Quand un délégué à la protection des données est-il nécessaire ?

Le règlement général sur la protection des données, plus connu sous le nom de RGPD, exige qu’un délégué à la protection des données (DPD) soit nommé dans certains cas. Sources : 12,2]

Le contrôleur de la protection des données (GDPR) est la personne de contact centrale de l’organisation et a un certain nombre de références qui doivent être remplies. L’article 37 exige que le délégué à la protection des données ait au moins deux ans d’expérience dans le domaine de la sécurité et de la protection des données. Bien que la DG PR ne contienne pas de liste spécifique de références pour le contrôleur de la protection des données, elle exige que le DPOO ait accès à une base de données contenant toutes les données relevant de sa sphère de compétence et qu’il ait un certain degré d’accès et de contrôle sur les informations contenues dans cette base de données. Le RGPD ne contient pas de liste spécifique de références du DPO, mais l’article 37 l’exige. Sources : 1,0,5]

Bien que l’article 38 définisse la position du contrôleur de la protection des données, les responsables du traitement et les sous-traitants doivent s’assurer que le contrôleur de la protection des données est correctement et rapidement impliqué dans les questions relatives à la protection des données à caractère personnel. Le contrôleur de la protection des données est associé de manière appropriée à toutes les questions relatives à la protection des données à caractère personnel, en particulier à l’administration des questions de sécurité et de protection des données. Sources : 1,10]

S’il n’y en a pas, le contrôleur de la protection des données doit bien sûr être consulté si une analyse d’impact sur la protection des données (AIPD) est nécessaire. Les sous-traitants et les responsables du traitement des données aident à contrôler la conformité au GDPR en interne, car ils doivent également aider le contrôleur de la protection des données à remplir ses obligations. Le contrôleur de la protection des données aurait également un rôle dans l’enquête de l’entreprise sur les violations des exigences du GDPR. Il devrait également être consulté si une évaluation de l’impact sur les données est nécessaire. [Sources : 8,8,2]

Même si une entreprise ne doit pas se conformer au GDPR, la mise en place d’un contrôleur de la protection des données est une bonne pratique pour la protection des données. Un délégué à la protection des données veille de manière indépendante à ce que l’Organisation applique de manière appropriée les lois protégeant les données personnelles. Il doit pouvoir se comporter de manière cohérente avec ses fonctions de contrôleur de la protection des données et il est responsable de la protection des données de l’entreprise et de la vie privée de ses employés. Sources : 14,17,11,11]

Un contrôleur de la protection des données (DPD) est obligatoirement nommé dans les organisations qui traitent des données ou des personnes concernées à grande échelle. Il convient de noter que les organisations qui ne désignent pas de délégué à la protection des données doivent fournir des preuves expliquant pourquoi elles n’ont pas besoin de désigner un délégué à la protection des données. Il incombe au délégué à la protection des données d’une organisation de veiller à ce que son organisation traite les données (également appelées « personnes concernées ») conformément à toutes les réglementations applicables en matière de protection des données. S’il est nécessaire d’assurer la conformité avec le GDPR, il doit également être impliqué dans toutes les questions relatives aux lois et pratiques en matière de protection des données. Sources : 18,3,18,0]

Si vous êtes intéressé par le métier de délégué à la protection des données et que vous voulez savoir comment être embauché en tant que délégué à la protection des données, vous devez être pleinement conscient des exigences et des conditions requises pour un délégué à la protection des données (DPD). Avant de décider de nommer votre délégué à la protection des données, vous devez établir un protocole de nomination afin d’identifier le meilleur candidat, que vous utiliserez comme base pour votre candidature, la procédure de candidature et la nomination elle-même. Sources : 4,7,6]

Si l’activité principale de votre organisation commerciale est associée au traitement de catégories spécifiques de données à grande échelle, il est nécessaire qu’un délégué à la protection des données soit responsable de la collecte, du traitement et du stockage des données personnelles. Si vous devenez un délégué à la protection des données, vous devez assumer la responsabilité de veiller à ce que tous les employés qui effectuent le traitement soient informés de leurs responsabilités et obligations. Votre délégué à la protection des données doit travailler avec le marketing, les ressources humaines et le droit, ainsi qu’avec d’autres entités organisationnelles impliquées dans le traitement des données personnelles, telles que les employés, les clients, les employés d’autres organisations et les autres employés. Sources : 6,16,13]

Dans certains cas, les entreprises devront nommer un délégué à la protection des données pour superviser la stratégie de protection des données de l’entreprise et sa mise en œuvre afin de maintenir l’organisation sur la voie de la conformité au GDPR. Dans certaines situations, la nomination d’un contrôleur de la protection des données peut ne pas être nécessaire et une organisation peut décider de ne pas nommer un contrôleur de la protection des données. Si votre organisation est obligée de se conformer aux exigences du GDPR, ou si vous voulez oublier de faire un suivi régulier et de remplir vos obligations en vertu du GDPR, alors vous aurez probablement besoin de l’aide d’un responsable de la protection des données ou d’un responsable de la protection des données. Certaines organisations au sein de la DG PRP doivent faire l’objet d’un contrôle régulier de leur conformité à la loi et remplir leurs obligations envers l’Union européenne (UE) et les États-Unis (US), et certaines organisations dans l’UE (US) sont obligées depuis plusieurs années de nommer ou de désigner des délégués à la protection des données. Un DPD peut contribuer à assurer la conformité en conseillant les employés sur les questions pertinentes de sécurité des données et en sensibilisant l’entreprise. Sources : 9,17,9,15]

Sources:

• [0] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
• 1] : https://gdpr.eu/data-protection-officer/
• 2] : https://7t.co/blog/the-importance-and-role-of-data-protection-officer-dpo-for-gdpr-compliance/
• [3] : https://databrackets.com/data-protection-officer-dpo-and-gdpr-compliance/
• [4] : https://www.privacypolicies.com/blog/gdpr-dpo-appointment-letter/
• [5] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
• [6] : https://www.infosectrain.com/blog/how-to-become-a-data-protection-officer/
• [7] : https://www.comparitech.com/blog/information-security/data-protection-officer/
• [8] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
• [9] : https://blog.rsisecurity.com/data-protection-officer-gdpr-requirements-and-responsibilities/
• [10] : https://gdpr-info.eu/issues/data-protection-officer/
• [11] : https://cybersecurityguide.org/careers/data-protection-officer/
• [12] : https://globaldatahub.taylorwessing.com/article/the-compliance-burden-under-the-gdpr-data-protection-officers
• [13] : https://www.websitepolicies.com/blog/data-protection-officer
• [14] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
• [15] : https://www.privacycompliancehub.com/gdpr-resources/when-to-appoint-a-data-protection-officer/
• [16] : https://dataprivacymanager.net/who-is-a-data-protection-officer-roles-and-responsibilites/
• [17] : https://hjsolicitors.co.uk/article/does-my-business-need-a-data-protection-officer/
• 18] : https://seersco.com/articles/data-protection-officer/