Ali Talip Pinarbası
Qu'est-ce qu'un délégué à la protection des données (DPD) ?
« DPO » signifie délégué à la protection des données. Un délégué à la protection des données (DPD) est un expert en droit de la protection des données dont les principales fonctions sont d'informer une organisation sur les exigences de conformité au RGPD, de conseiller sur la conformité au RGPD et de surveiller en permanence les efforts de conformité au RGPD d'une organisation.
Lorsqu'une organisation collecte et traite des données personnelles sensibles telles que des données de santé ou lorsqu'elle surveille le comportement des individus via des outils tels que des cookies de suivi, elle expose ses clients, les visiteurs de son site Web et/ou ses employés à des risques élevés pour leur vie privée en raison de la nature des activités de traitement.
Par conséquent, une telle organisation devrait demander l'avis d'un expert sur la manière de se conformer aux exigences strictes du RGPD de l'UE et du Royaume-Uni et de surveiller sa conformité au RGPD à tout moment.
C'est là qu'intervient le concept de délégué à la protection des données : le RGPD de l'UE et du Royaume-Uni exige que les organisations nomment un délégué à la protection des données si elles remplissent certains critères.
Quand une organisation doit-elle nommer un délégué à la protection des données ?
En vertu du RGPD de l'UE et du Royaume-Uni, vous êtes tenu de désigner un DPD si vous remplissez l'un de ces trois critères :
- Your core activities require “large scale, regular and systematic monitoring of individuals”
Comme vous pouvez le déduire de cette définition, trois éléments doivent être satisfaits.
Premièrement, les « activités principales » font référence à vos principaux objectifs commerciaux et si vous collectez et utilisez des données personnelles pour atteindre vos principaux objectifs, vous pouvez remplir ce critère.
Deuxièmement, votre traitement des données personnelles doit consister en un suivi régulier et systématique des individus. Cela comprend le suivi en ligne, le profilage et la publicité comportementale
Thirdly, the monitoring of individuals should be conducted on a large scale. While there are no set thresholds, you need to consider various criteria such as the number of individuals concerned, the volume of personal data, and the range of personal data.
- Your core activities “consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.”
When you collect and use sensitive personal data such as health data or data related to racial or ethnic origin, it exposes individuals to higher risks. Therefore, if you process such data on a large scale, you are required to appoint a DPO.
- Si vous êtes une autorité ou un organisme public.
Si vous êtes une autorité ou un organisme public, vous devez désigner un DPD. Toutefois, les organismes publics agissant dans le cadre d'une fonction juridictionnelle sont exemptés de cette obligation.
Quelles sont les principales responsabilités d’un délégué à la protection des données ?
L'article 39 du RGPD énumère les principales responsabilités d'un DPD, qui sont les suivantes :
- Informer et conseiller l'organisation et ses employés sur le RGPD et les autres exigences de la loi sur la protection des données
Le DPD est chargé d'informer une organisation et ses employés des exigences du RGPD et des autres lois pertinentes en matière de protection des données. Par exemple, le PECR serait une autre loi pertinente en matière de protection des données au Royaume-Uni.
Dans le cadre de cette mission, un DPD peut rédiger des décisions visant à établir de nouveaux processus ou à réviser des processus existants . Par exemple, un DPD peut conseiller à l'organisation d'apporter des modifications aux activités de traitement existantes afin de garantir la conformité avec les principes de minimisation des données du RGPD. En outre, la rédaction de politiques et de règles internes liées aux lois sur la protection des données, telles que les politiques de conservation des données, relèverait également de cette tâche.
- Superviser la conformité de l'organisation avec le RGPD et d'autres lois sur la confidentialité
En vertu de l'article 39.1.(b) du RGPD , un DPD est tenu de surveiller en permanence la conformité d'une organisation avec le RGPD et les autres lois sur la protection des données.
Pour s'acquitter de cette tâche, un DPD peut demander des informations à différents services au sein de l'organisation pour identifier les activités de traitement des données personnelles et il peut examiner la conformité des activités de traitement des données existantes.
- Fournir des conseils sur les analyses d'impact relatives à la protection des données (AIPD)
L'article 39.1. (c) du RGPD exige qu'un DPD fournisse des conseils concernant les analyses d'impact relatives à la protection des données sur demande, conformément à l'article 35 du RGPD.
Dans ses orientations sur les DPD, le G29 recommande que le DPD puisse fournir des conseils sur diverses questions telles que la question de savoir s'il faut mener une AIPD, confirmer si une AIPD a été réalisée en conformité avec le RGPD et comment mener une AIPD.
- Agir en tant que premier point de contact pour l'Autorité de contrôle et coopérer avec l'Autorité de contrôle
Une autorité de contrôle de la protection des données telle que l'ICO du Royaume-Uni peut exercer divers pouvoirs tels que les pouvoirs d'enquête et de correction énumérés à l'article 58 du RGPD .
Par exemple, une autorité de contrôle peut ouvrir une enquête et demander des documents internes à une organisation.
Le DPD a donc pour mission d’être un point de contact pour les autorités de contrôle et de permettre à l’Autorité d’accéder aux documents et informations nécessaires.
- Agir comme premier point de contact pour les personnes dont les données sont traitées par l'organisation
Lorsqu'une personne exerce les droits énumérés à l'article 13-23 du RGPD tels que le droit d'accès ou le droit de suppression de ses données, un DPD doit agir comme premier point de contact et conseiller sur la manière de traiter les demandes d'accès des personnes concernées.
Quelles qualifications et compétences doit posséder un DPO ?
L’article 37(5) du RGPD stipule qu’une organisation doit nommer un DPD « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ».
En outre, l’organisation doit également tenir compte de la capacité d’un DOP à remplir les tâches clés d’un DPD énumérées à l’article 39 du RGPD, telles que la fourniture de conseils sur les évaluations d’impact relatives à la protection des données.
Comme vous pouvez le constater, le RGPD ne spécifie aucune qualification particulière pour un DPD .
Toutefois, les orientations de l’ ICO et du CEPD sur les DPD stipulent qu’un DPD doit avoir une connaissance approfondie du RGPD de l’UE et des autres lois sur la protection des données.
En termes de niveau d'expertise, les orientations de l'ICO sur les DPD indiquent que le niveau d'expertise du DPD doit être proportionnel au niveau de risques pour les données personnelles et aux types d'activités de traitement.
L'ICO recommande également qu'un DPD ait une connaissance du secteur spécifique dans lequel votre organisation opère.
Enfin et surtout, de solides compétences en communication et en organisation sont également essentielles aux tâches clés d’un DPD, car ce dernier doit communiquer en permanence avec diverses parties prenantes.
Assurer l’indépendance du délégué à la protection des données
Un DPD ne peut exercer ses fonctions avec succès que s’il est autorisé à fournir les conseils les plus objectifs et les plus précis. Il est donc essentiel de garantir l’indépendance et l’autonomie du DPD.
L’article 38(3) du RGPD exige qu’une organisation ne puisse pas demander à un DPD d’agir d’une certaine manière, ni licencier ou pénaliser un DPD pour avoir accompli ses tâches.
En outre, le considérant 97 du RGPD précise que même lorsqu’un employé existant d’une organisation est nommé comme DPD, celui-ci doit toujours agir de manière indépendante et autonome dans l’exécution de ses tâches.
Par exemple, une organisation ne peut pas exiger que le DPD interprète les exigences du RGPD d’une manière particulière ou donner des instructions sur la manière de traiter les demandes des personnes concernées ou sur les violations de données à signaler à l’autorité de contrôle.
Lectures et ressources complémentaires sur les délégués à la protection des données
Lignes directrices du WP29 sur le DPD :
https://ec.europa.eu/newsroom/just/document.cfm?doc_id=44100
Texte et considérants du RGPD :
https://gdpr-info.eu/recitals/no-97/
Orientations de l'Autorité de protection des données du Royaume-Uni sur les DPD :
Orientations de la Commission nationale de protection des données (CNPD) sur les DPD :
Principaux points à retenir et conclusion
Dans cet article, nous vous avons aidé à comprendre les points suivants concernant les délégués à la protection des données (DPD) :
- Un DPO est un expert en lois sur la protection des données qui conseille, surveille et garantit la conformité d'une organisation aux exigences du RGPD.
- Appointment of a DPO is mandatory for organisations engaged in large-scale monitoring, processing of sensitive data, or those that are public authorities.
- Les principales responsabilités d'un DPD comprennent le conseil sur le RGPD, la supervision de la conformité, le soutien aux évaluations d'impact sur la protection des données (DPIA) et le rôle de contact pour les autorités de contrôle et les particuliers.
- Les DPD doivent avoir une connaissance approfondie des lois sur la protection des données, de solides compétences en communication et fonctionner de manière indépendante et autonome.
Les DPD jouent un rôle essentiel dans la protection des données et la réduction des risques organisationnels. Pour découvrir comment Privasee peut vous aider à répondre à vos besoins en matière de DPD, réservez une démonstration dès aujourd'hui.
DPD – FAQ
Un DPD peut-il occuper d’autres postes au sein de l’organisation ?
Oui, l’article 38(6) du RGPD stipule qu’un DPD peut exercer d’autres fonctions au sein de l’organisation à condition qu’il n’y ait pas de conflits d’intérêts.
Quels sont les conflits d’intérêts potentiels pour un DPD ?
Si un autre rôle exige que le DPD détermine les finalités et les moyens du traitement des données personnelles, cela donnerait lieu à des conflits d’intérêts.
À quelle fréquence un DPD doit-il effectuer des audits de protection des données ?
Il n'existe pas de fréquence précise pour la réalisation d'un audit de protection des données. Un DPD doit prendre en compte divers critères tels que le volume de données personnelles traitées, les catégories de données et les besoins organisationnels pour déterminer la fréquence à laquelle il doit procéder à des audits.
Quelles sont les conséquences de ne pas désigner un DPD lorsque cela est nécessaire ?
Si vous ne parvenez pas à désigner un DPD en vertu du RGPD britannique, vous risquez des amendes pouvant aller jusqu'à 8,7 millions de livres sterling ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé .
En vertu du RGPD de l'UE, vous risquez des amendes administratives pouvant aller jusqu'à 10 millions d'euros, ou jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent .
Bonnes pratiques pour gérer le rôle d'un DPO
Le droit de la protection des données est un domaine du droit extrêmement complexe et dynamique dans lequel de nouveaux développements surviennent presque chaque jour.
Par conséquent, les DPD doivent suivre certaines bonnes pratiques pour rester à jour et faciliter la conformité au RGPD.
Tout d’abord, le DPD doit recevoir une formation régulière sur les lois relatives à la protection des données et se former sur les lois pertinentes en la matière. Il peut par exemple s’inscrire à des cours ou participer à des événements et séminaires organisés par les autorités de contrôle.
Deuxièmement, les DPD devraient effectuer régulièrement des audits pour identifier les processus ou pratiques non conformes afin de pouvoir conseiller les organisations sur la manière de mettre leurs activités de traitement des données en conformité.
En outre, les DPD doivent faire preuve de transparence et d’honnêteté dans leurs communications avec les personnes concernées et les autorités de contrôle.
%20(34).png)
%20(33).png)
%20(29).png)
Apprendre encore plus
