Pourquoi nommer un délégué à la protection des données ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

La désignation d’un délégué à la protection des données est l’une des énigmes vagues et déroutantes que pose la nouvelle loi sur la protection des données aux États-Unis d’Amérique. Le concept de « délégué à la protection des données » existe depuis de nombreuses années, mais fait l’objet, dans la plupart des cas, d’un amendement à la loi américaine sur la protection des données et les droits civils, qui entrera en vigueur en mai 2018. [Sources : 4,13]

En vertu de la loi sur la protection des données de 2012, la nomination d’un délégué à la protection des données est l’une des premières étapes du processus d’application des lois sur la protection des données. Il convient de noter que les organisations qui ne désignent pas de délégué à la protection des données doivent fournir des preuves expliquant pourquoi elles n’ont pas besoin de désigner un délégué à la protection des données. Aux États-Unis, une organisation ne peut désigner un autre délégué à la protection des données que si le GDPR l’exige. Les entreprises qui n’ont pas nommé le contrôleur de la protection des données doivent être en mesure de démontrer qu’elles n’ont pas besoin de l’avoir nommé, et il convient de noter que l’organisation qui ne l’a pas engagé ou nommé doit avoir fourni des preuves expliquant pourquoi elle ne veut pas ou n’a pas besoin de l’avoir nommé. Sources : 1,9,6,5]

Le GDPR ne contient pas de liste spécifique de références du GDPR, mais l’article 37 exige qu’un contrôleur de la protection des données ait au moins deux ans d’expérience en tant que contrôleur de la protection des données. Bien que le GDPR ne fournisse pas au contrôleur de la protection des données de listes de références spécifiques, il exige qu’il puisse démontrer qu’il s’est comporté d’une manière conforme à ses obligations légales et aux exigences de ses obligations. [Sources : 5,17]

Une personne nommée au poste de contrôleur de la protection des données doit avoir une expérience significative en matière de protection des données, bien connaître le GDPR et comprendre ses exigences afin d’être en mesure d’accomplir ses tâches efficacement. Un contrôleur de la protection des données doit connaître les lois et règlements de l’Union européenne (UE) et des États membres de l’UE. Bien que le contrôleur de la protection des données soit responsable de la conformité au GDPR, il devrait également être impliqué dans les questions de protection des données. [Sources : 6,10,18]

Un délégué à la protection des données est généralement la personne chargée de veiller à ce que la société et ses activités soient conformes à toutes les lois et réglementations relatives à la protection des données. Un délégué à la protection des données est un fonctionnaire indépendant de l’entreprise chargé de comprendre la législation sur la protection des données, de veiller à ce que l’entreprise respecte les règles et d’agir en tant que personne de contact pour les personnes concernées. Le délégué à la protection des données (GDPR) est généralement un spécialiste avéré dans le domaine du droit des données et de la protection des données, qui connaît bien le GDPR. Bien qu’il soit recommandé d’avoir quelqu’un qui soit membre de l’Union européenne (UE) ou des autorités de protection des données des États membres de l’UE, le contrôleur de la protection des données n’est pas seulement obligatoire. [Sources : 2,16,8,12]

Bien que les entreprises ne soient pas tenues de se conformer au GDPR, la mise en place d’un délégué à la protection des données est un bon moyen de procéder à la protection des données. Le délégué à la protection des données peut contribuer à assurer la conformité en conseillant les employés sur les questions pertinentes de sécurité des données, en sensibilisant l’entreprise et en effectuant un suivi régulier. La nomination d’un délégué à la protection des données n’est peut-être pas nécessaire, mais elle est importante pour remplir les obligations du GDPR. [Sources : 18,2]

Si vous n’êtes pas sûr que votre entreprise doive nommer un délégué à la protection des données ou un représentant GDPR, vous devez demander conseil à un expert GDPR indépendant. Avant de prendre une décision sur la nomination d’un délégué à la protection des données et avant de trouver le meilleur candidat, vous devez rédiger un protocole de nomination qui pourra être utilisé en cas de conflit d’intérêts ou d’autres problèmes juridiques, comme une rupture de contrat. Lors de la nomination ou de la désignation d’un délégué à la protection des données, le processus doit être formalisé par une lettre de nomination écrite du contrôleur de la protection des données. Sources : 11,4,19]

Certaines organisations sont obligées de nommer un délégué à la protection des données en vertu du GDPR, mais certaines organisations peuvent décider de ne pas nommer un délégué à la protection des données. En tant qu’exigence obligatoire, un contrôleur de la protection des données (DPO) est nommé aux organisations qui traitent des données ou des personnes concernées à grande échelle. Un délégué à la protection des données (DPO) veille à ce que les entreprises qui traitent des données personnelles conformément à la réglementation sur la protection des données respectent toutes les règles. Sources : 7,10,3]

Bien que le règlement général de l’UE sur la protection des données prévoie le rôle d’un contrôleur de la protection des données, la question de savoir comment ce rôle doit être opérationnalisé est controversée. En pratique, cela signifie que le délégué à la protection des données n’a pas la position d’un partenaire junior. En vertu de la législation européenne, un travailleur ne peut être nommé contrôleur de la protection des données que s’il satisfait aux exigences de la réglementation. [Sources : 6,15,0]

De nombreuses entreprises qui doivent se conformer au GDPR doivent nommer un délégué à la protection des données, mais quel est le rôle du délégué à la protection des données ? Un délégué à la protection des données est vraiment un travail essentiel et une bonne personne pour remplir cette tâche. Quel type d’entreprise, le cas échéant, est tenu de nommer un DPD et quel est son rôle ? Sources : 14,6]

Sources:

  • [0] : https://www.osano.com/articles/what-is-a-dpo
  • 1] : https://www.privacy.gov.ph/appointing-a-data-protection-officer/
  • 2] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
  • [3] : https://www.privacycompliancehub.com/gdpr-resources/when-to-appoint-a-data-protection-officer/
  • [4] : https://www.privacypolicies.com/blog/gdpr-dpo-appointment-letter/
  • [5] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
  • [6] : https://www.hipaajournal.com/gdpr-role-of-the-data-protection-officer/
  • [7] : https://osome.com/sg/blog/appoint-data-protection-officer-in-singapore/
  • [8] : https://spinbackup.com/blog/the-role-of-data-protection-officer-in-gdpr-compliance/
  • [9] : https://www.crippspg.co.uk/gdpr-hub/internal-compliance/appointing-data-protection-officer-dpo/
  • [10] : https://seersco.com/articles/data-protection-officer/
  • [11] : https://www.compliancehome.com/gdpr-representative-vs-dpo/
  • [12] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
  • [13] : https://www.gartner.com/smarterwithgartner/how-to-appoint-a-data-protection-officer/
  • [14] : https://www.privacyhelper.co.uk/knowledge-hub-articles/is-a-gdpr-data-protection-officer-really-an-essential-hire
  • [15] : https://gdpr.eu/data-protection-officer/
  • [16] : https://kefron.com/blog/gdpr-role-data-protection-officer/
  • [17] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
  • [18] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
  • [19] : https://www.freeprivacypolicy.com/blog/gdpr-appointment-dpo-letter/