Imprimer

Le délégué à la protection des données



La fonction du délégué à la protection des données (DPD ou DPO pour data protection officer en anglais) est de mettre en œuvre la conformité du Règlement (UE) 2016/679 (ci-après « GDPR » ou le « Règlement ») au sein de l’organisme qui l’a désigné. Cette fonction existait déjà auparavant puisque l’article 18 de la Directive 95/46/CE prévoyait la possibilité pour le responsable du traitement de désigner un détaché à la protection des données à caractère personnel. La nouveauté introduite par le Règlement est l’obligation, pour le responsable du traitement des données et/ou le sous-traitant, de désigner un délégué dans certaines circonstances.

Désignation obligatoire

L’article 37 du GDPR énumère les trois situations dans lesquels sa désignation est obligatoire :

1) lorsque le traitement est effectué par une autorité publique ou un organisme public ;

2) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

3) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

En dehors de ces trois cas, un Etat membre peut déterminer d’autres situations dans lesquels la présence d’un DPO serait obligatoire. En outre, un organisme dispose toujours de la faculté de désigner un DPO de manière volontaire. Celui-ci sera alors soumis aux règles du GDPR.

Afin que le DPO soit joignable, le G29 (cf. Note 1) suggère qu’il se trouve préférentiellement dans un Etat de l’Union européenne. Toutefois, si le responsable du traitement des données ou le sous-traitant n’a pas d’établissement au sein de l’Union, on admet que les activités du DPO puissent être exercées plus efficacement en dehors de l’Union (cf. Note 2).

Principales missions

Les principales missions du DPO sont citées à l’article 39 du Règlement. On distingue une mission d’avis et de conseil, une mission de contrôle ainsi qu’une mission de point de contact avec l’autorité de contrôle. On peut les résumer comme il suit :

1) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données. Le DPO devra également dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;

2) contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;

3) coopérer et faire office de point de contact avec l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

L’article 38 du GDPR précise que le DPO devra être associé en temps utile à toutes les questions relatives au Règlement. De ce fait, le G29 recommande sa présence lors de la prise de décisions concernant la protection des données, qu’une attention permanente soit portée son avis et sa consultation immédiate lorsqu’une violation de la protection des données se produit (cf. Note 3).

Le profil du DPO (cf. Note 4)

Le profil du DPO est inféré à partir du paragraphe 5 de l’article 37 du GDPR qui dispose que le DPO « est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39 ».
Les compétences et le niveau d’expertise nécessaires à la fonction seront proportionnels à la complexité du traitement des données.

Quant à ses qualités professionnelles, le DPO devra :

- avoir une connaissance approfondie des législations en matière de protection des données, y compris une connaissance approfondie du GDPR ;

- être capable de comprendre les opérations de traitement effectuées ainsi que les technologies de l’information et de la sécurité des données ;

- connaître le secteur d’activité de l’organisme et, s’il s’agit d’une autorité publique ou d’un organisme public, les règles et procédures administratives relatives à cet organisme.

Outre ces qualités professionnelles, le DPO disposera de qualités personnelles comme l’intégrité et un haut niveau de déontologie afin de promouvoir une culture de protection des données et de mettre en œuvre les valeurs découlant du GDPR.

Fonction du DPO : indépendance, responsabilité et indépendance

Tout d’abord, en vue de permettre au DPO d’exercer ses mission en toute indépendance, le Règlement, en son article 38 paragraphe 3, lui accorde un statut spécial que l’on peut présenter en trois points :

- le responsable du traitement des données ou le sous-traitant ne pourront pas lui donner des instructions concernant l’exercice de ses missions en tant que DPO ;

- le DPO ne pourra pas être licencié ou sanctionné pour l’exercice de ses missions ;

- il ne doit pas exister de conflit d’intérêt avec d’autres missions et tâches possibles. En conséquence, le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement des données à caractère personnel (cf. Note 5).

Ensuite, en cas de non-respect des exigences en matière de protection des données, le DPO ne pourra pas être tenu pour responsable. Dans la mesure où les décisions finales en matière de traitement des données appartiennent au responsable du traitement ou au sous-traitant, le respect de la protection des données relève de leur seule responsabilité (cf. Note 6).

Enfin, le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions (cf. Note 7).

Ressources mises à la disposition du DPO

Selon l’article 38, paragraphe 2 du Règlement, le responsable du traitement des données ou le sous-traitant doit mettre à disposition du DPO les ressources nécessaires à la mise en œuvre de ses missions. Le G29, dans ses Lignes directrices, énumère les ressources suivantes (cf. Note 8) :

- soutien actif de la fonction du DPD par l’encadrement supérieur ;

- temps suffisant pour que les DPD puissent accomplir leurs missions ;

- soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personnel, le cas échéant ;

- communication officielle de la désignation du DPD à l’ensemble du personnel ;

- accès à d’autres services au sein de l’organisme de manière à ce que les DPD puissent recevoir le soutien, les contributions et les informations essentiels de ces autres services ;

- formation continue.




Létitia Dumont
Avocate Associée | DBB Defenso Avocats
LDumont@dbblaw.eu

Kassandra Bastas



Notes:

(1) Le groupe de travail article 29 est un organe consultatif et indépendant sur la protection des données institué par la Directive 95/46/CE. Dans le cadre de présent Règlement, il a été chargé de la rédaction de Lignes directrices.

(2) Lignes directrices concernant les délégués à la protection des données (DPD) adoptées le 13 décembre 2016, version révisée et adoptée le 5 avril 2017, p. 13.

(3) Lignes directrices concernant les délégués à la protection des données (DPD), p. 16.

(4) Lignes directrices concernant les délégués à la protection des données (DPD), pp. 13, 14 et 15.

(5) Lignes directrices concernant les délégués à la protection des données (DPD), p. 28.

(6) Lignes directrices concernant les délégués à la protection des données (DPD), p. 19.

(7) Article 37 §5 du Règlement (UE) 2016/679.

(8) Lignes directrices concernant les délégués à la protection des données (DPD), p. 17.

Imprimer cette fiche (format A4)