Questions les plus fréquemment posées - Délégué à la protection des données

Les articles 37 à 39 du Chapitre IV du RGPD consacré aux obligations des responsables de traitement et des sous-traitants sont particulièrement pertinents :

  • L’article 37 est relatif à la désignation du délégué ;
  • L’article 38 est relatif au statut du délégué ;
  • L’article 39 est relatif aux missions du délégué ;

D’autres dispositions prévoient un rôle pour le délégué à la protection des données :

  • L’article 35 relatif à l’analyse d’impact relative à la protection des données qui prévoit la consultation du délégué ;
  • Les articles 13 et 14 relatifs à l’information de la personne concernée : les coordonnées du délégué doivent lui être communiquées ;
  • Les articles 33 et 34 relatifs à la notification des failles de sécurité à l’autorité de protection des données et à la personne concernée : les coordonnées du délégué doivent leur être communiquées.

 

L’article 18.2. de la directive 95/46/CE a dès 1995 introduit la fonction de « détaché à la protection des données ». Concrètement, sur la base de cette disposition, les Etats membres pouvaient, par la voie législative, prévoir que les responsables de traitement qui désignent un détaché à la protection des données au sens de cet article 18.2. sont dispensés de la déclaration préalable de traitement auprès de l’autorité de contrôle (la déclaration visée à l’article 17 de la Loi vie privée). Ce détaché à la protection des données doit exercer ses missions en toute indépendance et tenir un registre des activités de traitement de données interne au responsable de traitement.  A la différence du RGPD, le directive 95/46/CE ne vise que les responsables de traitement et pas les sous-traitants.

Un certain nombre d’Etats membres de l’Union européenne ont fait usage de cette faculté et ont prévu la fonction de « détaché » à la protection des données dans leur législation nationale de transposition de la directive 95/46/CE non sans le dénommer de diverses manières. On parle ainsi actuellement de "Correspondants Informatique et Liberté (CIL)" en France, de "chargé de la protection des données" au Luxembourg, de "functionaris voor de gegevensbescherming" aux Pays-Bas, de "Data Protection Officer" au Royaume-Uni, ou encore de "délégué à la protection des données" pour les institutions de l’Union européenne.

Le RGPD harmonise tant la terminologie que les critères et modalités de leur désignation, leur statut et leurs missions.

Le Règlement européen relatif à la protection des données (RGPD) exige que dans un certain nombre de cas définis, les responsables de traitement et sous-traitants désignent un délégué à la protection des données. Le délégué à la protection des données est une pierre angulaire du régime d’accountability, sa désignation pouvant faciliter la conformité au RGPD et devenir également un véritable outil de compétitivité pour les entreprises. Les délégués à la protection des données agissent en outre en tant qu’intermédiaire entre les acteurs concernés : les autorités de contrôle, les personnes concernées (en ce compris les employés du responsable de traitement ou du sous-traitant pour lesquels travaille le délégué) mais aussi entre les différentes entités/services au sein d’une entreprise ou d’un organisme.

Pour plus de détail voy. le point I (Introduction) des lignes directrices.

Il est dans certains cas obligatoire pour un responsable de traitement ou un sous-traitant de désignation un délégué à la protection des données. Ces cas sont listés à l’article 37 du RGPD. Une université peut être considéré comme un responsable de traitement et doit donc vérifier si elle se trouve ou pas dans l’un des cas obligatoires pour la désignation d’un délégué à la protection des données.

Si l’université désigne un délégué à la protection des données, le RGPD l'oblige à publier ses coordonnées. Cette information devrait dès lors figurer sur leur site internet.

La fonction du délégue à la protection des données et du conseiller en sécurité de l'information découle de législations différentes. Ces législations établissent des conditions qui leur sont propres. Cela signifie qu’une analyse extensive de ces législations est requise pour en dégager les différences. Cette question est encore actuellement à l’étude au sein de la Commission vie privée.

Le RGPD prévoit que le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ainsi que de sa capacité à accomplir les missions visées à l'article 39 du RGPD.

Il convient, dès lors, d’examiner au cas par cas si la personne désignée en tant que délégué à la protection des données satisfait effectivement aux conditions du RGPD. Il s’agit là d’une analyse qui doit être effectuée en interne par le responsable du traitement ou le sous-traitant qui a l’intention de nommer un délégué.