En Europe, le concept de « délégué à la protection des données » a été établi avec le règlement général sur la protection des données (RGPD). Ce n’est pas nouveau aux États-Unis, où la loi HIPAA s’applique aux données de santé, mais en Europe, l’Union européenne a défini le rôle du contrôleur de la protection des données comme un service dans sa loi sur la protection des données. Sources : 3,10,8]
Il convient de noter que les organisations qui ne désignent pas de délégué à la protection des données doivent fournir des preuves expliquant pourquoi elles n’ont pas besoin de désigner un délégué à la protection des données. Bien que le GDPR ne contienne pas de liste spécifique de références pour le contrôleur de la protection des données, il exige que celui-ci ait au moins deux ans d’expérience dans le domaine de la protection et de la sécurité des données. Le PRP de la DG stipule également que le « contrôleur de la protection des données » doit posséder toutes les références nécessaires pour être nommé conformément à la Convention européenne des droits de l’homme (CEDH) et au Pacte international relatif aux droits civils et politiques. Cela nécessite au moins trois ans d’expérience en tant que membre du conseil d’administration d’une organisation et un salaire annuel de 1 000 euros. (1 500 dollars par an pour un employé à temps plein). [Sources : 2,7,7,0]
Découvrez nos solutions sans obligation d’achat
Le contrôleur de la protection des données doit coopérer avec le marketing, les ressources humaines et le droit, ainsi qu’avec d’autres unités organisationnelles impliquées dans le traitement des données personnelles. Il doit être en mesure de faire son travail sans subir de pression de la part d’autres personnes de l’entreprise pour « faire les choses d’une certaine manière. » [Sources : 13,5]
En fonction de la taille de l’organisation, le délégué à la protection des données doit être responsable de la protection des données d’au moins 10% des employés de l’entreprise. Il est responsable de la protection des informations personnelles telles que les mots de passe, les numéros de carte de crédit et autres informations personnelles. Sa responsabilité consiste à définir ce que représentent les informations personnelles identifiables pour une entreprise », dit-il. Les responsables de la protection des données procèdent à des évaluations internes de la protection des données, se conforment aux lois et pratiques en la matière et veillent à ce que les autres questions liées à la protection des données soient à jour. Sources : 1,0,4,8]
Le contrôleur de la protection des données (DPD) veille à ce que l’organisation agisse en conséquence en ce qui concerne les pratiques de protection des données et assume la responsabilité générale du traitement des données. Le DPO supervise également les politiques de protection des données et de la vie privée afin de garantir l’opérationnalisation des politiques dans toutes les unités organisationnelles et s’assure que l’organisation traite les informations personnelles telles que les mots de passe, les numéros de carte de crédit et autres informations personnelles. Un responsable de la protection des données est chargé de veiller à ce que les organisations agissent conformément aux pratiques de protection des données et exercent un contrôle général sur le stockage, le traitement et la conservation des données, et s’assure qu’elles agissent conformément aux lois et pratiques applicables en matière de droit et de politiques de protection des données, et que cette organisation a la responsabilité générale des activités de traitement des données. [Sources : 5,9,9]
Un délégué à la protection des données fait également office d’autorité de contrôle qui surveille toutes les activités liées aux données au sein de l’organisation, telles que la collecte, le stockage, le traitement et la conservation des données. Le délégué à la protection des données (DPD) d’une organisation responsable du traitement peut s’assurer que son organisation traite les données personnelles (également appelées « personnes concernées ») conformément aux dispositions applicables en matière de protection des données. Sources : 1,7]
Le délégué à la protection des données est dûment et promptement associé à toutes les questions relatives à la protection des données à caractère personnel. Il veille à ce que l’organisation applique de manière appropriée les lois protégeant les données personnelles telles que les noms, adresses, numéros de téléphone, adresses électroniques et mots de passe. Sources : 4,3]
Le délégué à la protection des données est généralement la personne chargée de veiller à ce que l’entreprise et ses activités soient conformes aux lois et règlements sur la protection des données. C’est un fonctionnaire indépendant de l’entreprise qui est chargé de comprendre la législation sur la protection des données, de veiller à ce que l’entreprise respecte les règles et d’agir en tant que personne de contact pour les personnes concernées. En vertu de l’article 37 du GDPR, le contrôleur de la protection des données est le contrôleur principal de la protection des données de toutes les entreprises qui collectent des données personnelles de citoyens de l’UE. Bien que les entreprises ne soient pas tenues de se conformer au RGPD, un contrôleur de la protection des données peut constituer une approche optimale de la concurrence en matière de données. Sources : 13,13,11,12]
Une société du groupe peut désigner un seul délégué à la protection des données conformément à ses obligations existantes en vertu de l’article 37 du GDPR. Chaque entreprise doit décider pour elle-même si elle désigne un délégué à la protection des données en tant que service ou dans le cadre de sa politique de protection des données. [Sources : 3,3]
Les tâches d’un délégué à la protection des données comprennent le respect des lois pertinentes en matière de protection des données, le contrôle de la conformité des pratiques de traitement des données de l’entreprise au regard des obligations du GDPR et la coopération avec les autorités de contrôle. Quelle que soit l’option choisie, le contrôleur de la protection des données doit fournir un large éventail de services – dont l’étendue dépend de la complexité des données – du traitement et de la taille de votre entreprise. Sources : 3,3]
Engager un délégué à la protection des données, en recruter un et lui donner les ressources nécessaires pour faire son travail efficacement est une tâche titanesque. Le profil idéal pour un délégué à la protection des données est une formation avec une expérience prononcée dans les domaines de la gestion des données, de la sécurité des données et de la protection des données. Un délégué à la protection des données peut assumer cette responsabilité et apporter protection et garanties à votre entreprise. Sources : 11,6]
Sources :
- [0] : https://searchdatamanagement.techtarget.com/feature/Data-protection-officer-responsibilities-and-role-importance
- 1] : https://databrackets.com/data-protection-officer-dpo-and-gdpr-compliance/
- 2] : https://cloud.netapp.com/blog/cvo-blg-data-protection-officer-vs-chief-privacy-officer
- [3] : https://gdpr-info.eu/issues/data-protection-officer/
- [4] : https://cybersecurityguide.org/careers/data-protection-officer/
- [5] : https://dataprivacymanager.net/who-is-a-data-protection-officer-roles-and-responsibilites/
- [6] : https://www.calligo.io/blog/services/data-privacy-services/what-is-data-protection-officer
- [7] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
- [8] : https://www.investopedia.com/terms/d/data-protection-officer-dpo.asp
- [9] : https://idcontrol.com/service/dpo-as-a-service/
- [10] : https://www.sourcingspeak.com/dpo-service-data-protection-officer/
- [11] : https://kefron.com/blog/gdpr-role-data-protection-officer/
- [12] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
- [13] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/