Découvrez nos solutions sans obligation d’achat
L’une des grandes questions qui se posent à l’approche du GDPR, qui entrera en vigueur le 25 mai 2018, est de savoir si les organisations ont besoin ou peuvent avoir besoin d’un contrôleur de la protection des données. Sources : 12]
De nombreuses entreprises qui doivent se conformer au GDPR devront nommer un délégué à la protection des données, mais quel est le rôle du délégué à la protection des données et quelles sont ses qualifications spécifiques ? La nouvelle loi de l’Union européenne sur la protection des données, le marché unique numérique, qui entre en vigueur en mai 2018, est la première mesure dont les entreprises de ce secteur doivent tenir compte pour savoir si elles seront obligées de nommer le contrôleur de la protection des données. Quel type d’entreprise est tenu de nommer un DPO, quels types d’entreprises sont requis et s’il n’est pas nécessaire de recruter les D POO en externe. Les entreprises qui n’ont pas besoin de nommer un DPO peuvent choisir de nommer d’autres employés pour effectuer des tâches de confidentialité et de conformité. Le responsable non chargé de la protection des données, qui est nommé dans un rôle de conformité à la protection des données, comme le directeur de l’information (DPI) ou le responsable
de la sécurité. [Sources : 13,0,7,0]
En pratique, cela signifie que le délégué à la protection des données n’est pas un associé junior, mais un poste à temps plein. Sources : 8]
Le contrôleur de la protection des données ne peut donc pas être n’importe qui, il doit avoir certaines caractéristiques et compétences. Bien que les références exactes ne soient pas précisées dans le GDPR, la Commission européenne indique que l’on peut attendre du contrôleur de la protection des données qu’il ait « un niveau élevé de connaissances et d’expérience dans les domaines de la sécurité des données, de la protection des données et de la gestion des données. » La personne nommée au rôle de contrôleur de la protection des données doit avoir une expérience considérable en matière de protection des données et bien connaître et comprendre les exigences du GDPR afin d’accomplir efficacement sa tâche. En outre, elle ou le délégué à la protection des données doit également être impliqué dans toutes les questions et pratiques relatives à la protection des données, car il lui incombe de veiller au respect de la directive européenne sur la protection des données (DPD) et de la loi sur la protection des données (PDA), ainsi que de toutes les autres lois et réglementations pertinentes. Sources : 3,2,0,11]
Le délégué à la protection des données doit rapporter les informations correctes au conseil d’administration de l’organisation et peut éviter toute responsabilité personnelle s’il doit être tenu pour responsable. Une entreprise qui ne désigne pas un délégué à la protection des données conformément aux exigences du GDPR pour se conformer à la réglementation sur la protection des données doit être prête à démontrer pourquoi elle n’a pas besoin de désigner un délégué à la protection des données. Si cela n’est pas respecté, le contrôleur de la protection des données ne peut pas être tenu responsable, car c’est son travail de contrôler le respect de toutes les règles. Il doit également consulter et, s’il y en a un, inclure dans toutes les décisions relatives à la gestion des données, comme celles nécessitant une analyse d’impact sur la protection des données (AIPD). Sources : 0,3,3,14]
Un délégué à la protection des données est la personne la mieux placée pour le faire et c’est un poste vraiment indispensable. Il se peut que personne n’en ait un, car de nombreuses entreprises en Grande-Bretagne doivent avoir un responsable de la protection des données spécifique depuis 1998, en vertu de la loi sur la protection des données. Bien qu’il est recommandé d’avoir une personne sur le terrain qui possède les compétences et l’expérience requises pour ce travail, un délégué à la protection des données n’est obligatoire que pour les organisations publiques. Sources : 6,4,14]
Si vous êtes une organisation qui relève d’un ou de plusieurs de ces trois domaines, vous pouvez désigner un délégué à la protection des données externe ou une personne extérieure à votre entreprise. Le délégué à la protection des données continuerait à représenter votre organisation et serait disponible pour toute question relative à la protection des données que vous pourriez avoir et qui font partie de l’organisation, sans en être nécessairement responsables. Sources : 14,12]
Si votre organisation fait partie d’un groupe, vous pouvez nommer un délégué à la protection des données unique qui est accessible à l’organisation et un organisme facilement accessible. Remarque : un contrôleur unique de la protection des données peut également être partagé entre des groupes ou des entreprises, à condition que le groupe ou l’entreprise soit membre de l’Union européenne (UE). Sources : 16,9]
En tenant compte de la structure et de la taille des autorités de votre groupe, un contrôleur unique de la protection des données peut être désigné pour agir en tant que contrôleur de la protection des données pour un groupe d’autorités ou d’organismes publics. Ils peuvent également nommer un contrôleur de la protection des données unique pour plusieurs autorités, en tenant compte de la taille du groupe, de sa taille et du nombre d’autorités au sein du groupe, et de sa relation avec le secteur public. Sources : 15,16]
La loi allemande sur la protection des données exige que les organisations comptant dix employés ou plus qui traitent des données personnelles de façon permanente désignent un délégué à la protection des données (DPD). Une organisation qui traite des données ou des personnes concernées à grande échelle, comme une organisation comptant des dizaines de milliers d’employés, est obligée par la loi allemande sur la protection des données de nommer un délégué à la protection des données. Sources : 5,11]
Un délégué à la protection des données est généralement une personne chargée de veiller à ce que l’entreprise et ses activités soient conformes aux lois et règlements régissant la protection des données. En particulier, les entreprises qui traitent des données qui divulguent des informations personnelles telles que des noms, des dates de naissance, des adresses, des numéros de téléphone et d’autres informations personnelles doivent nommer un délégué à la protection des données. Un délégué à la protection des données est une personne autorisée par l’entreprise à agir en tant que point de contact pour la conformité aux règles commerciales et aux lois de l’entreprise. Ce responsable conseille les entreprises sur la conformité et fait office de personne de contact pour les autorités de contrôle. Sources : 10,1,4]
Sources:
[0] : https://www.hipaajournal.com/gdpr-role-of-the-data-protection-officer/
[1] : https://trueinfluence.com/does-my-company-need-a-dpo-for-gdpr-compliance/
[2] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr
[3] : https://gdprhero.com/gdpr-hero-blog/data-protection-officers-liability/
[4] : https://kefron.com/blog/gdpr-role-data-protection-officer/
[5] : https://www.itgovernance.co.uk/data-protection-officer-dpo-under-the-gdpr
[6] : https://www.privacyhelper.co.uk/knowledge-hub-articles/is-a-gdpr-data-protection-officer-really-an-essential-hire
[7] : https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
[8] : https://gdpr.eu/data-protection-officer/
[9] : https://dataprivacymanager.net/does-my-company-or-business-appoint-a-data-protection-officer-dpo/
[10] : https://community.nasscom.in/communities/policy-advocacy/gdpr/role-of-data-protection-officer-dpo-and-who-is-subject-to-gdpr-compliance.html
[11] : https://seersco.com/articles/data-protection-officer/
[12] : https://blogs.ncvo.org.uk/2018/04/09/does-my-organisation-need-a-data-protection-officer/
[13] : https://www.goregrimes.ie/should-your-company-appoint-a-data-protection-officer/
[14] : https://www.i-scoop.eu/gdpr/gdpr-compliance-data-protection-officer-dpo/
[15] : https://www.odpa.gg/information-hub/organisations/data-protection-officers/
[16] : https://www.activemind.legal/guides/appointment-dpo/