Par une décision du 28 avril 2020, l’Autorité belge de protection des données a adopté une approche assez restrictive concernant la position du délégué à la protection des données (DPD) au sein d’une entreprise. En effet, l’Autorité a infligé une
DPO: contrat, qualification et position du délégué à la protection des données
Lorsqu’un délégué à la protection des données (DPO) est nommé au sein d’une organisation, que ce soit volontairement ou en raison d’une exigence légale (pour plus de détails cliquer ici), certaines conditions relatives à la nomination et aux fonctions du DPO doivent être remplies en vertu du Réglement général sur la protection des données (« RGPD »).
Ainsi, tout responsable de traitement ou sous-traitant qui envisage de nommer un DPO doit porter une attention particulières aux points suivants:
– la relation contractuelle entre le DPO et le responsable de traitement ou le sous-traitant ;
– les compétences requises et le niveau d’expertise du DPO ;
– la position du DPO au sein de l’organisation de l’entreprise et les ressources à allouer.
DPO: Les missions du Délégué à la Protection des Données
En vertu du règlement général sur la protection des données (RGPD), lorsqu’un délégué à la protection des données (« DPO » ou « DPD ») est nommé (cliquez ici pour en savoir plus) ses missions sont, a minima, les suivantes:
• Informer le responsable du traitement ou le sous-traitant et les salariés qui effectuent le traitement, de leurs obligations en vertu de toutes règlementations relatives à la protection des données applicable dans l’Union Européenne (UE) ;
• Veiller au respect du RGPD, aux autres dispositions de protection des données de l’Union ou des États membres et aux politiques du responsable de traitement ou du sous-traitant en ce qui concerne la protection des données personnelles, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel concerné ainsi que les opérations et les vérifications connexes ;
• Dispenser des conseils, sur demande, en ce qui concerne l’évaluation de l’impact de la protection des données et suivre ses performances ;
• Coopérer avec l’autorité de contrôle ;
• Agir en tant que point de contact pour l’autorité de surveillance sur les questions relatives au traitement, y compris la consultation préalable et à consulter le cas échéant, en ce qui concerne toute autre question.
Le Comité Européen à la Protection des Données (groupement des autorités de protection des données personnelles de l’UE) a apporté des précisions sur ce qui est attendu du DPO dans le cadre de ses missions.
DPO: Quand faut-il désigner un Délégué à la Protection des Données?
La désignation d’un délégué à la protection des données (“DPO” ou « DPD ») est obligatoire ou volontaire selon le type de traitements de données, l’activité et le type d’organisation qu’il le met en oeuvre (privé ou publique) en tant responsable de traitement ou sous-traitant.
Selon l’article 37 (1) du règlement général sur la protection des données (RGPD), la désignation d’un DPO est obligatoire dans trois cas spécifiques:
Lorsque le traitement est mis en oeuvre par une autorité ou un organisme public(cas 1) ;
Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle (cas 2) ; ou
Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des catégories particulières de données ou de données à caractère personnel relatives à des condamnations et des infractions pénales(cas 3).
Même dans les cas où la désignation d’un DPO n’est pas obligatoire, il est recommandé de documenter la décision de ne pas nommer un DPO, notamment dans les cas les plus ambigues.