Le délégué à la protection des données et le contrôleur des données

Le délégué à la protection des données est généralement un spécialiste avéré dans le domaine de la protection des données, dit GDPR. L’autorité de contrôle peut recommander la nomination d’une telle personne lorsque, dans certains cas, il n’est pas nécessaire de nommer un délégué à la protection des données ou lorsqu’il est utile pour le responsable du traitement de se conformer aux obligations de protection des données personnelles à cet égard. Si l’on recommande une personne experte dans un domaine particulier, comme la sécurité des données, le contrôleur de la protection des données n’est qu’obligatoire. Bien que la pratique n’exige pas la nomination d’un délégué à la protection des données, les entreprises peuvent souhaiter avoir un « responsable de la protection des données. » [Sources : 10,18,16,6]

Si les délégués à la protection des données peuvent être employés par les responsables du traitement, ils peuvent également être employés par les responsables du traitement. Veillez à ce que leurs tâches et obligations soient exécutées de manière indépendante et qu’elles soient conformes aux exigences du GDPR et de la loi. Sources : 16]

Le contrôleur de la protection des données doit coopérer avec le marketing, les ressources humaines et le droit, ainsi qu’avec les autres unités organisationnelles impliquées dans le traitement des données personnelles. Les responsables du traitement des données et les sous-traitants aident à contrôler le respect du GDPR en interne, car ils doivent également aider le contrôleur de la protection des données à remplir ses obligations. [Sources : 8,16]

L’une des plus importantes est que le contrôleur de la protection des données doit contrôler le respect du GDPR en ce qui concerne la protection des données personnelles. L’analyse d’impact sur la protection des données doit être réalisée conformément aux lois et pratiques en matière de protection des données dans le contexte de tous les règlements et réglementations pertinents. Comme il lui incombe de veiller au respect du GDPR, il doit également être impliqué dans toutes les questions relatives aux lois et pratiques en matière de protection des données et sensibiliser à cette responsabilité. Il doit contrôler le respect des règles de protection des données par les responsables du traitement et les sous-traitants et les autres organisations de son organisation. [Sources : 17,15,3,2]

Le délégué à la protection des données (GDPR) est la personne de contact centrale de l’organisation et doit remplir au moins une des conditions suivantes : un certificat de protection des données, une licence pour le système de gestion de base de données (SGBD) et une licence pour la gestion des données personnelles. Selon le GDPR, le délégué à la protection des données doit avoir au moins deux ans d’expérience dans le domaine de la protection et de la sécurité des données. Bien que la DG PRPR ne contienne pas de liste spécifique de références pour le contrôleur de la protection des données, elle exige qu’il ait accès à toutes les informations pertinentes sur le respect des lois et règlements dans son domaine de responsabilité. Sources : 7,14,0]

L’article 38 (1) indique que les responsables du traitement et les sous-traitants veillent à ce que le délégué à la protection des données soit associé de manière appropriée et rapide aux questions relatives à la protection des données à caractère personnel. L’article 38 définit la fonction du délégué à la protection des données. Le responsable du traitement ou le sous-traitant doit également s’assurer, conformément à l’article 39, paragraphe 2, qu’il est associé de manière appropriée et en temps utile aux questions relatives, entre autres, à la protection des données à caractère personnel (PPD) et à la sécurité des données (DSP). L’article 37 stipule : « Le contrôleur de la protection des données est informé de manière complète et approfondie de toutes les informations et procédures pertinentes pour la gestion des données et est en contact avec le contrôleur de la protection des données et la DG PRPR sur toutes les questions de protection et de données à caractère personnel. » [Sources : 7,13]

L’article 35 (2) du GDPR stipule que le responsable du traitement doit demander l’avis d’un délégué à la protection des données (s’il est désigné) et de la DG PRPR lors de la réalisation de l’analyse d’impact sur la protection des données. [Sources : 13]

Les parties concernées peuvent contacter le délégué à la protection des données pour toute question concernant la protection des données, la protection des données et la sécurité des données. Le délégué à la protection des données est un fonctionnaire indépendant de l’entreprise chargé de comprendre la législation sur la protection des données, de veiller à ce que les entreprises respectent les règles et de servir de point de contact pour les personnes concernées. [Sources : 8,12]

Normalement, le délégué à la protection des données est une personne chargée de veiller à ce que l’entreprise et ses activités soient conformes aux lois et règlements régissant la protection des données. Il peut exercer cette fonction sur la base d’un contrat de service et peut être un employé du responsable du traitement ou du sous-traitant. Sources : 18,1]

Lorsqu’une organisation nomme un délégué à la protection des données, le responsable du traitement et le sous-traitant sont tous deux responsables de la conformité juridique avec le GDPR. Si les activités principales du responsable du traitement ou du sous-traitant nécessitent le traitement de catégories particulières de données à grande échelle, le délégué à la protection des données peut être nommé sur la base d’un contrat de service et les responsabilités susmentionnées s’appliquent. Le sous-traitant des données devient le responsable du traitement des données chaque fois qu’il participe à la collecte des données. Lorsqu’une organisation nomme un délégué à la protection des données, elle conserve toute la responsabilité de la conformité au GDPR, même si elle ne respecte pas la disposition, et il lui incombe de contrôler la conformité à ce règlement. En cas de non-conformité ou de non-respect de l’une de ces dispositions, il ne peut être tenu personnellement responsable. [Sources : 3,17,4,4]

Sources :

• [0] : https://www.aferm.org/erm_feed/gdpr-and-the-role-of-the-data-protection-officer/
• [1] : https://kefron.com/blog/gdpr-role-data-protection-officer/
• [2] : https://seersco.com/articles/data-protection-officer/
• [3] : https://www.hipaajournal.com/gdpr-role-of-the-data-protection-officer/
• [4] : https://gdprhero.com/gdpr-hero-blog/data-protection-officers-liability/
• [5] : https://www.iubenda.com/en/help/5428-gdpr-guide
• [6] : https://spinbackup.com/blog/the-role-of-data-protection-officer-in-gdpr-compliance/
• [7] : https://gdpr.eu/data-protection-officer/
• [8] : https://dataprivacymanager.net/who-is-a-data-protection-officer-roles-and-responsibilites/
• [9] : https://www.helpnetsecurity.com/2020/06/19/data-protection-officer/
• [10] : https://www.themdu.com/guidance-and-advice/guides/introduction-to-the-gdpr-for-independent-practitioners
• [11] : https://www.i-scoop.eu/gdpr/data-controller-data-controller-duties/
• [12] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
• [13] : https://www.icaew.com/technical/technology/data/data-protection/data-protection-articles/so-who-wants-to-be-a-data-protection-officer
• [14] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
• [15] : https://tesla-project-eu.azurewebsites.net/gdpr-come-data-protection-officer/
• [16] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
• [17] : https://www.termsfeed.com/blog/gdpr-data-controller-vs-processor/
• 18] : https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en

• LinkedIn
• Twitter