Lorsqu’un délégué à la protection des données (DPO) est nommé au sein d’une organisation, que ce soit volontairement ou en raison d’une exigence légale (plus de détails cliquer ici), le Règlement européen relatif à la protection des données personnelles (GDPR) prévoit que certaines conditions relatives à la nomination et au fonction du DPO doivent être remplies.
Par conséquent, tout responsable de traitement ou sous-traitant sur le point de nommer un DPO doit porter une attention particulières aux points suivants:
– La relation contractuelle entre le DPO et le responsable de traitement ou le sous-traitant
– Les compétences requises et le niveau d’expertise du DPO
– La position du DPO au sein de l’organisation de l’entreprise et les ressources à allouer
1.Relation contractuelle entre le délégué à la protection des données et le(s) responsable de traitement(s) ou le(s) sous-traitant(s)

Il n’est pas obligatoire de nommer un DPO par entreprise, notamment au sein d’un groupe. Ainsi, un seul DPO peut être nommé pour plusieurs entreprises dans les cas suivants:

– un groupe d’entreprises (par exemple un groupe de sociétés) à condition que le délégué à la protection des données soit facilement accessible à chaque établissement.
– les autorités ou un organismes publics
– Le représentant des catégories de responsable de traitements ou de sous-traitants

Le délégué à la protection des données peut :

  • être membre du personnel ou exécuter les tâches sur la base d’un contrat de service.
  • travailler en équipe ou seul en fonction des besoins,
  • accomplir ses tâches à temps plein ou à temps partiel et les cumuler avec d’autres activités. Cependant, tout conflit d’intérêts doit être évité (par exemple, le DPO ne devrait jamais être en mesure de déterminer les moyens et les objectifs d’un traitement effectué par la société).
2. Compétences du DPO

Le niveau d’expertise requis n’est pas défini dans le GDPR et varie en fonction de la complexité de l’organisation et plus particulièrement de ses activités de traitement de données.

Toutefois, le DPO doit avoir une connaissance approfondie des lois et pratiques nationales et européennes en matière de protection des données et une compréhension approfondie du GDPR. Par conséquent le DPO ayant une culture juridique approfondie devrait être préféré.

Il doit également avoir une connaissance suffisante du secteur d’activité et de l’organisation du responsable du traitement ainsi qu’une bonne compréhension des traitements effectués, y compris la sécurité des systèmes d’information et des données, ainsi que les besoins en matière de protection des données du responsable de traitement ou du sous-traitant.

Lorsqu’il est nommé par une autorité ou un organisme public, le DPO doit également connaître les règles et procédures administratives de l’organisation.

3. Ressources et position du DPO au sein de l’organisation pour l’accomplissement de sa mission

Selon l’article 38 du GDPR, le DPO doit être impliqué dans toutes les questions relatives à la protection des données à caractère personnel.

Les ressources nécessaires doivent être allouées pour permettre au DPO de remplir sa mission. Dans la pratique, il est necéssaire de fournir au DPO:

  • un soutien actif de la part de la hiérarchie,
  • du temps,
  • des ressources financières,
  • des infrastructures et du personnel,
  • une formation continue.

Par ailleurs, le DPO doit agir de manière indépendante et ne pas recevoir d’instructions concernant l’exercice de ses tâches.

Pour cette raison, il n’est pas possible de sanctionner un DPO du fait de l’exercice de ses fonctions. Ces peines prohibées peuvent prendre des formes différentes allant du licenciement à une simple menace.

 

Partage

DPO: contrat, qualification et position du délégué à la protection des données

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *