Le délégué à la protection des données

La désignation d'un délégué à la protection des données est prévue par le Règlement (EU) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et la libre circulation de ces données(ci-après "Règlement Général sur la protection des données" ou "RGPD").

1. Quels sont les cas obligatoires? 

La désignation d'un délégué à la protection des données est obligatoire lorsque :

• le responsable du traitement des données est une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;  
• les activités de base du responsable consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
• les activités de base du responsable du traitement des données consistent en un traitement à grande échelle de catégories particulières de données, telles que les données sensibles ou les données relatives aux condamnations et infractions pénales.  

Les premières ébauches du RGPD prévoyaient qu'un délégué à la protection des données devait être désigné dans des entreprises ayant un minimum de 250 employés. Le texte final du règlement ne contient plus cette exigence. Cela est plutôt positif puisque le nombre d'employés dans une entreprise n'a rien à voir avec le traitement des données personnels qui peuvent être effectués dans une entreprise.

La désignation d'un délégué à la protection des données dépend uniquement des activités de l'entreprise concernée.

Dans un groupe d'entreprises, il est également possible de désigner un seul délégué à la protection des données à condition que le délégué soit facilement joignable à partir de chaque lieu d'établissement. Le délégué peut être un membre du personnel ou un employé du responsable du traitement ou du sous-traitant, ou il peut être un fournisseur de services externe (sur la base d'un contrat de service). Ses coordonnées doivent être publiées et communiquées à la commission de la protection de la vie privée (l'autorité de contrôle).

2. La désignation d'un délégué à la protection des données peut également être utile

Même si la désignation d'un délégué à la protection des donnéesn'est pas obligatoire, les entreprises peuvent à tout moment décider d'en nommer un.

Cela est même très recommandée puisque le délégué à la protection des données est le point de contact pour la commission de la protection de la vie privée et pour les personnes concernées en ce qui concerne la procession de données personnels au sein de l'entreprise. Le délégué supervisera et sera impliqué dans toutes les questions de la société relatives au traitement des données personnelles.

Un délégué à la protection des données peut également remplir d'autres missions au sein de l'entreprise. Il n'est pas nécessaire que sa mission se limite aux tâches relatives au traitement des données personnelles.

3. La position du délégué à la protection des données

Le responsables du traitement des données et le sous-traitant doivent veiller à ce que le délégué soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. 

Ils doivent aider le délégué à la protection des données à exercer ses missions. Ils doivent fournir les ressources nécessaires dans le cadre de l'accomplissement de ses missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, en lui permettant d'entretenir ses connaissances spécialisées. 

Les personnes concernées peuvent contacter le délégué pour toutes les questions liées au traitement de leurs données à caractère personnel et à l'exercice de leurs droits en vertu du GDPR.

Le délégué est soumis au secret professionnel ou à une obligation de  confidentialité en ce qui concerne l'exercice de ses missions. Comme indiqué précédemment, le délégué peut exécuter d'autres missions et tâches n'entraînant pas de conflit d'intérêts.

Enfin, il est très important de noter que le responsable du traitement et sous-traitant veillent à ce que le DPD ne reçoive aucune instruction en ce qui concerne l'exercice de ces missions. Il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Il fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant afin de garantir que les obligations relatives au traitement des données à caractère personnel sont protégées et suivies.

4. Les missions du délégué à la protection des données

Conformément au RGPD, le délégué à la protection des données est chargé de plusieurs missions. 

Il doit informer le responsable du traitement et le sous-traitant ainsi que les employés qui procèdent au traitement sur leurs obligations en vertu du RGPD et d'autres dispositions en matière de la protection des données.

Il doit veiller au respect des dispositions du RGPD ou des autres dispositions en matière de protection des données ainsi qu'aux politiques du responsable du traitement et du sous-traitant en ce qui concerne la protection des données à caractère personnel, y compris la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s'y rapportant.

Le délégué doit également dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact à la protection des données et vérifier l'exécution de celle-ci. 

Il est bien entendu nécessaire que le délégué coopère avec la Commission de la protection de la vie privée. À cet égard, il doit faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement.

Le RGPD stipule que le délégué doit tenir dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

5.  Conclusion

A partir du 25 mai 2018, toutes les entreprises doivent se conformer avec les critères prévues dans le cadre de la désignation d'un délégué à la protection des données. 

D'autre part, les entreprises qui ne sont pas tenues de désigner un délégué à la protection ont intérêt à évaluer si une désignation s'avère opportun.  

La position du délégué implique qu'il opère indépendamment de la société où il a été désigné. Il doit veiller à ce que le traitement des données à caractère personnel soit effectué correctement et il doit intervenir si ce n'est pas le cas.

Il est juste de dire que le délégué a un rôle important. Les entreprises qui seront tenues de désigner un délégué à la protection des données ont intérêt à ne pas attendre l'entrée en vigueur du RGPD pour en désigner un.