Ce qu’il faut savoir sur les rôles du DPO
En vertu de l’article 37 du règlement général sur la protection des données (RGPD), toutes les autorités et tous les organismes publics sont tenus de désigner un délégué à la protection des données ou DPO. Les organisations du secteur privé qui, dans le cadre de leurs activités principales et à grande échelle, contrôlent régulièrement et systématiquement les personnes concernées ou traitent des données à caractère personnel sensibles devront également désigner un délégué à la protection des données.
Le règlement général sur la protection des données et ses changements
L’un des changements les plus importants dans le RGPD est l’obligation pour les contrôleurs et les processeurs de démontrer qu’ils se conforment au règlement. Le DPO est en effet la pierre angulaire de ce principe de responsabilité. Cela dit, la conformité est du ressort du responsable du traitement ou du sous-traitant et les DPO ne sont pas personnellement responsables du respect du RGPD. Les termes «autorité ou organisme public», «activités principales», «grande échelle» et «suivi régulier et systématique» ne sont cependant pas définis dans le RGPD. Une telle notion doit être déterminée en vertu du droit national. En conséquence, les autorités et organismes publics incluent les autorités nationales, régionales et locales, mais le concept, en vertu des lois nationales applicables, inclut également une gamme d’autres organismes de droit public. Les «activités principales» peuvent être considérées comme les opérations clés pour atteindre les objectifs du contrôleur ou du sous-traitant. Le suivi régulier et systématique des personnes concernées comprend clairement toutes les formes de suivi et de profilage sur Internet, y compris à des fins de publicité comportementale. Cependant, la notion de surveillance ne se limite pas à l’environnement en ligne. Les facteurs à prendre en compte pour décider si le traitement est «à grande échelle» comprennent le nombre de personnes concernées, le volume et la plage de données, la durée du traitement des données et l’étendue géographique du traitement des données.
Qui peut remplir le rôle de DPO
Les DPO peuvent être nommés sur une base volontaire, mais s’ils le sont, les mêmes exigences du RGPD en ce qui concerne leur désignation, leur rôle et leurs tâches s’appliqueront aux nominations obligatoires des dpo. Par conséquent, lorsque les organisations ne nomment pas un DPO mais assignent des tâches liées à la protection des données à leur personnel ou à des consultants externes, il convient de préciser, en interne et en externe, que ce personnel ou ces consultants ne sont pas des DPO. Le RGPD prévoit que ces derniers « doivent être désignés en fonction de leurs qualités professionnelles et, en particulier, de leur connaissance approfondie du droit et des pratiques en matière de protection des données et de leur aptitude à s’acquitter des tâches (définies dans le règlement)».
Le rôle du DPO peut être sous-traité à un prestataire de services externe et, le cas échéant, à une personne physique ou morale (par exemple une société à responsabilité limitée). Dans ce dernier cas, il est recommandé que, pour des raisons de clarté juridique et de bonne organisation, le contractant désigne une personne nommée en tant que contact principal pour le client.
Le délégué à la protection des données ne doit pas nécessairement jouer un rôle à plein temps, mais la principale préoccupation du délégué à la protection des données devrait être de permettre le respect du RPGD et il est primordial de disposer de suffisamment de temps à consacrer à ces tâches. Le respect et la conformité au RGPD est obligatoire pour toute entreprise les données des résidents ou des citoyens européens. Plus de détails sur le site de Dpo consulting.
