Quand faut-il nommer un délégué à la protection des données ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le concept de contrôleur de la protection des données existe depuis de nombreuses années, mais en Europe, il a été introduit par le règlement général sur la protection des données (RGPD) et fait désormais partie, dans la plupart des cas, de la nouvelle loi de l’Union européenne sur la protection des données, qui entre en vigueur en mai 2018. [Sources : 6,3]

L’article 47 de la loi rend illégal le fait de nommer un délégué à la protection des données à un rôle de conformité à la protection des données sans le DSB. Si une organisation est obligée par le GDPR de nommer un délégué à la protection des données, elle doit le nommer en toutes circonstances. Bien que vous ne soyez pas tenu de nommer officiellement vos DPO en vertu du GDPR, il peut être utile de nommer de manière informelle une personne dans votre entreprise qui est responsable de la conformité à la protection des données. Les entreprises qui n’ont pas besoin de nommer un délégué à la protection des données peuvent embaucher d’autres employés pour effectuer des tâches de protection des données et de conformité telles que la gestion des données, la sécurité des données et la gestion de l’intégrité des données. Dans certaines circonstances, les organisations nomment des commissaires à la protection des données (« DSO »), mais ceux-ci ne peuvent être officiellement nommés qu’après le GAO et, dans certains cas, même après leur nomination. [Sources : 12,13,0,13]

Une fois que vous avez pris la décision de nommer un délégué à la protection des données et que vous avez trouvé un bon candidat, vous devez rédiger un protocole de nomination qui servira de base aux décisions futures en matière de protection et d’intégrité des données. Si vous tenez des registres, vous êtes prêt si un responsable frappe à la porte, donc vous êtes prêt s’il frappe. [Sources : 11,11]

Un autre élément important à prendre en compte et auquel il faut répondre est la nécessité de publier les coordonnées du contrôleur de la protection des données et de les communiquer aux autorités de contrôle. Lorsqu’un délégué à la protection des données est nommé, ses supérieurs doivent publier ses coordonnées et les communiquer aux autorités de contrôle. Le contrôleur de la protection des données peut intervenir, mais il doit être impliqué dans toutes les questions relatives à la protection des données. S’il ne remplit pas son rôle au mieux de ses capacités, il peut être sanctionné ou licencié. Sources : 10,6,8]

Si une organisation relève d’un ou de plusieurs de ces trois cas, un délégué à la protection des données externe peut être désigné ou une personne extérieure à l’entreprise peut être nommée. Les sociétés du groupe peuvent nommer un seul délégué à la protection des données conformément aux obligations existantes dans le cadre de leurs obligations en matière de protection des données. Sources : 6,10]

Un contrôleur unique de la protection des données peut également être nommé auprès de plusieurs autorités ou organes pour examiner comment ils se comporteraient conformément à leurs obligations en vertu de la loi sur la protection des données. Si l’autorité ou l’organe qui effectue le traitement est considéré comme une « autorité », un délégué à la protection des données peut être nommé. Avant de choisir cette personne, il est important de s’assurer que le délégué à la protection des données interne n’est pas soumis à un conflit d’intérêts puisqu’il supervise cette personne. S’il y en a un, le contrôleur de la protection des données doit bien sûr être consulté et impliqué dans le processus de décision, par exemple si une analyse d’impact de la prévention des données (DPIA) est nécessaire. Sources : 6,10,4,1]

Un seul contrôleur de la protection des données peut également être nommé dans une organisation si celle-ci fait partie d’un groupe et si le contrôleur de la protection des données est facilement accessible au sein de l’institution. Notez qu’un seul délégué à la protection des données peut être partagé entre plusieurs groupes ou entreprises, à condition qu’il soit accessible à toutes les organisations. Sources : 14,1]

Dans certaines situations, la nomination d’un contrôleur de la protection des données peut ne pas être nécessaire, mais ces circonstances ont été identifiées comme des circonstances dans lesquelles la nomination d’un contrôleur de la protection des données est seulement obligatoire. Bien qu’il soit recommandé d’avoir une personne capable de contrôler régulièrement et de remplir ses obligations en vertu du GDPR, le contrôleur de la protection des données ne peut être obligatoire que dans certaines circonstances. Un responsable de la protection des données peut contribuer à assurer la conformité en conseillant les employés sur les questions pertinentes de sécurité des données et en sensibilisant l’entreprise. Si vous avez besoin de plus d’informations sur les exigences du délégué à la protection des données dans votre organisation, veuillez contacter Penny Bygrave pour plus d’informations. [Sources : 5,10,16,9]

Le délégué à la protection des données (RGPD) est la personne de contact centrale de votre organisation et a un certain nombre de responsabilités et d’obligations en matière de protection et de sécurité des données. Cet article servira de compréhension de haut niveau du rôle du DPD, puisqu’il s’agira de savoir comment recruter les meilleurs DPO et ce dont l’organisation ou la personne morale aura besoin pour les nommer. Il faudra montrer ce qu’est un DPD, comment déterminer si vous en avez besoin, quelles sont les exigences d’un délégué à la protection des données et comment tout cela se met en place en un clin d’œil. Sources : 17,7,2]

La personne nommée au rôle de contrôleur de la protection des données doit avoir une expérience significative en matière de protection des données et être familière avec le GDPR et comprendre ses exigences afin d’accomplir efficacement sa tâche. Bien que le GDPR ne contienne pas de liste spécifique de références pour le contrôleur de la protection des données, il exige que celui-ci ait une compréhension claire des exigences en matière de sécurité des données, de protection des données et de protection des données en général. [Sources : 4,15]

Sources:

  • [0] : https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
  • 1] : https://www.activemind.legal/guides/appointment-dpo/
  • 2] : https://gdpr.eu/data-protection-officer/
  • [3] : https://www.gartner.com/smarterwithgartner/how-to-appoint-a-data-protection-officer/
  • [4] : https://www.hipaajournal.com/gdpr-role-of-the-data-protection-officer/
  • [5] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/germany
  • [6] : https://gdpr-info.eu/issues/data-protection-officer/
  • [7] : https://blog.rsisecurity.com/do-i-need-to-appoint-a-data-protection-officer/
  • [8] : https://www.linklaters.com/en/insights/data-protected/data-protected—spain
  • [9] : https://www.vwv.co.uk/news-and-events/blog/public-sector-law/public-authorities-data-protection
  • [10] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
  • [11] : https://www.privacypolicies.com/blog/gdpr-dpo-appointment-letter/
  • [12] : https://www.odpa.gg/information-hub/organisations/data-protection-officers/
  • [13] : https://www.crippspg.co.uk/gdpr-hub/internal-compliance/appointing-data-protection-officer-dpo/
  • [14] : https://dataprivacymanager.net/does-my-company-or-business-appoint-a-data-protection-officer-dpo/
  • [15] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
  • [16] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
  • [17] : https://www.termsfeed.com/blog/gdpr-appointment-dpo-letter/