Un délégué à la protection des données est-il obligatoire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Saviez-vous que le règlement général sur la protection des données (RGPD) permet aux organisations d’externaliser le rôle du contrôleur de la protection des données (DPD) ? En vertu de la loi sur la protection des données de 2012, la nomination d’un  » délégué à la protection des données  » ou  » Data Protection Officer  » est obligatoire pour tous les responsables de la protection des données au Royaume-Uni. Il s’agit de s’assurer que leur organisation traite les données (également appelées « personne concernée ») conformément aux règles de protection des données. Sources : 18,7,20]

Bien que la désignation d’un délégué à la protection des données puisse être facultative pour certaines organisations, la décision de désigner un tel délégué exige que le délégué à la protection des données de l’organisation réponde aux exigences pertinentes énoncées dans le GDPR. L’autorité de contrôle peut recommander la nomination de personnes lorsque, dans certains cas, il n’est pas nécessaire de nommer un délégué à la protection des données ou lorsqu’il est « utile pour le responsable du traitement de se conformer aux obligations dans le domaine de la protection des données à caractère personnel. » Dans les cas où la désignation d’un délégué à la protection des données n’est qu’obligatoire, ces circonstances peuvent être identifiées ci-dessous. [Sources : 4,16,8]

Lorsqu’une organisation nomme un délégué à la protection des données, le responsable du traitement et le sous-traitant des données sont tous deux responsables de la conformité juridique avec le GDPR. Si le responsable du traitement est déjà responsable de nombreuses opérations de traitement des données, il peut ne pas nommer de délégué à la protection des données. [Sources : 5,19]

Toutefois, sur la base des obligations susmentionnées, on pourrait faire valoir qu’un délégué à la protection des données ne se contente pas de protéger les données personnelles et de permettre aux personnes concernées de contrôler, de suivre et de surveiller leurs données. Le délégué à la protection des données ne peut effectuer aucune tâche qui pourrait entraîner une violation du GDPR, comme la collecte de données personnelles par des tiers. Mais le fait d’être nommé délégué à la protection des données ne signifie pas que l’organisation a rempli ses obligations en matière de protection des données. [Sources : 19,9,1]

Tout comme le GDPR de l’UE, la loi sur la protection des données ne contient pas d’exigences spécifiques pour la nomination d’un GDPR. Bien que le GDPR ne fournisse pas au contrôleur de la protection des données une liste spécifique de références, il exige du contrôleur de la protection des données un niveau élevé de connaissances, de compétences et d’expérience dans le domaine de la protection des données. Les qualités professionnelles expressément recommandées sont élevées dans le code de déontologie, de sorte qu’il dispose des connaissances et des compétences nécessaires pour accomplir toutes ses tâches nécessaires. Sources : 21,17,4]

Le contrôleur de la protection des données doit également être impliqué dans toutes les questions de droit et de pratique de la protection des données, car il lui incombe de veiller au respect du GDPR. Une tâche importante des D POA est de prendre la responsabilité de la protection des données en termes de confidentialité, de sécurité des données, de protection des données et d’intégrité des données. [Sources : 15,12]

Un autre élément important à prendre en compte et auquel il faut répondre est la nécessité de publier les coordonnées du délégué à la protection des données et de les communiquer à l’autorité de contrôle. Lorsqu’un délégué à la protection des données est nommé, ses supérieurs doivent publier ses coordonnées et les communiquer au délégué à la protection des données et aux autorités. Le délégué à la protection des données peut être invité à consulter et à participer à l’évaluation d’impact sur la protection des données (DPIA) nécessaire, si une telle évaluation est disponible. Cette évaluation est également nécessaire si un délégué à la protection des données distinct doit être engagé ou si un employé existant peut remplir cette fonction. Sources : 3,13,13,2]

Un délégué à la protection des données est nommé par une organisation qui traite des données ou des personnes concernées à grande échelle, ce qui est strictement nécessaire. Les entreprises qui n’ont pas besoin de nommer un DPO peuvent choisir de nommer d’autres employés pour effectuer des tâches de confidentialité et de conformité. Un non-DPO peut également être nommé dans un rôle de protection des données et de conformité au même titre que le D-poo nommé, mais seulement pour une période limitée. Sources : 15,10]

Si vous faites partie d’une organisation qui relève d’une ou plusieurs de ces trois organisations, vous pouvez nommer un délégué à la protection des données externe ou une personne extérieure à l’entreprise. Lorsque vous nommez un délégué à la protection des données, il se peut que votre rôle actuel en tant que délégué à la protection des données (D – POO) ne soit pas soumis aux mêmes exigences que votre rôle actuel en tant que délégué à la protection des données. [Sources : 1,13]

Vous pouvez soutenir cette démarche en faisant appel à un délégué à la protection des données qui est également un expert en protection des données ou un expert en matière de conformité. Bien que le GDPR ne prévoie pas de références précises, il faut s’attendre à ce qu’un contrôleur de la protection des données ait au moins deux ans d’expérience en tant que contrôleur de la protection des données (D-POO) et qu’il ait une expérience dans les domaines de la sécurité des données, de la protection des données, de la politique de protection des données et de la conformité. En tant que D-POO, il est impératif qu’il ait une solide compréhension des questions de protection des données, telles que la conservation des données et les droits à la vie privée. Vous devez également avoir de l’expérience dans la gestion des données, la conformité, ainsi que la collecte et la gestion des données. Sources : 14,15,0,6]

Pour devenir un délégué à la protection des données, vous devez avoir au moins deux ans d’expérience en tant que délégué à la protection des données (D – POO). Vous devez avoir une expérience en matière de sécurité des données, de politique de protection des données et de conformité, et de gestion des données. Sources : 11]

Sources:

[0] : https://www.informationweek.com/strategic-cio/security-and-risk-strategy/what-to-look-for-in-a-data-protection-officer-and-do-you-need-one/a/d-id/1333390
[1] : https://www.privacy.com.sg/resources/register-data-protection-officer-dpo/
[2] : https://gdpr-info.eu/issues/data-protection-officer/
[3] : https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp
[4] : https://resources.infosecinstitute.com/topic/what-is-a-data-protection-officer/
[5] : https://www.timelex.eu/en/blog/data-protection-officer
[6] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr
[7] : https://www.privacy.gov.ph/appointing-a-data-protection-officer/
[8] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/germany
[9] : https://www.compliancejunction.com/small-business-dpo-gdpr/
[10] : https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
[11] : https://www.infosectrain.com/blog/how-to-become-a-data-protection-officer/
[12] : https://chaucer.com/insights/blog/do-you-need-a-data-protection-officer
[13] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
[14] : https://www.activemind.legal/guides/appointment-dpo/
[15] : https://seersco.com/articles/data-protection-officer/
[16] : https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en
[17] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
[18] : https://privaon.com/services/data-protection-officer-dpo-service/
[19] : https://gdprhero.com/gdpr-hero-blog/data-protection-officers-liability/
[20] : https://osome.com/sg/blog/appoint-data-protection-officer-in-singapore/
[21] : https://wamaeallen.com/a-case-for-the-appointment-of-data-protection-officers-pursuant-to-the-data-protection-act-2019/

​​​​​​​