Dans l’environnement commercial actuel, où de plus en plus d’interactions et de transactions ont lieu en ligne et où les données constituent l’épine dorsale des entreprises, les petites entreprises ne peuvent se permettre de ne pas prendre au sérieux la protection des données. Les informations personnellement identifiables (IPI) circulent dans toute l’entreprise et doivent donc être protégées pour protéger l’entreprise. S’il y a une chose à retenir de la protection des données pour les petites entreprises, c’est qu’elle est importante pour la protection des données personnelles. Un délégué à la protection des données GDPR oblige les entreprises à collecter de grandes quantités de données, à contrôler régulièrement les personnes concernées et à être tout simplement des autorités publiques. Sources : 11,11,17]
Cette personne, désignée comme délégué à la protection des données dans la loi GDPR, fera partie de l’équipe de contrôle GDPR qui surveille la sécurité de leurs données par les entreprises. Le contrôleur de la protection des données est là pour fournir des informations et des conseils sur les pratiques de collecte de données, contrôler la conformité et agir en tant qu’autorité de protection des données (qui est le bureau du commissaire à l’information au Royaume-Uni). Indépendamment, le contrôleur de la protection des données s’assurera que l’organisation applique correctement les lois protégeant les données personnelles. Sources : 15,6,7]
Découvrez nos solutions sans obligation d’achat
Le GDPR est une partie essentielle du GDPR pour les entreprises qui effectuent un traitement étendu des données. Les grandes entreprises doivent soit mettre en place leur propre délégué à la protection des données, soit désigner une personne pour ce poste. En fonction de la manière dont l’organisation traite les données personnelles, un délégué à la protection des données peut être nommé ou peut même ne pas avoir besoin d’être nommé. Au Royaume-Uni, les délégués à la protection des données sont nommés au cas par cas et conformément à la législation en vigueur. Sources : 6,10,14]
Il convient de noter que les organisations qui ne désignent pas de délégué à la protection des données doivent fournir des preuves expliquant pourquoi elles n’ont pas besoin de désigner un délégué à la protection des données. L’article 37 exige que le délégué à la protection des données dispose d’une liste spécifique de références pour ses obligations et responsabilités. Bien que le GDPR ne contienne pas de liste spécifique des références du contrôleur de la protection des données, il exige que le contrôleur de la protection des données se comporte conformément aux exigences de l’article 39 de la Convention européenne des droits de l’homme (CEDH) et de l’article 34 du droit de l’UE. La DG PR ne contient pas de liste spécifique ou de données de référence du DPI dans le cadre de ses obligations au titre de l’article 38 du droit de l’UE, mais une exigence générale. Sources : 3,3,4]
S’il n’y en a pas, le contrôleur de la protection des données doit bien sûr être consulté et impliqué si une analyse d’impact sur la protection des données (AIPD) est requise. Une analyse d’impact sur la protection des données (AIPD) doit être réalisée par l’entreprise avant le début de tout nouveau traitement, afin de s’assurer que la protection des données et les défaillances des données sont mises en place de manière constructive, et d’étudier l’impact de toute modification du système de gestion informatique intégré. Le contrôleur de la protection des données devra consulter le directeur général de la DG RP et le directeur général (CFO) de toute entreprise nécessitant une analyse d’impact sur la protection des données (DPI) et une évaluation de la protection des données. Sources : 2,16,1]
Un délégué à la protection des données est un fonctionnaire indépendant de l’entreprise chargé de comprendre la législation sur la protection des données, de veiller à ce que l’entreprise respecte les règles et d’agir en tant que personne de contact pour les personnes concernées. Un délégué à la protection des données est chargé de gérer les données relatives à la protection et à la sécurité des données des employés d’une entreprise et doit être responsable de toutes les activités de gestion des données telles que la collecte, le traitement et le stockage des données. [Sources : 5,15,17]
Un délégué à la protection des données est une personne autorisée par l’organisation à agir en tant que personne de contact pour les personnes concernées telles que les employés, les clients, les amis et les membres de la famille des employés. Un contrôleur de la protection des données (GDPR) est la personne de contact centrale des organisations et est responsable de la protection et de la sécurité des données des citoyens de l’UE et de leurs données personnelles. L’article 37 du GDPR indique que les délégués à la protection des données sont responsables de toutes les activités de gestion des données d’une entreprise qui collecte des données personnelles de citoyens de l’UE. Les délégués à la protection des données, dans une position connue sous le nom de » délégué à la protection des données » ou » responsable de la protection des données « , devront surveiller le processus commercial pour s’assurer qu’ils ne violent pas le GDPR. [Sources : 4,12,0,8]
On pourrait toutefois faire valoir que les délégués à la protection des données ne feront pas beaucoup plus que simplement protéger les données personnelles et permettre aux personnes concernées de contrôler, surveiller et suivre leurs données. Bien qu’il soit recommandé d’avoir une personne responsable de la protection et de la sécurité des données des citoyens de l’UE, un contrôleur de la protection des données n’est obligatoire que pour les petites entreprises. Même si l’entreprise n’a pas à se conformer au GDPR, la mise en place d’un contrôleur de la protection des données reste une bonne pratique pour la protection des données. Comme décrit dans les détails de ce billet, les délégués à la protection des données doivent être en mesure de fournir des analyses d’impact de la prévention des données (APD) pour toutes les activités de gestion des données d’une entreprise. Sources : 9,2,13,17]
Sources :
- [0] : https://gdpr.eu/data-protection-officer/
- 1] : https://carnegieindia.org/2019/05/15/will-gdpr-style-data-protection-law-work-for-india-pub-79113
- 2] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
- [3] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
- [4] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
- [5] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
- [6] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr/what-gdpr-means-for-small-businesses
- [7] : https://www.pcmag.com/news/gdpr-begins-today-what-you-need-to-know
- [8] : https://amtrustfinancial.com/resource-center/trends-and-research/gdpr
- [9] : https://havocshield.com/2020/10/how-gdpr-data-protection-officer-boosts-cybersecurity/
- [10] : https://www.securitymetrics.com/blog/how-much-does-gdpr-compliance-cost
- [11] : https://www.virtru.com/blog/data-protection-guide-small-businesses/
- [12] : https://trueinfluence.com/does-my-company-need-a-dpo-for-gdpr-compliance/
- [13] : https://www.compliancejunction.com/small-business-dpo-gdpr/
- [14] : https://www.startuploans.co.uk/business-advice/gdpr-checklist-for-small-businesses/
- [15] : https://cybersecurityguide.org/careers/data-protection-officer/
- [16] : https://www.compliancejunction.com/gdpr-for-small-business/
- [17] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/