Découvrez le rôle du DPD dans la gestion de la protection des données organisationnelles et la supervision du respect de la GDPR.
UNE DÉFINITION DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Un délégué à la protection des données (DPD) est un responsable de la sécurité de l’entreprise requis par le règlement général sur la protection des données (RGPD). Les délégués à la protection des données sont chargés de superviser la stratégie de protection des données d’une entreprise et sa mise en œuvre afin de garantir le respect des exigences du GDPR.
QUELLES ENTREPRISES ONT BESOIN DE DÉLÉGUÉS À LA PROTECTION DES DONNÉES ?
GDPR a été mis en avant par le Parlement européen, le Conseil européen et la Commission européenne pour renforcer et rationaliser la protection des données des citoyens de l’Union européenne. Elle demande la nomination obligatoire d’un DPD dans chaque organisation qui traite ou stocke des données personnelles pour les citoyens de l’UE. Les DPD doivent être « désignés pour toutes les autorités publiques et lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent « un contrôle régulier et systématique des personnes concernées à grande échelle » ou lorsque l’entité effectue un traitement à grande échelle de « catégories spéciales de données à caractère personnel », telles que la race, l’origine ethnique ou les croyances religieuses.
Le langage de la GDPR indique que la taille d’une organisation n’est pas ce qui rend nécessaire le recours à un DPD, mais plutôt la taille et l’étendue du traitement des données. Malheureusement, le GDPR ne définit pas spécifiquement ce qu’il considère comme un traitement de données à « grande échelle ». Cependant, les autorités gouvernementales utilisent quatre facteurs clés pour déterminer si un DPD sera nécessaire.
Ces quatre facteurs sont les suivants :
- Les personnes concernées
- Éléments de données
- Durée de conservation des données
- Portée géographique du traitement
- Bien qu’il n’existe pas de directives précises concernant l’ampleur du traitement des données, la plupart des petites entreprises ne seront pas tenues d’engager un DPD, sauf si leur activité principale est la collecte ou le stockage de données.
RESPONSABILITÉS ET EXIGENCES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Le délégué à la protection des données est un rôle obligatoire pour toutes les entreprises qui collectent ou traitent les données personnelles des citoyens de l’UE, en vertu de l’article 37 du GDPR. Les DPD sont chargés d’éduquer l’entreprise et ses employés sur la conformité, de former le personnel impliqué dans le traitement des données et de mener des audits de sécurité réguliers. Les DPD servent également de point de contact entre l’entreprise et les autorités de contrôle (AS) qui supervisent les activités liées aux données.
Comme indiqué à l’article 39 du RDPD, les responsabilités du DPD comprennent, sans s’y limiter, les éléments suivants :
- Sensibiliser l’entreprise et les employés aux exigences importantes en matière de conformité
- Formation du personnel impliqué dans le traitement des données
- Effectuer des audits pour garantir la conformité et traiter les problèmes potentiels de manière proactive
- Servir de point de contact entre l’entreprise et les autorités de surveillance de GDPR
- Contrôler les performances et fournir des conseils sur l’impact des efforts en matière de protection des données
- Tenir des registres complets de toutes les activités de traitement des données menées par l’entreprise, y compris les objectifs de toutes les activités de traitement, qui doivent être rendus publics sur demande
- L’interface avec les personnes concernées pour les informer de la manière dont leurs données sont utilisées, de leur droit de faire effacer leurs données personnelles et des mesures mises en place par l’entreprise pour protéger leurs informations personnelles
LES QUALIFICATIONS DES DÉLÉGUÉS À LA PROTECTION DES DONNÉES
Le GDPR ne comporte pas de liste spécifique de qualifications de DPD, mais l’article 37 exige qu’un délégué à la protection des données ait « une connaissance approfondie de la législation et des pratiques en matière de protection des données ». Le règlement précise également que l’expertise du DPD doit s’aligner sur les opérations de traitement des données de l’organisation et le niveau de protection des données requis pour ce qui est traité par les responsables du traitement et les sous-traitants.
Les DPD peuvent être des membres du personnel d’un responsable de traitement ou d’un sous-traitant, et les organisations apparentées peuvent faire appel à la même personne pour superviser collectivement la protection des données, à condition que le DPD soit facilement accessible à toute personne travaillant dans ces organisations apparentées. Il est obligatoire que les informations du DPD soient publiées et fournies à tous les organismes de surveillance réglementaire.
Les délégués à la protection des données ne doivent pas être en conflit d’intérêts, ce qui signifie que le DPD ne doit pas avoir de fonctions ou de responsabilités actuelles qui entrent en conflit avec ses responsabilités de surveillance. Par exemple, un conseiller juridique qui pourrait représenter l’entreprise dans une procédure judiciaire serait considéré comme ayant un conflit d’intérêts et ne serait donc pas qualifié pour exercer les fonctions de DPD. Les entreprises qui enfreignent cette exigence peuvent être soumises à des amendes pouvant atteindre 10 millions de dollars de l’UE ou deux pour cent du chiffre d’affaires mondial de l’entreprise, le montant le plus élevé étant retenu.
MEILLEURES PRATIQUES POUR L’EMBAUCHE D’UN AGENT DE PROBATION
Les entreprises qui traitent les données des citoyens européens étant soumises à la GDPR même si elles ne sont pas situées dans l’UE, on prévoit que des dizaines de milliers d’OPD sont nécessaires pour que toutes les organisations réglementées puissent se conformer à la GDPR.
Les meilleurs DPD auront une expertise en matière de droit de la protection des données et une compréhension complète de l’infrastructure informatique, de la technologie et de la structure technique et organisationnelle de leur entreprise. Un employé existant peut être désigné comme DPD, ou le DPD peut être recruté à l’extérieur. Les entreprises et les organisations doivent rechercher des candidats capables de gérer la protection des données et le respect de la législation en interne tout en signalant les cas de non-respect aux autorités de contrôle compétentes. Le bon DPD sera à la fois fiable et indépendant, sans aucun engagement préalable qui pourrait interférer avec les responsabilités de contrôle du rôle du DPD.
Idéalement, un DPD devrait avoir d’excellentes compétences en matière de gestion et être capable d’interagir facilement avec le personnel interne à tous les niveaux et avec les autorités extérieures. Le bon DPD veillera également au respect des règles en interne et alertera les autorités en cas de non-respect, même si l’entreprise peut être soumise à de lourdes amendes.
