Le rôle du délégué à la protection des données (DPD / DPO)

Quelles sont les missions principales du délégué à la protection des données ?

✔️ Veiller au respect du cadre légal

Le DPD veille en toute indépendance au respect du RGPD et plus largement de l’ensemble des normes applicables par les responsables de traitement ou des sous-traitants en matière de protection des données à caractère personnel. Son analyse et ses conseils s’étendront aux sous-traitants et prestataires prenant part aux traitements mis en place par les responsables du traitement. Il devra obligatoirement être consulté avant la mise en œuvre d’un nouveau traitement ou la modification d’un traitement en cours.

✔️ Alerter les responsables de traitement

Le DPD informe dans les plus brefs délais le responsable du traitement de tout risque que le non-respect de ses recommandations ou toute initiative des utilisateurs ou de concepteurs de traitement feraient courir à l’institution. Il veille à formaliser une procédure pour informer directement les responsables de traitement d’une non-conformité majeure.

✔️ Analyser, auditer et contrôler

Le DPD conduit de toute action permettant de juger du degré de conformité au RGPD, de mettre en évidence les éventuelles non-conformités, de vérifier la bonne application de procédures, méthodes ou consignes relatives à la protection des données personnelles.

✔️ Établir une documentation sur les traitements effectués

Le DPD est tenu demaintenir une documentation au sujet du traitement des données à caractère personnel, ainsi que de son accessibilité par l’autorité de contrôle (la CNIL en ce qui concerne la France).

✔️ Assurer le dialogue avec les personnes concernées

Le DPD reçoit les réclamations éventuelles des personnes concernées par les traitements et veille au respect de leurs droits protégés par le RGDP, avec impartialité.

✔️ Accompagner et sensibiliser

Le DPD assure également une mission d’information et de sensibilisation du personnel de l’organisme pour lequel il officie.

Dans quels cas un organisme doit-il obligatoirement désigner un délégué à la protection des données ?

La désignation d’un délégué sera obligatoire pour :

• les autorités ou les organismes publics, à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles ;
• les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• les organismes dont les activités de base les amènent à traiter à grande échelle des données dîtes « sensibles » ou relatives à des condamnations pénales et infractions.

Qui peut être délégué ?

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (Art. 37.5 du RGPD).

La personne qui a vocation à devenir délégué à la protection des données doit pouvoir réunir les qualités et compétences suivantes :

• aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance ;
• n’avoir aucun conflit d’intérêts avec ses autres missions. Cela signifie qu’il ne pourra pas occuper de fonctions, au sein de l’organisme, qui le conduisent à déterminer les finalités et les moyens d’un traitement ;
• une maitrise des législations et des pratiques en matière de protection des données. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre ;
• bonne connaissance du secteur d’activité et des opérations de traitement, des systèmes d’information et des besoins de l’organisme en matière de protection et de sécurité des données ;

Le DPD doit être positionné efficacement au sein de l’organisme afin d’être en capacité de faire directement rapport au niveau le plus élevé, d’animer un réseau de relais au sein des filiales d’un groupe.

Quelle protection pour le délégué à la protection des données ?

Le DPD est tenu d’agir de manière indépendante et bénéficier d’une protection suffisante dans l’exercice de ses missions.

Le règlement prévoit ainsi que le délégué ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions, sauf si le RT démontre une erreur manifeste dans sa fonction de délégué.

Il convient de préciser que le DPD n’est pas un salarié protégé au sens du Code du travail français. Dès lors, il peut être mis en fin aux fonctions du délégué pour des raisons relevant de la législation du travail.

Quelle localisation pour le DPD ?

Afin de remplir l’exigence d’accessibilité, il est recommandé que le DPD soit situé dans un État membre de l’Union européenne.

Néanmoins, dans certaines situations où l’organisme n’a pas d’établissement dans l’Union européenne, un délégué peut être en mesure d’exercer ses missions plus efficacement dans le cas où il est localisé en dehors de l’Union européenne.

Cet article a été rédigé en partenariat avec AD&JURIS INNOV.