En vertu du règlement général sur la protection des données (RGPD), lorsqu’un délégué à la protection des données (« DPO » ou « DPD ») est nommé (cliquez ici pour en savoir plus) ses missions sont, a minima, les suivantes:
• Informer le responsable du traitement ou le sous-traitant et les salariés qui effectuent le traitement, de leurs obligations en vertu de toutes règlementations relatives à la protection des données applicable dans l’Union Européenne (UE) ;
• Veiller au respect du RGPD, aux autres dispositions de protection des données de l’Union ou des États membres et aux politiques du responsable de traitement ou du sous-traitant en ce qui concerne la protection des données personnelles, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel concerné ainsi que les opérations et les vérifications connexes ;
• Dispenser des conseils, sur demande, en ce qui concerne l’évaluation de l’impact de la protection des données et suivre ses performances ;
• Coopérer avec l’autorité de contrôle ;
• Agir en tant que point de contact pour l’autorité de surveillance sur les questions relatives au traitement, y compris la consultation préalable et à consulter le cas échéant, en ce qui concerne toute autre question.
Le Comité Européen à la Protection des Données (groupement des autorités de protection des données personnelles de l’UE) a apporté des précisions sur ce qui est attendu du DPO dans le cadre de ses missions.
1. Contrôle de la conformité au RGPD
Lors du contrôle de la conformité avec le GDPR, les délégués à la protection des données devraient faire ce qui suit:
• recueillir des informations pour identifier les activités de traitement ;
• analyser et vérifier la conformité des activités de traitement ; et
• informer, conseiller et émettre des recommandations auprès du responsable de traitement ou du sous-traitant.
2. Analyse d’Impact relative à la la Protection des Données (AIPD)
Lorsqu’une AIPD doit être réalisée pour un traitement présentant un risque élevé, le DPO devrait donner des conseils sur les points suivants:
• la nécessité de conduire une AIPD ;
• la méthodologie à suivre lors de la réalisation d’un AIPD ;
• le choix de la réalisation du AIPD en interne ou avec l’aide d’un consultant externe ;
• les garanties (y compris les mesures techniques et organisationnelles) à mettre en oeuvre pour atténuer les risques pour les droits et les intérêts des personnes concernées ;
• si l’AIPD a été correctement conduite et si les conclusions sont conformes au RGPD (c’est-à-dire si le traitement doit faire l’objet d’un suivi ou non et quelles sont les garanties à appliquer).
Si le responsable de traitement est en désaccord avec le DPO, l’AIPD doit spécifiquement précisé (par écrit) pourquoi l’avis du DPO n’a pas été suivi.
3. Approche fondée sur le risque
Le DPO devrait prioriser ses activités et concentrer ses efforts sur les questions qui présentent des risques plus élevés en matière de protection des données.
Entre autres, le DPO devrait informer le responsable de traitement (i) de la méthodologie à utiliser lors de la conduite d’une AIPD, (ii) des domaines d’activité qui devraient faire l’objet d’un audit de protection des données, (iii) de la formation interne du personnel, etc.
4. Rôle des DPO dans la tenue des registres
Dans le cadre du RGPD, le responsable de traitement ou le sous-traitant sont tenus de tenir un registre des opérations de traitement mis en oeuvre pour leur compte ou pour le compte d’un responsable de traitement.
La tenue du registre n’est pas une tâche obligatoire du DPO, mais il est possible de lui assigner cette tâche.
5. Responsabilités
Même si le DPO est désigné par un responsable de traitement ou un sous-traitant, ces derniers demeurent responsable vis-à-vis des autorités et des particuliers pour toute violation du RGPD ou de toutes autres réglementations connexes.
Cette publication est également disponible en en_GB.