Le Délégué à la Protection des Données est un acteur important du RGPD.
DPO[1] ou DPD[2] ? Qu’importe !
Le Délégué à la Protection des Données est un acteur important du RGPD, qui fait l’objet d’une section particulière de ce texte[3].
Il est désigné tant par le responsable du traitement que par le sous-traitant.
Désignation[4]
Hypothèses de désignation
Un DPO peut toujours être désigné ; pour autant, il est des hypothèses dans lesquelles sa désignation est obligatoire.
A savoir, lorsque :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Choix du DPO
Le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions.
Le poste de DPO peut être internalisé (membre du personnel du responsable du traitement ou du sous-traitant) ou externalisé (contrat de prestation de service).
Publicité de la désignation du DPO
Les coordonnées du DPO désigné sont publiées et communiquées à la CNIL[5].
Missions du DPO[6]
*A minima, le DPO a pour mission de :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la réglementation applicable en matière de protection des données ;
- contrôler le respect de la réglementation et des règles internes du responsable du traitement ou du sous-traitant applicables en matière de protection des données à caractère personnel ;
- dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
- coopérer avec la CNIL ;
- faire office de point de contact pour la CNIL sur les questions relatives au traitement et mener des consultations, le cas échéant, sur tout autre sujet.
Dans l’accomplissement desdites missions, le DPO tient dûment compte du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
*Les personnes concernées peuvent prendre contact avec le DPO au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le RGPD.
*Le DPO peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que celles-ci n’entraînent pas de conflit d’intérêts.
Fonctions du DPO[7]
Moyens, ressources et obligations du DPO
*Afin de pouvoir accomplir dûment ses missions, différentes obligations pèsent sur le responsable du traitement et sur le sous-traitant. Il ne suffit donc pas de désigner un DPO, encore faut-il lui donner les moyens d’accomplir ses missions !
Ainsi, le responsable du traitement et le sous-traitant :
- veillent à ce que le DPO :
*soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
*ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le DPO ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
- aident le DPO à exercer ses missions en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.
*Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions.
Alors, avant de traiter des données à caractère personnel, anticipez et consultez !
Mon Cabinet d’avocat en droit des affaires situé à proximité de Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !
[1] Data Protection Officer
[2] Délégué à la Protection des Données
[3] Articles 37 à 39 du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE)
[5] Article 83 du décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
Voir aussi :
#12 RGPD : Le saviez-vous ? – Mise en conformité et AIPD
#11 RGPD : Le saviez-vous ? – Le registre des activités de traitement
#10 RGPD : Le saviez-vous ? – Le cycle de vie de la donnée
#9 RGPD : Le saviez-vous ? – Les différents acteurs d’un traitement de données
#8 RGPD : Le saviez-vous ? – Qu’est-ce qu’un traitement ?
#7 RGPD : Le saviez-vous ? – Données dites sensibles
#6 RGPD : Le saviez-vous ? – Quelle base légale pour un traitement ?
#5 RGPD : Le saviez-vous ? – To transfer ou not to transfer ?
#4 RGPD : Le saviez-vous ? – 2023, une année à fêter !
#3 RGPD : Le saviez-vous ? – Thématiques prioritaires de contrôle de la CNIL
#2 RGPD : Le saviez-vous ? – Donnée à caractère personnel
#1 RGPD : Le saviez-vous ? – Genèse de la LIL
AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice
Photo de Mark Fletcher-Brown sur Unsplash