En vertu du nouveau règlement européen (GDPR), lorsqu’un délégué à la protection des données ou  correspondant informatique et libertés (« DPO »),est nommé  (cliquez ici pour en savoir plus) ses missions sont, a minima, les suivantes:
Informer le responsable du traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations en vertu de toutes règlementations relatives à la protection des données applicable dans l’Union Européenne (UE)
Veiller au respect du GDPR, aux autres dispositions de protection des données de l’Union ou des États membres et aux politiques du responsable de traitement ou du sous-traitant en ce qui concerne la protection des données personnelles, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel concerné ainsi que les opérations et les vérifications connexes;
Dispenser des conseils, sur demande, en ce qui concerne l’évaluation de l’impact de la protection des données et suivre ses performances
Coopérer avec l’autorité de contrôle
Agir en tant que point de contact pour l’autorité de surveillance sur les questions relatives au traitement, y compris la consultation préalable et à consulter le cas échéant, en ce qui concerne toute autre question
Le G29 (groupement des autorités de protection des données personnelles de l’UE) a apporté des précisions sur ce qui est attendu du DPO dans le cadre de ses missions.
1. Contrôle de la conformité au GDPR

Lors du contrôle de la conformité avec le GDPR, les délégués à la protection des données devraient faire ce qui suit:
• Recueillir des informations pour identifier les activités de traitement
• Analyser et vérifier la conformité des activités de traitement; et
• Informer, conseiller et émettre des recommandations auprès du responsable de traitement ou du sous-traitant

2. Data Protection Impact Assessment (DPIA)

En ce qui concerne l’évaluation de l’impact sur la vie privée (DPIA), le DPO devrait donner des conseils sur les points suivants:

• La réalisation ou non d’un DPIA
• Quelle méthodologie suivre lors de la réalisation d’un DPIA
• La réalisation du DPIA en interne ou avec l’aide d’un consultant externe
• Quelles garanties (y compris les mesures techniques et organisationnelles) à appliquer pour atténuer les risques pour les droits et les intérêts des personnes concernées
• si le DPIA a été correctement exécuté et si ses conclusions sont conformes au GDPR (c’est-à-dire si le traitement doit être suivi ou non et quelles sont les garanties à appliquer)

Si le responsable de traitement est en désaccord avec le DPO, la documentation DPIA doit spécifiquement justifier par écrit pourquoi l’avis n’a pas été pris en compte.

3. Approche fondée sur le risque

Le DPO devrait donner la priorité à ses activités et concentrer ses efforts sur les questions qui présentent des risques plus élevés en matière de protection des données.

Entre autres, le DPO devrait informer le responsable de traitement de la méthodologie à utiliser lors de l’exécution d’un DPIA, domaines d’activité qui devraient faire l’objet d’un audit de protection des données, formation interne du personnel, etc.

4. Rôle des DPO dans la tenue des registres

Dans le cadre du GDPR, le responsable de traitement ou le sous-traitant sont tenus de tenir un registre des opérations de traitement sous leur responsabilité ou qu’ils effectuent pour le compte du responsable de traitement.

La tenue du registre n’est pas une tâche obligatoire du DPO, mais rien n’empêche d’assigner cette tâche au DPO.

5. Responsabilités

Même si le DPO est désigné par un responsable de traitement ou un sous-traitant pour s’assurer de leur conformité à toute réglementation en matière de protection des données applicable à leurs activités de traitement, le responsable de traitement ou le sous-traitant demeure responsable vis-à-vis des autorités et des particuliers pour toute violation du GDPR ou de toutes autres réglementations connexes.

Partage

DPO: Les missions du Délégué à la Protection des Données (GDPR)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *