RGPD : pourquoi désigner un délégué à la protection des données ?

Le RGPD (Règlement général sur la protection des données) prendra effet le 25 mai 2018. Certaines entreprises auront alors l’obligation de désigner un délégué à la protection des données (DPD) ou data protection officier en anglais (DPO). Votre entreprise est-elle soumise à cette obligation ? Quel sera le rôle de votre délégué à la protection des données ?

Désignation obligatoire d’un délégué à la protection des données

Dans certains cas, le règlement général sur la protection des données imposera aux responsables du traitement et aux sous-traitants de désigner un DPD. Il en sera fait obligation à l’ensemble des autorités  et organismes publics, indépendamment de la nature des données qu’ils traitent. De même, d’autres organismes « dont les activités de base consistent en un suivi systématique à grande échelle de personnes ou en un traitement à grande échelle de catégories particulières de données à caractère personnel » devront recourir au délégué à la protection des données.

Désignation recommandée d’un data protection officer

Toutefois, lorsque le RGPD n’exige pas obligatoirement la désignation d’un délégué à la protection des données, les organismes peuvent parfois juger utile d’en désigner un sur une base volontaire, pouvant alors servir de véritable argument concurrentiel pour les entreprises. D’ailleurs bien que la directive de 1995 ne contraignait aucun organisme à désigner un DPO, la pratique consistant à en désigner un s’était néanmoins installée dans plusieurs États membres de l’Union européenne.

Selon le groupe de travail (G29) en charge de la promotion de la protection des données, le délégué à la protection des données est l’une des pierres angulaires du régime de responsabilité des organismes. La désignation d’un data protection officer peut faciliter le respect des règles et devenir un véritable avantage commercial et concurrentiel pour les entreprises comme en atteste l’article des Echos.

Fonctions diversifiées du DPD

Le DPD permet de :

– Favoriser le respect des règles relatives à la protection des données. Il peut notamment recourir à la mise en œuvre d’outils, parfois complexes et obligatoires, comme des analyses d’impacts relatives à la protection des données ou encore la réalisation d’audits relatifs à la protection des données.

– Agir comme véritable “chef d’orchestre” de la protection des données en étant l’intermédiaire privilégié des autorités de contrôle qui exigent d’avoir un interlocuteur privilégié.  Ou encore des différentes entités économiques au sein d’un seul ou plusieurs organismes qui peuvent vouloir agir de concert quant à leur politique de traitement des données.

Le recours à l’expertise du délégué à la protection des données doit permettre d’éviter la mise en jeux de la responsabilité du responsable du traitement ou du sous-traitant. Toutefois, il est important de préciser que les data protection officers ne sont pas personnellement responsables en cas de non-respect du RGPD. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer, et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24, paragraphe 1). Le respect de la protection des données relève donc  de la responsabilité du responsable du traitement ou du sous-traitant qui jouent un rôle essentiel pour permettre l’exécution efficace des missions du délégué à la protection des données. Si la désignation d’un DPD est une première étape à bien des égards incontournable. Celui-ci doit néanmoins disposer d’une autonomie et de ressources suffisantes pour s’acquitter efficacement de ses missions.

Pour conclure, le data protection officer est un acteur clé du nouveau système de gouvernance des données établit par le RGPD. Les conditions relatives à sa désignation, à sa fonction et à ses missions feront l’objet de  futurs articles qui auront pour objectif de préciser les dispositions pertinentes du RGPD afin d’aider les responsables du traitement et les sous-traitants à respecter la législation. Il s’agira aussi d’assister les délégués à la protection des données dans leur rôle en présentant également des recommandations en matière de bonnes pratiques, en s’appuyant sur l’expérience acquise dans certains États membres de l’Union, et des derniers travaux du G29.

 

Deshoulières Avocats vous accompagne pour votre mise en conformité au RGPD. Deshoulières Avocats intervient comme délégué à la protection des données pour de nombreux clients dans le secteur des nouvelles technologies.

Bouton Devis final

 

RÉFÉRENCES :