Quand la conservation des données est-elle nécessaire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’idée de la conservation des données pour les organisations qui traitent des données personnelles existe depuis de nombreuses années aux États-Unis et dans d’autres pays. Sources : 0]

Dans certains pays, il s’agit d’une exigence obligatoire, dans d’autres, comme l’Union européenne (UE), ce n’est pas le cas. Cet ouvrage donne un aperçu des cas où le GDPR l’exige et de ceux où il ne l’exige pas, ainsi qu’une répartition des exigences. Sources : 15,1]

Le lot de travaux 29 encourage les organisations qui ne sont pas obligées de nommer un GDPR en vertu de l’article 37 GDPR mais qui ont été nommées dans le cadre de ce programme à embaucher ou à nommer des POO dans le cas de l’AP29, D POO. Les articles 27 et 29 de la DG PR prévoient que la nomination d’un DPO est considérée comme obligatoire si une organisation considère qu’une telle nomination est applicable. Sources : 21,11]

Si une organisation n’est pas tenue ou ne souhaite pas désigner un délégué à la protection des données, il faut recommander qu’elle en documente les raisons. Si une organisation décide qu’elle n’a pas besoin ou ne souhaite pas nommer le DPOO, il est bon de consigner cette décision afin de démontrer la conformité aux principes de responsabilité. Sources : 7,14]

Si le traitement de données à caractère personnel est nécessaire, il est conseillé à l’organisation qui les traite de nommer un délégué à la protection des données. Même si cette nomination n’est pas obligatoire et même si elle n’est pas obligatoire, il peut être utile de la faire sur une base volontaire. [Sources : 20,2,17,12]

Cet article sert de compréhension de haut niveau du rôle du DPO, car il s’agit de savoir comment recruter les meilleurs DPO et si votre organisation ou votre entité juridique est tenue de nommer un DPO. Le rôle de ce dernier est de surveiller tous les aspects de la conformité de votre entreprise au GDPR, par exemple en s’assurant que l’entreprise répond à ses exigences, ainsi que le respect du GDPR par ses employés et ses clients. Sources : 5,6]

En fonction de la taille et de la structure de votre entreprise, il peut être utile de désigner un délégué à la protection des données externe pour remplir les obligations d’un délégué à la protection des données. Certaines entreprises peuvent faire appel à des contractants externes comme délégué à la protection des données, plutôt qu’à des employés, à condition qu’ils aient les compétences et l’expérience nécessaires pour accomplir cette tâche. Les entreprises qui n’ont pas besoin de nommer un délégué à la protection des données externe peuvent désigner d’autres employés pour effectuer des tâches de protection des données et de conformité. Par exemple, si vous mettez en place un DPI dédié aux services, vous pouvez utiliser un D-PoP non désigné dans un rôle de conformité à la vie privée, ou vous pouvez partager un D-PoP entre plusieurs organisations. Vous pouvez également nommer un responsable de la protection des données et de la conformité sans aucune responsabilité en matière de protection de la vie privée et désigner son équipe comme faisant partie de la même équipe au lieu de devoir nommer un autre DPI, CTO et/ou externe. Sources : 9,9,9,8]

Certaines organisations choisissent de soutenir un délégué à la protection des données externe en nommant un délégué à la protection des données et à la conformité (DPI) interne et / ou un délégué à la protection des données externe (Non-D-PoP). Sources : 16]

Toutefois, sachez que même si vous élisez un délégué à la protection des données, vous devrez satisfaire aux mêmes exigences que si la nomination était obligatoire. Même si votre organisation décide de nommer le DPD volontairement, vous devez garder à l’esprit que tous ont les mêmes exigences et responsabilités, et que la nomination d’un DPD est critique pour certaines organisations. Sources : 14,21]

Une fois qu’il est établi que vous avez satisfait aux exigences du GDPR, il est temps de décider si vous devez mettre fin à un GDPR. Même si vous n’avez pas besoin d’un délégué à la protection des données pour vous conformer au GDPR, il peut être utile dans certains cas de nommer le délégué à la protection des données. [Sources : 18,4]

Par conséquent, vous devez décider si la nomination d’un DSB à temps plein est le meilleur moyen de garantir que votre organisation se conforme au GDPR, ou si vous souhaitez nommer un DSB à temps partiel ou un DSB faisant partie d’une équipe de trois ou quatre personnes. La nomination d’un DPD et le soutien de l’équipe (en fonction de la taille de votre entreprise) ne sont pas des décisions dont peu d’entreprises ont besoin. Certaines entreprises peuvent choisir volontairement de nommer des contrôleurs de la protection des données, même si elles ne sont pas légalement obligées de le faire. Dans certains cas, un DPD volontaire peut être nommé pour une période limitée, par exemple jusqu’à la fin de l’année. Sources : 13,19,9]

Le délégué à la protection des données est désigné par la loi, vous devez vous inscrire auprès d’une autorité de contrôle et demander le droit de désigner un délégué à la protection des données uniquement dans certaines conditions. Si vous avez déterminé que vous devez vous conformer au GDPR, vous êtes obligé de commander volontairement les DPO. Cela s’applique également si vous les nommez volontairement, mais seulement pour une période limitée, par exemple jusqu’à la fin de l’année. [Sources : 10,10]

Sources:

  • 0] : https://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.html
  • 1] : https://www.clarip.com/data-privacy/outsourced-data-protection-officer/
  • 2] : https://iapp.org/news/a/the-dpo-must-be-independent-but-how/
  • [3] : https://www.itgovernance.co.uk/data-protection-officer-dpo-under-the-gdpr
  • [4] : https://spinbackup.com/blog/the-role-of-data-protection-officer-in-gdpr-compliance/
  • [5] : https://blog.rsisecurity.com/do-i-need-to-appoint-a-data-protection-officer/
  • [6] : https://blog.eccouncil.org/ciso-and-dpo-is-this-a-dual-role-of-a-security-officer/
  • [7] : https://medium.com/golden-data/what-is-a-data-protection-officer-under-eu-law-9fe9c5dd9d17
  • [8] : https://www.termsfeed.com/blog/gdpr-appointment-dpo-letter/
  • [9] : https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
  • [10] : https://dataprivacymanager.net/does-my-company-or-business-appoint-a-data-protection-officer-dpo/
  • [11] : https://globaldatahub.taylorwessing.com/article/article-29-working-party-guidance-on-data-protection-officers
  • [12] : https://www.itgovernanceusa.com/the-data-protection-role-(dpo)-sous-le-gdpr
  • [13] : http://www.ascentor.co.uk/2017/06/gdpr-data-protection-officer-dpo/
  • [14] : https://seersco.com/articles/data-protection-officer/
  • [15] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr
  • [16] : https://www.gdpr.co.uk/appointing-a-dpo
  • [17] : https://www.advantio.com/blog/the-dpo-role-analysis-and-big-benefits-for-an-external-dpo
  • [18] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
  • [19] : https://www.skillcast.com/blog/data-protection-officer-gdpr
  • [20] : https://www.activemind.legal/guides/appointment-dpo/
  • [21] : https://blog.privacyperfect.com/finding_the_right_dpo