Un délégué à la protection des données peut-il être une personne extérieure à votre organisation ?

Face à la perspective de nommer un délégué à la protection des données, la première pensée de nombreuses entreprises est de chercher une personne extérieure à leur entreprise pour reprendre les responsabilités en matière de protection des données d’un employé existant. D’autres décident de ne pas nommer de délégué à la protection des données, en précisant qu’elles n’ont pas besoin d’une personne issue d’un autre département de leur organisation. Sources : 13,13,0]

Dans ces conditions, la nomination d’un contrôleur de la protection des données n’est obligatoire que dans certaines circonstances. Ces circonstances sont énoncées à l’article 37 du GDPR, qui exige la nomination d’un contrôleur de la protection des données uniquement dans certaines circonstances et non de manière générale. Sources : 8]

En résumé, le contrôleur de la protection des données est la personne officiellement désignée responsable du contrôle du respect des règles de l’organisation qui l’a nommé. Le contrôleur de la protection des données est également responsable devant les autorités locales chargées de contrôler le respect des règles. Sources : 13,10]

En outre, les organisations sont tenues d’impliquer le contrôleur de la protection des données le plus tôt possible dans les questions relatives à la protection des données à caractère personnel au sein de l’organisation et il doit être facilement accessible à toute personne extérieure à l’organisation concernée. En outre, les organisations affiliées peuvent utiliser les mêmes OPD pour le contrôle conjoint de la protection des données, mais elles ne peuvent pas utiliser les mêmes personnes pour le contrôle conjoint de la protection des données si elles ne sont pas en contact direct avec le contrôleur de la protection des données. L’autorité de protection des données peut être un responsable du traitement, un sous-traitant ou un employé, et toutes les activités de protection des données doivent être gérées par la même personne. Sources : 6,12,9]

Si le traitement des données personnelles est important au sein de l’organisation, le délégué à la protection des données peut être désigné par une organisation. Le contrôleur de la protection des données doit être impliqué dans toutes les questions relatives à la protection des données personnelles et dans la gestion et l’administration du traitement des données. Sources : 10,4]

Certaines entreprises ont besoin d’un délégué à la protection des données désigné, tandis que d’autres ont besoin d’une personne qui peut facilement traiter les demandes. S’il y a quoi que ce soit en rapport avec la protection des données en dehors de l’organisation, vous devez demander conseil à un délégué à la protection des données. Si une organisation a désigné un délégué à la protection des données dans ce cas, elle devrait envisager d’engager un consultant externe en protection des données. Sources : 15,9,2]

Un délégué à la protection des données peut prendre des responsabilités et fournir à l’entreprise une protection et des garanties. C’est un travail de titan que d’en recruter un, de l’engager et de lui donner les moyens de faire son travail efficacement. Mais surtout, il est possible d’assumer la responsabilité du respect de la protection des données et d’être en mesure de remplir efficacement ses fonctions et celles du délégué à la protection des données. Sources : 11,2]

Il existe de nombreuses possibilités pour les organisations qui ne peuvent pas ou n’ont pas les moyens d’engager un délégué à la protection des données. À ce stade, je ne vois pas de réelle différence entre ce que vous faites en tant que délégué à la protection des données et ce que fait votre délégué à la protection des données. On aimerait vraiment que le contrôleur de la protection des données répartisse son attention sur deux rôles différents. [Sources : 10,10,10]

La loi et les règles pertinentes ne précisent pas si une entreprise peut désigner un seul délégué à la protection des données pour plusieurs entités. Si votre entreprise n’entre pas dans cette catégorie, vous pouvez peut-être nommer un délégué à la protection des données si les organismes de bienfaisance ne sont pas tenus d’avoir un délégué à la protection des données. Les règles relatives aux conflits d’intérêts s’appliquent à ceux qui désignent des délégués à la protection des données pour des traitements à grande échelle, tels que l’extraction de données ou le traitement à grande échelle. [Sources : 3,8,1,10]

Sources :

• [0] : https://dpnetwork.org.uk/data-protection-officers-should-we-appoint-a-dpo/
• [1] : https://www.trendmicro.com/vinfo/in/security/definition/eu-general-data-protection-regulation-gdpr/
• [2] : https://kefron.com/blog/gdpr-role-data-protection-officer/
• [3] : https://www.withersworldwide.com/en-gb/insight/charities-data-protection-officers-gdpr-where-are-we-now
• [4] : https://advisera.com/eugdpracademy/knowledgebase/a-summary-of-10-key-gdpr-requirements/
• [5] : https://siteimprove.com/en/gdpr/gdpr-data-protection-officer-role/
• [6] : https://digitalguardian.com/blog/what-data-protection-officer-dpo-learn-about-new-role-required-gdpr-compliance
• [7] : https://gdpr.eu/data-protection-officer/
• [8] : https://iclg.com/practice-areas/data-protection-laws-and-regulations/china
• [9] : https://www.dentons.com/en/insights/alerts/2017/october/20/gdpr-update-data-protection-officers
• [10] : https://www.thesslstore.com/blog/data-protection-officer/
• [11] : https://www.getsafeonline.org/information-security/General-Data-Protection-Regulation/
• [12] : https://www.dataversity.net/so-you-want-to-be-a-data-protection-officer/
• [13] : https://www.liverpoolchamber.org.uk/2716/section.aspx/2715/np_blog_040718
• [14] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr/30326/what-is-a-data-protection-officer
• [15] : https://cipher.com/blog/20-important-data-privacy-questions-you-should-be-asking-now

• LinkedIn
• Twitter