaque entité de manière flexible – dans les limites fixées par le nouveau règlement. Le Groupe de travail Article 29 a rédigé des lignes directrices relatives à la désignation du délégué à la protection des données dans lesquelles il explique les conditions liées à l'indépendance ainsi qu'à l'interdiction de conflits d'intérêts.

En ce qui concerne spécifiquement le cumul du rôle de délégué à la protection des données avec d'autres fonctions, dont celle de conseiller en sécurité, la Commission vie privée a émis la recommandation n° 04/2017.

La Commission vie privée recommande aux responsables du traitement et aux sous-traitants de documenter leur analyse et leur choix final.

Sources :

 

Le responsable du traitement statue sur la finalité et sur les moyens du traitement et a la responsabilité de le faire dans le respect de la réglementation.

Le rôle du délégué à la protection des données est de donner un avis au responsable du traitement et non de décider à sa place. En cas de désaccord, la responsabilité finale et donc aussi la décision finale incombent au responsable du traitement.

Attention ! Le responsable du traitement ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement pour l'exercice de ses missions.

Le RGPD mentionne la possibilité pour le délégué à la protection des données de demander l'avis de l'autorité de contrôle. L'autorité de contrôle ne se voit pas pour autant confier ainsi le rôle d'arbitre dans ce désaccord.

Si l'autorité de contrôle prend une décision à l'égard du responsable du traitement, cela se fait alors dans le contexte des compétences correctrices énoncées à l'article 58(2) du RGPD. La procédure à suivre doit être établie dans le droit belge.

Source : article 5.2, article 38.3, article 39.1.e et article 39.1.e du RGPD

Le nouveau règlement mentionne la possibilité, pour les associations ou autres organismes qui représentent des catégories de responsables du traitement ou de sous-traitants, de désigner volontairement un délégué à la protection des données (DPD).

La Commission vie privée estime que lorsqu'un secteur désigne un délégué à la protection des données, cela n'a aucune influence sur l'obligation qui incombe à des responsables du traitement ou sous-traitants individuels de ce secteur de désigner eux mêmes un délégué à la protection des données. Le nouveau règlement parle en effet de la désignation d'un délégué à la protection des données sectoriel "Dans les cas autres que ceux visés au paragraphe 1" (c'est-à-dire les cas où la désignation est obligatoire).

Attention ! Le délégué à la protection des données ne doit pas nécessairement être un travailleur engagé à temps plein. Il est donc possible qu'une même personne soit désignée par plus d'un responsable du traitement.

Source : article 37.4 du RGPD et section 2.1.2. des lignes directrices du Groupe 29 sur le DPD

Différentes formations sont proposées sur le marché, mais la Commission vie privée ne peut pas vous en fournir de liste.

En effet, la Commission vie privée ne dispose pas d'une liste complète de telles initiatives et elle n'est pas non plus compétente pour procéder à un quelconque contrôle de la qualité. En outre, il convient toujours d'évaluer au cas par cas quelle formation est la plus appropriée pour l'organisation en question et de quelles connaissances et expertise la personne concernée dispose déjà.

En concertation avec le responsable du traitement, vous êtes entièrement libre de faire un choix dans l'offre de formation.

Les articles 37 à 39 du Chapitre IV du RGPD consacré aux obligations des responsables de traitement et des sous-traitants sont particulièrement pertinents :

  • L’article 37 est relatif à la désignation du délégué ;
  • L’article 38 est relatif au statut du délégué ;
  • L’article 39 est relatif aux missions du délégué ;

D’autres dispositions prévoient un rôle pour le délégué à la protection des données :

  • L’article 35 relatif à l’analyse d’impact relative à la protection des données qui prévoit la consultation du délégué ;
  • Les articles 13 et 14 relatifs à l’information de la personne concernée : les coordonnées du délégué doivent lui être communiquées ;
  • Les articles 33 et 34 relatifs à la notification des failles de sécurité à l’autorité de protection des données et à la personne concernée : les coordonnées du délégué doivent leur être communiquées.

 

L’article 18.2. de la directive 95/46/CE a dès 1995 introduit la fonction de « détaché à la protection des données ». Concrètement, sur la base de cette disposition, les Etats membres pouvaient, par la voie législative, prévoir que les responsables de traitement qui désignent un détaché à la protection des données au sens de cet article 18.2. sont dispensés de la déclaration préalable de traitement auprès de l’autorité de contrôle (la déclaration visée à l’article 17 de la Loi vie privée). Ce détaché à la protection des données doit exercer ses missions en toute indépendance et tenir un registre des activités de traitement de données interne au responsable de traitement.  A la différence du RGPD, le directive 95/46/CE ne vise que les responsables de traitement et pas les sous-traitants.

Un certain nombre d’Etats membres de l’Union européenne ont fait usage de cette faculté et ont prévu la fonction de « détaché » à la protection des données dans leur législation nationale de transposition de la directive 95/46/CE non sans le dénommer de diverses manières. On parle ainsi actuellement de "Correspondants Informatique et Liberté (CIL)" en France, de "chargé de la protection des données" au Luxembourg, de "functionaris voor de gegevensbescherming" aux Pays-Bas, de "Data Protection Officer" au Royaume-Uni, ou encore de "délégué à la protection des données" pour les institutions de l’Union européenne.

Le RGPD harmonise tant la terminologie que les critères et modalités de leur désignation, leur statut et leurs missions.

Le Règlement européen relatif à la protection des données (RGPD) exige que dans un certain nombre de cas définis, les responsables de traitement et sous-traitants désignent un délégué à la protection des données. Le délégué à la protection des données est une pierre angulaire du régime d’accountability, sa désignation pouvant faciliter la conformité au RGPD et devenir également un véritable outil de compétitivité pour les entreprises. Les délégués à la protection des données agissent en outre en tant qu’intermédiaire entre les acteurs concernés : les autorités de contrôle, les personnes concernées (en ce compris les employés du responsable de traitement ou du sous-traitant pour lesquels travaille le délégué) mais aussi entre les différentes entités/services au sein d’une entreprise ou d’un organisme.

Pour plus de détail voy. le point I (Introduction) des lignes directrices.

Il est dans certains cas obligatoire pour un responsable de traitement ou un sous-traitant de désignation un délégué à la protection des données. Ces cas sont listés à l’article 37 du RGPD. Une université peut être considéré comme un responsable de traitement et doit donc vérifier si elle se trouve ou pas dans l’un des cas obligatoires pour la désignation d’un délégué à la protection des données.

Si l’université désigne un délégué à la protection des données, le RGPD l'oblige à publier ses coordonnées. Cette information devrait dès lors figurer sur leur site internet.

La fonction du délégue à la protection des données et du conseiller en sécurité de l'information découle de législations différentes. Ces législations établissent des conditions qui leur sont propres. Cela signifie qu’une analyse extensive de ces législations est requise pour en dégager les différences. Cette question est encore actuellement à l’étude au sein de la Commission vie privée.

Le RGPD prévoit que le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ainsi que de sa capacité à accomplir les missions visées à l'article 39 du RGPD.

Il convient, dès lors, d’examiner au cas par cas si la personne désignée en tant que délégué à la protection des données satisfait effectivement aux conditions du RGPD. Il s’agit là d’une analyse qui doit être effectuée en interne par le responsable du traitement ou le sous-traitant qui a l’intention de nommer un délégué.