DPO: contrat, qualification et position du délégué à la protection des données

Lorsqu’un délégué à la protection des données (DPO) est nommé au sein d’une organisation, que ce soit volontairement ou en raison d’une exigence légale (pour plus de détails cliquer ici), et que sa mission est déterminée, certaines conditions relatives à la nomination et aux fonctions du DPO doivent être remplies en vertu du Réglement général sur la protection des données (« RGPD »).

Ainsi, tout responsable de traitement ou sous-traitant qui envisage de nommer un DPO doit porter une attention particulières aux points suivants:

la relation contractuelle entre le DPO et le responsable de traitement ou le sous-traitant ;
les compétences requises et le niveau d’expertise du DPO ;
la position du DPO au sein de l’organisation de l’entreprise et les ressources à allouer.

1.Relation contractuelle entre le DPO et le(s) responsable de traitement(s) ou le(s) sous-traitant(s)

Il n’est pas obligatoire de nommer un DPO par entreprise, notamment au sein d’un groupe. Ainsi, un seul DPO peut être nommé pour plusieurs entreprises dans les cas suivants:

– un groupe d’entreprises (par exemple un groupe de sociétés) à condition que le délégué à la protection des données soit facilement accessible à chaque établissement ;
– les autorités ou un organismes publics ;
– le représentant des catégories de responsable de traitements ou de sous-traitants.

Le délégué à la protection des données peut :

  • être membre du personnel ou exécuter les tâches sur la base d’un contrat de service.
  • travailler en équipe ou seul en fonction des besoins,
  • accomplir ses tâches à temps plein ou à temps partiel et les cumuler avec d’autres activités. Cependant, tout conflit d’intérêts doit être évité (par exemple, le DPO ne devrait jamais être en mesure de déterminer les moyens et les objectifs d’un traitement effectué par la société).
2. Compétences du DPO

Le niveau d’expertise requis n’est pas défini dans le RGPD et varie en fonction de la complexité de l’organisation et plus particulièrement de ses activités de traitement de données.

Toutefois, le DPO doit avoir une connaissance approfondie des lois et pratiques nationales et européennes en matière de protection des données et une compréhension approfondie du RGPD.

Il doit également avoir une connaissance suffisante du secteur d’activité et de l’organisation du responsable du traitement ainsi qu’une bonne compréhension des traitements mis en oeuvre, y compris la sécurité des systèmes d’information et des données, ainsi que les besoins en matière de protection des données du responsable de traitement ou du sous-traitant.

Lorsqu’il est nommé par une autorité ou un organisme public, le DPO doit également connaître les règles et procédures administratives de l’organisation.

3. Ressources et position du DPO au sein de l’organisation pour l’accomplissement de sa mission

Selon l’article 38 du RGPD, le DPO doit être impliqué dans toutes les questions relatives à la protection des données à caractère personnel.

Les ressources nécessaires doivent être allouées pour permettre au DPO de remplir sa mission. Dans la pratique, il est necéssaire de lui fournir :

  • un soutien actif de la part de la hiérarchie,
  • du temps,
  • des ressources financières,
  • des infrastructures et du personnel,
  • une formation continue.

Par ailleurs, le DPO doit agir de manière indépendante et ne pas recevoir d’instructions concernant l’exercice de ses tâches. A cet effet, l’autorité belge a considéré qu’un DPO ne pouvait pas être DPO d’un autre service dont il était directeur (exemple : le DPO ne peut pas être le DPO du service juridique s’il est directeur juridique). Voir ici pour plus de détails.

Pour cette raison, il n’est pas possible de sanctionner un DPO du fait de l’exercice de ses fonctions. Ces peines prohibées peuvent prendre des formes différentes allant du licenciement à une simple menace.

CONTACT

Pour toute question, n’hésitez pas à contacter Arnaud  Blanc, Avocat

DPO: contrat, qualification et position du délégué à la protection des données

Cette publication est également disponible en en_GB.

Étiqueté avec :