Votre DPO (délégué à la protection des données) peut être un tiers

Le délégué à la protection des données (DPD) est la personne destinée à faciliter et à évaluer le respect des dispositions du RGPD par une entreprise. En Europe, la notion de délégué à la protection des données pour les organisations traitant des données personnelles est définie par le règlement général sur la protection des données (RGPD). Dans certains pays, cette exigence est obligatoire, mais dans d’autres, elle est nouvelle, comme aux États-Unis, où la loi HIPAA s’applique aux données de santé. [Sources : 1,13,12,20]

Le délégué à la protection des données (GDPR) est impliqué dans toutes les questions juridiques et pratiques relatives à la protection des données, car il est responsable de la conformité au GDPR. En bref, il est chargé de surveiller la stratégie et la mise en œuvre de la protection des données au sein de l’organisation et de veiller à ce que cela soit conforme aux exigences du GDPR. Une tâche importante du Dpo est de prendre la responsabilité de la conformité de tous ses employés et de la gestion de leurs données personnelles. Le DPO est le « point focal de la protection des données » de l’organisation et doit avoir une solide compréhension du droit des données, de la gestion des données et de la sécurité des données. Sources : 3,22,8,15]

Avoir un délégué à la protection des données est une bonne pratique pour la protection des données, même si l’entreprise ne doit pas se conformer au GDPR. Un délégué à la protection des données est une étape importante pour démontrer une solide compréhension du droit des données, de la gestion des données et de la sécurité des données. Certains cabinets peuvent souhaiter avoir une « gestion des données » bien qu’ils ne soient pas obligés de nommer un délégué à la protection des données. Sources : 22,14,4]

D’autres choisissent de ne pas nommer de délégué à la protection des données, en précisant qu’il n’y a pas de signification ou d’obligation juridique spécifique liée au titre de délégué à la protection des données. Si vous engagez un spécialiste de la protection de la vie privée autre que le DPD, il est important que vous ne le désigniez pas comme un « DPD ». Le titre de « contrôleur de la protection des données » n’a pas de signification juridique spécifique ni d’obligation juridique associée. Si le cabinet n’est pas tenu par le GDPR d’embaucher, de nommer ou d’avoir un délégué à la protection des données, assurez-vous de ne pas l’utiliser pour décrire ce rôle. [Sources : 0,9,4]

Un délégué à la protection des données (GDPR) est une personne nommée par une entreprise pour assurer la conformité à la loi GDPR. En bref, un contrôleur de la protection des données est la personne officiellement désignée pour superviser l’organisation qui le nomme. Ce sont des responsables indépendants de l’entreprise qui comprennent la législation sur la protection des données, veillent à ce que l’entreprise respecte les règles et servent de point de contact pour les personnes concernées. Sources : 17,14,5]

Un GDPR peut être une personne interne qui possède une expertise dans les exigences de protection des données du GDPR, mais il peut aussi travailler en tant que GDPR externe avec une société de conseil. L’un de ces experts de la protection de la vie privée peut agir en tant que GDPR à distance, en travaillant avec vous si nécessaire pour mettre l’organisation sur la bonne voie et en construisant avec vous l’organisation de suivi des droits. [Sources : 11,6]

L’un de ces experts en protection des données peut agir en tant que délégué à la protection des données à distance et travailler avec vous pour comprendre l’organisation et ses exigences de conformité. L’un des plus grands cabinets de conseil en protection des données au monde, avec plus de 250 employés et des bureaux au Royaume-Uni, en Allemagne, en France, en Italie, en Espagne et aux États-Unis. Sources : 18,19]

La taille de l’entreprise est le facteur décisif lorsqu’il s’agit de savoir si vous devez ou non désigner un délégué à la protection des données. N’oubliez pas non plus que l’indépendance est un élément essentiel de la fonction de DPD. Le délégué à la protection des données ne doit pas rendre compte au PDG ou à tout autre dirigeant de l’entreprise, mais à vous. Sources : 23,7]

Pour vous assurer que l’entreprise respecte ses obligations, vous devez comprendre le rôle du délégué à la protection des données. Le rôle du contrôleur de la protection des données dans le GDPR est d’aider les responsables du traitement et les sous-traitants conformément au GDPR à éviter les risques auxquels les organisations sont exposées dans le traitement des données personnelles. Il s’agit de la personne qui aide le responsable du traitement ou le sous-traitant à contrôler la conformité interne aux règles du RGPD, notamment en contrôlant la collecte, le traitement, le stockage et la gestion des données, ainsi que la collecte et le traitement des données à caractère personnel. Sources : 2,16,10]

Si vous devez nommer un contrôleur de la protection des données (DPD), le fait de pourvoir le poste avec la bonne combinaison de compétences, de connaissances et d’expérience doit figurer en tête de la liste de questions à traiter. Les délégués à la protection des données sont très demandés dans le secteur, et il peut donc être assez difficile de pourvoir ce poste sans embaucher un DPD interne. Sources : 21,7]

Le GDPR britannique indique clairement que les organisations doivent nommer un seul délégué à la protection des données pour accomplir toutes les tâches requises par l’article 39, mais cela n’empêche pas les organisations de nommer d’autres spécialistes de la protection des données dans le cadre d’une équipe soutenant le GDPR. Cependant, dans le travail, il est recommander qu’un DPD soit mis en place pour garantir les meilleures pratiques. Sources : 9,17]

Le délégué à la protection des données vous aide à opérer dans le cadre de la loi, vous aide à contrôler la conformité et vous conseille sur la conformité, tout en jouant un rôle clé dans la gestion de la conformité avec d’autres lois et règlements sur la protection des données. Pour en savoir plus sur les tâches et les responsabilités d’un DPO, veuillez consulter nos défis pour les délégués à la protection des données. PV fournit certaines des meilleures ressources du secteur qui peuvent vous guider sur les aspects les plus importants de la protection et de la sécurité des données dans l’organisation. Sources : 3,6,22]

Sources :

• [0] : https://dpnetwork.org.uk/data-protection-officers-should-we-appoint-a-dpo/
• 1] : https://gdpr-info.eu/issues/data-protection-officer/
• [2] : https://mybusiness.singtel.com/techblog/understanding-role-data-protection-officer-dpo
• [3] : https://blog.rsisecurity.com/data-protection-officer-gdpr-requirements-and-responsibilities/
• [4] : https://www.themdu.com/guidance-and-advice/guides/introduction-to-the-gdpr-for-independent-practitioners
• [5] : https://www.termsfeed.com/blog/data-protection-officer-dpo/
• [6] : https://www.grcilaw.com/blog/what-makes-a-good-dpo
• [7] : https://dataprivacymanager.net/does-my-company-or-business-appoint-a-data-protection-officer-dpo/
• [8] : https://seersco.com/articles/data-protection-officer/
• [9] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officer
• [10] : https://www.iubenda.com/en/help/5428-gdpr-guide
• [11] : https://help.shopify.com/en/manual/your-account/privacy/GDPR/GDPR-merchants
• [12] : https://www.wsiworld.com/blog/responsibilities-of-a-controller-processor-and-data-protection-officer-according-to-gdpr
• [13] : https://www.jdsupra.com/legalnews/dpo-as-a-service-outsourcing-the-role-93479/
• [14] : https://segment.com/resources/data-privacy/what-is-a-data-protection-officer/
• [15] : https://chaucer.com/insights/blog/do-you-need-a-data-protection-officer
• [16] : http://www.ascentor.co.uk/2017/06/gdpr-data-protection-officer-dpo/
• [17] : https://www.liverpoolchamber.org.uk/2716/section.aspx/2715/np_blog_040718
• [18] : https://www.itgovernance.eu/blog/en/how-to-become-a-data-protection-officer
• [19] : https://www.cookiebot.com/en/gdpr/
• [20] : https://blog.focal-point.com/understanding-the-dpo-and-eu-representative-roles-under-the-gdpr
• [21] : https://www.primitivelogic.com/insights/gdpr-compliance-filling-the-dpo-position/
• [22] : https://www.privacyvirtuoso.com/data-protection-officer.php
• [23] : https://siteimprove.com/en/gdpr/gdpr-data-protection-officer-role/