Le RGPD (Règlement général sur la protection des données) a pris effet le 25 mai 2018. Certaines entreprises ont l’obligation de désigner un délégué à la protection des données (DPD) ou data protection officier en anglais (DPO). Votre entreprise est-elle soumise à cette obligation ? Quel sera le rôle de votre délégué à la protection des données ?
Désignation obligatoire d’un délégué à la protection des données
Dans certains cas, le règlement général sur la protection des données imposera aux responsables du traitement et aux sous-traitants de désigner un DPD. Il en sera fait obligation à l’ensemble des autorités et organismes publics, indépendamment de la nature des données qu’ils traitent. De même, d’autres organismes « dont les activités de base consistent en un suivi systématique à grande échelle de personnes ou en un traitement à grande échelle de catégories particulières de données à caractère personnel » devront recourir au délégué à la protection des données.
Désignation recommandée d’un data protection officer
Toutefois, lorsque le RGPD n’exige pas obligatoirement la désignation d’un délégué à la protection des données, les organismes peuvent parfois juger utile d’en désigner un sur une base volontaire. Il s’agit d’un véritable argument concurrentiel pour les entreprises. D’ailleurs bien que la directive de 1995 ne contraignait aucun organisme à désigner un DPO, la pratique consistant à en désigner un s’était néanmoins installée dans plusieurs États membres de l’Union européenne.
Selon le groupe de travail (G29) en charge de la promotion de la protection des données, le délégué à la protection des données est l’une des pierres angulaires du régime de responsabilité des organismes. La désignation d’un data protection officer peut faciliter le respect des règles et devenir un véritable avantage commercial et concurrentiel pour les entreprises.
Fonctions diversifiées du DPD
Le DPD permet de :
– Favoriser le respect des règles relatives à la protection des données. Il peut notamment recourir à la mise en œuvre d’outils, parfois complexes et obligatoires. Par exemple des analyses d’impacts relatives à la protection des données. Il peut aussi s’agit de réaliser des audits relatifs à la protection des données.
– Agir comme véritable “chef d’orchestre” de la protection des données. C’est l’intermédiaire privilégié des autorités de contrôle qui exigent d’avoir un interlocuteur privilégié. Ou encore des différentes entités économiques au sein d’un seul ou plusieurs organismes qui peuvent vouloir agir de concert quant à leur politique de traitement des données.
Le DPD : acteur incontournable
Le recours à l’expertise du délégué à la protection des données doit permettre d’éviter la mise en jeux de la responsabilité du responsable du traitement ou du sous-traitant. Toutefois, les data protection officers ne sont pas personnellement responsables en cas de non-respect du RGPD. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer que le traitement est effectué conformément à ses dispositions (article 24, paragraphe 1). Il doit être en mesure de le démontrer.
Le respect de la protection des données relève donc de la responsabilité du responsable du traitement ou du sous-traitant. Ils jouent un rôle essentiel pour permettre l’exécution efficace des missions du délégué à la protection des données. La désignation d’un DPD est une première étape à bien des égards incontournable. Celui-ci doit néanmoins disposer d’une autonomie et de ressources suffisantes pour s’acquitter efficacement de ses missions.
Pour conclure, le data protection officer est un acteur clé du système de gouvernance des données établit par le RGPD. Les conditions relatives à sa désignation, à sa fonction et à ses missions feront l’objet de futurs articles. Ils vont préciser les dispositions pertinentes afin d’aider les responsables du traitement et les sous-traitants à respecter la législation. Il s’agira aussi d’assister les délégués à la protection des données dans leur rôle. Il s’agira de présenter des recommandations en matière de bonnes pratiques. Pour cela on s’appuie sur l’expérience acquise dans certains États membres de l’Union et des derniers travaux du G29.
Deshoulières Avocats vous accompagne pour votre mise en conformité au RGPD. Deshoulières Avocats intervient comme délégué à la protection des données pour de nombreux clients dans le secteur des nouvelles technologies.
RÉFÉRENCES :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE
- Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données