Un délégué à la protection des données est-il obligatoire ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

Le concept de contrôleur de la protection des données a été établi en Europe par le règlement général sur la protection des données (RGPD). Dans certains pays, il s’agit d’une exigence obligatoire pour toutes les organisations traitant des données personnelles, et la nomination du D-PO est obligatoire. L’idée de délégués à la protection des données dans les organisations qui traitent des données personnelles existe depuis de nombreuses années. Sources : 2,6,22,3]

La section 47 de la loi exige qu’une organisation désigne un délégué à la protection des données (DPD) en toutes circonstances. Lors de la nomination d’un contrôleur de la protection des données, il n’est pas obligatoire de nommer un DPD dans la capacité existante. Les sociétés du groupe peuvent désigner un seul délégué à la protection des données conformément à leurs obligations existantes en vertu de la section 47. Sources : 16,2,11]

Dans certains cas où il n’est pas nécessaire de nommer un délégué à la protection des données, l’autorité de contrôle peut recommander la nomination d’une telle personne, par exemple, lorsqu’il est « utile pour le responsable du traitement de se conformer aux obligations en matière de protection des données à caractère personnel » ou lorsqu’il est « utile pour le contrôleur de la protection des données de superviser les responsables du traitement conformément à leurs obligations existantes en vertu du paragraphe 47. » Ces circonstances ont été identifiées comme étant les circonstances dans lesquelles la nomination en tant que contrôleur de la protection des données est seulement obligatoire. Sources : 12,15]

Comme mentionné, si vous devez désigner un délégué à la protection des données, vous ne devez pas oublier d’inclure ses coordonnées dans votre déclaration de protection des données. Les circonstances suivantes ont été identifiées comme étant les circonstances dans lesquelles la nomination d’un délégué à la protection des données est seulement obligatoire. Sources : 15,19]

Un autre élément important à prendre en compte et auquel il faut répondre est la nécessité de publier les coordonnées d’un délégué à la protection des données et de les communiquer à l’autorité de contrôle. Lorsqu’un délégué à la protection des données est nommé, ses supérieurs doivent publier ses coordonnées et les communiquer aux autorités de protection des données. Le délégué à la protection des données peut être contacté par son supérieur ou par le chef de son service ou par le directeur du service. [Sources : 4,2]

Le GDPR ne contient pas de liste spécifique des références du contrôleur de la protection des données, mais il convient de noter que les organisations qui ne désignent pas de contrôleur de la protection des données doivent fournir des preuves expliquant pourquoi elles n’ont pas besoin de nommer un contrôleur de la protection des données. L’article 37 exige que les délégués à la protection des données aient accès à toutes les informations pertinentes concernant les données et leurs auteurs, telles que le nom, la date de naissance, l’adresse, le numéro de téléphone et l’adresse électronique. Bien que le GDPR ne fournisse pas au délégué à la protection des données une liste spécifique de ses données d’accès, il exige que le délégué à la protection des données ait « accès » aux coordonnées de tous les employés et à leurs informations de contact. En tant qu’exigence obligatoire, toutes les organisations qui traitent des données ou des personnes concernées à grande échelle ont mis en place un délégué à la protection des données (DPD). Sources : 7,10,10,1]

La responsabilisation exige également que les organisations désignent un délégué à la protection des données. L’article 37 du GDPR indique que les délégués à la protection des données sont responsables de la protection des données personnelles des citoyens de l’UE collectées par les entreprises. Un délégué à la protection des données (GDPR) est une personne nommée par une entreprise pour assurer le respect de la loi GDPR. Il s’agit d’une personne physique désignée par l’organisation (entreprise, association, autorité, etc.). [Sources : 9,5,20,21]

Si vous souhaitez devenir un délégué à la protection des données, vous devez suivre une formation pour devenir un délégué à la protection des données certifié afin d’acquérir les connaissances et les compétences nécessaires pour devenir un délégué à la protection des données compétent. Bien que les références exactes ne soient pas précisées dans le GDPR, on peut s’attendre à ce que les délégués à la protection des données aient au moins deux ans d’expérience dans la gestion et la sécurité des données et qu’ils soient titulaires d’un diplôme en informatique, en technologie informatique ou dans un domaine connexe. Il existe un certain nombre de qualifications et de possibilités de formation différentes pour les personnes intéressées à devenir un contrôleur de la protection des données. En règle générale, un délégué à la protection des données est un spécialiste désigné dans un domaine particulier, appelé « spécialiste de la protection des données » en vertu du GDPR (par exemple, un expert en sécurité informatique, un spécialiste de la sécurité des informations, etc.) [Sources : 18,22,0,0]

Si vous l’êtes, votre délégué à la protection des données doit bien sûr être impliqué dans la consultation si vous avez besoin d’une analyse d’impact sur la protection des données (AIPD). Vous devez être conscient des exigences de votre devoir en vertu du GDPR et savoir comment vous devez vous comporter et quand et où vous devez consulter un délégué à la protection des données. Sources : 14,4]

Quand votre organisation doit-elle désigner un délégué à la protection des données (DPD) : Pour plus d’informations, veuillez consulter ce lien. Avant de prendre une décision sur la nomination d’un délégué à la protection des données, vous aurez besoin d’un projet qui enregistre votre nomination. [Sources : 17,21]

Selon la loi sur la protection des données de 2012, la nomination d’un délégué à la protection des données est l’une des tâches les plus importantes d’un délégué à la protection des données dans une organisation. Il s’agit de s’assurer que leur organisation traite les données (également appelées personnes concernées) conformément aux règles de protection des données. Sources : 13,8]

Sources :

0] : https://www.infosectrain.com/blog/how-to-become-a-data-protection-officer/
1] : https://community.nasscom.in/communities/policy-advocacy/gdpr/role-of-data-protection-officer-dpo-and-who-is-subject-to-gdpr-compliance.html
2] : https://gdpr-info.eu/issues/data-protection-officer/
[3] : https://www.endpointprotector.com/blog/dpo-vs-cpo-compliance-roles-at-glance/
[4] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
[5] : https://myicaas.com/business/what-are-the-alternatives-to-hiring-a-dpo-for-gdpr-compliance/
[6] : https://pwc.blogs.com/data_protection/2017/02/data-protection-officer-do-you-need-to-appoint-one.html
[7] : https://seersco.com/articles/data-protection-officer/
[8] : https://osome.com/sg/blog/appoint-data-protection-officer-in-singapore/
[9] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/singapore
[10] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
[11] : https://www.privacy.com.sg/resources/register-data-protection-officer-dpo/
[12] : https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en
[13] : https://www.privacy.gov.ph/appointing-a-data-protection-officer/
[14] : https://www.informationweek.com/strategic-cio/security-and-risk-strategy/what-to-look-for-in-a-data-protection-officer-and-do-you-need-one/a/d-id/1333390
[15] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/germany
[16] : https://www.odpa.gg/information-hub/organisations/data-protection-officers/
[17] : https://www.privacypolicies.com/blog/gdpr-dpo-appointment-letter/
[18] : https://spinbackup.com/blog/the-role-of-data-protection-officer-in-gdpr-compliance/
[19] : https://termly.io/resources/articles/gdpr-compliance/
[20] : https://www.termsfeed.com/blog/data-protection-officer-dpo/
[21] : https://easygdpr.eu/en/gdpr-terms/
[22] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr