Les délégués à la protection des données sont-ils personnellement responsables ?

On pense souvent à tort que les délégués à la protection des données n’auraient jamais pu connaître le GDPR et les responsabilités qui en découlent. Bien que le contrôleur de la protection des données soit responsable du respect du GDPR, il n’est pas seulement actif dans les questions de protection des données personnelles, mais aussi dans les questions de protection des données et dans la pratique. Le D POO doit être correctement et rapidement impliqué dans toutes les questions relatives à la protection des données personnelles. Il faut également s’assurer qu’il a accès à toutes les activités de traitement des données de l’entreprise et qu’il est correctement intégré dans l’art de garantir la conformité au GDPR. [Sources : 12,7,17,5]

Certaines entreprises ont des experts en protection des données dans leur équipe, mais la nomination d’un délégué à la protection des données au sein de l’organisation est autorisée. Les délégués à la protection des données sont nommés par l’entreprise et emploient systématiquement au moins 10 employés qui traitent le traitement automatisé des données personnelles. Il s’agit du contrôleur de la protection des données (DPOO) pour les organisations qui traitent et stockent les données personnelles des citoyens de l’UE et pour les entreprises de l’UE. Sources : 24,23,1]

Pour le dire en langage humain, un RGPD est une personne au sein d’une entreprise dont la responsabilité est de s’assurer de la conformité de l’entreprise au RGPD. Un D-PO peut être un employé qui assure la protection des données personnelles des citoyens de l « UE conformément à la directive européenne sur la protection des données (DPD). [Sources : 6,20]

Le rôle du délégué à la protection des données peut être confié à un prestataire de services externe ou, dans le cas contraire, il peut être chargé d’un audit interne ou d’une autre fonction indépendante au sein de l’entreprise. Lorsqu’une entreprise utilise ses DPO dans le cadre d’audits internes et/ou d’autres fonctions « indépendantes », elle doit disposer des connaissances juridiques appropriées. Toutefois, si vous engagez un spécialiste de la protection de la vie privée autre qu’un OPH, il est important de ne pas l’appeler « OPH ». [Sources : 10,16,0]

Le contrôleur de la protection des données n’est pas personnellement responsable au sein de l’organisation de la conformité au GDPR, et son indépendance ne signifie pas qu’il est libre de mettre en œuvre ses avis et recommandations. Les délégués à la protection des données n’ont pas de conflit d’intérêts, ce qui signifie que le DPO ne doit pas avoir de fonctions ou de responsabilités actuelles qui entrent en conflit avec ses tâches de contrôle. Le DPD est toujours en contact avec le responsable du traitement ou le sous-traitant qui est tenu de démontrer sa conformité, mais il est peu probable qu’il puisse les aider à contrôler la conformité interne. Sources : 24,21,11,18]

Les orientations du WP29 soulignent également qu’il n’est pas personnellement responsable en cas de non-conformité au GDPR. Les lignes directrices précisent également qu’un OPD peut être une partie externe, mais confirment également qu’il n’est pas responsable de la mise en œuvre des recommandations du contrôleur de la protection des données en matière de conformité au sein de l’organisation et qu’il n’est pas soumis aux mêmes exigences que le contrôleur de la protection des données ou le responsable du traitement. Sources : 4,14,3]

Avant d’accepter une offre d’agir en tant que délégué à la protection des données interne ou externe, les délégués à la protection des données doivent évaluer leur charge potentielle de responsabilité. Bien que le rôle et les tâches du DPD soient essentiels pour l’entreprise, il est important de savoir que le DPD n’est pas personnellement responsable de la protection des données et de la conformité. Sources : 6,2]

En outre, les lois nationales sur la protection des données permettent aux représentants de l’entreprise d’être personnellement responsables des violations de données. Dans certains cas, les administrateurs peuvent toujours être tenus personnellement responsables des violations de la loi sur la protection des données, mais ils doivent comprendre qu’ils ne peuvent en aucun cas être tenus responsables au même titre que le contrôleur de la protection des données ou d’autres représentants de l’entreprise. [Sources : 8,2,22]

En ce qui concerne la responsabilité, le GDPR ne signifie pas que les délégués à la protection des données peuvent être tenus personnellement responsables de leur manquement au devoir. Dans le même temps, ce règlement ne prévoit pas d’exonération de responsabilité pour les cas de négligence. En d’autres termes, même si le GDPR le prévoit, une violation de la loi sur la protection des données ne constitue pas une responsabilité personnelle au sens de la loi. [Sources : 12,15]

Sources :

• [0] : https://www.pwc.com/us/en/services/consulting/cybersecurity-privacy-forensics/library/data-protection-officer-10-considerations.html
• 1] : https://verasafe.com/blog/understanding-the-eu-representative-and-the-dpo-role/
• [2] : https://iapp.org/news/a/dpo-liability-and-potential-insurance-coverage/
• [3] : https://www.globalprivacyblog.com/privacy/gdpr-guidance-dpos-data-portability-the-one-stop-shop/
• [4] : https://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.html
• [5] : https://www.twobirds.com/en/news/articles/2020/uk/the-rise-of-data-protection-officers-dpo-in-the-dubai-international-financial-centre
• [6] : https://www.gdprregister.eu/gdpr/data-protection-officer/
• [7] : https://seersco.com/articles/data-protection-officer/
• [8] : https://www.normcyber.com/advisory-notes/data-protection-directors-personal-liability/
• [9] : https://www.lawsociety.ie/gazette/in-depth/DPO-new-data-protection-officers/
• [10] : https://www.ics.ie/news/the-role-of-the-dpo-under-the-eu-gdpr
• [11] : https://dataprivacymanager.net/who-is-a-data-protection-officer-roles-and-responsibilites/
• [12] : https://aigine.se/en/data-protection-officers-personally-liable-for-fines/gdpr/
• [13] : https://medium.com/golden-data/what-is-a-data-protection-officer-under-eu-law-9fe9c5dd9d17
• [14] : https://www.technologylawdispatch.com/2017/01/privacy-data-protection/article-29-working-party-issues-guidance-on-data-portability-dpos-and-lead-supervisory-authorities/
• [15] : https://www.gtgadvocates.com/the-role-of-the-data-protection-officer-under-the-general-data-protection-regulation/
• [16] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/
• [17] : https://www.endpointprotector.com/blog/dpo-vs-cpo-compliance-roles-at-glance/
• [18] : http://www.edugeek.net/forums/data-protection-information-handling/199518-dpo-role-personal-liability.html
• [19] : https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
• [20] : https://blog.netwrix.com/2020/03/27/gdpr-in-the-us/
• [21] : https://www.gdprsummary.com/data-protection-officer/
• [23] : https://blogs.orrick.com/trustanchor/2019/07/02/new-law-decreases-the-number-of-companies-required-to-designate-a-data-protection-officer-in-germany/
• [24] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance

• LinkedIn
• Twitter