Le data protection officer (DPO) ou délégué à la protection des données (DPD) doit permettre aux entreprises d’éviter d’éventuelles sanctions pour traitement illégal de données personnelles. Retrouvez les règles d’or pour une intervention efficace du data protection officer.
1. Associer le data protection officer à tous les stades de la protection des données à caractère personnel
Il est essentiel que le délégué à la protection des données personnelles (DPD) soit associé le plus tôt possible à toutes les questions relatives à la protection des données.
Ses informations et conseils permettront de faciliter le respect du RGPD. Ce respect est important dès l’émergence de produits et lors de l’instauration politique de traitement des données personnelles. Une bonne gouvernance implique ainsi que le DPO soit considéré comme un interlocuteur privilégié. Il participe pleinement aux réunions consacrées aux activités de traitement de données. En outre, sa présence est obligatoire lorsqu’il faut effectuer une analyse d’impact concernant les données personnelles.
Il est ainsi utile d’élaborer une convention-consultation. Elle indique les cas dans lesquels le délégué à la protection des données doit être consulté. Elle indique aussi la procédure à suivre en cas de désaccord.
2. Comment associer le data protection officer aux différents stades de la protection des données ?
Il faut attacher une attention particulière aux points suivants :
- Il faut fournir au data protection officer (DPO) toutes les informations pertinentes pour faciliter la prise de décision.
- Le data protection officer doit être invité à participer régulièrement aux réunions de sa direction. Sa présence est recommandée lorsque des décisions ont des implications en matière de protection des données.
- L’avis du délégué à la protection des données doit toujours être pris en considération. En cas de désaccord, il est recommandé de consigner ses observations. Il faut aussi consigner les raisons pour lesquelles son avis n’a pas été suivi.
- Le data protection officer doit être immédiatement consulté quand une violation de données ou un autre incident se produit.
3. Fournir au délégué à la protection des données les ressources nécessaires
Il est important d’aider son délégué à la protection des données personnelles. Il faut donc lui fournir toutes les ressources nécessaires pour exercer ses missions. Cela comprend notamment l’accès aux données à caractère personnel et aux opérations de traitement.
Il est aussi nécessaire de prendre en compte :
- Le soutien actif de l’encadrement supérieur au délégué à la protection des données. Il s’agit par exemple du conseil d’administration.
- Le temps nécessaire au DPD et son équipe pour accomplir les tâches. Il faut déterminer le temps nécessaire à l’exécution de la fonction ainsi que le niveau de priorité des missions. Cela va ensuite permettre d’établir un plan de travail.
- Le soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personne.
- La communication officielle de la désignation du data protection officer (DPO) à l’ensemble du personnel. Il faut en effet permettre un véritable dialogue avec les autres services.
- Une formation continue. Le DPD doit maintenir ses connaissances à jour en ce qui concerne le domaine de la protection des données.
4. Prendre en considération la taille de l’entreprise et la sensibilité des données collectées
Selon la taille et la structure de l’organisme, il est possible de mettre en place une équipe de délégués à la protections des données. Il y aura un DPD et son personnel. Dans ce cas, il faut établir clairement la structure interne de l’équipe ainsi que les tâches et responsabilités de chacun. Lorsque la fonction du DPD est exercée par un prestataire de services externe, l’équipe est placée sous le contact principal désigné pour le client.
En général, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes.
5. Permettre l’exercice des fonctions du data protection officer en toute indépendance
Le RGPD insiste sur les garanties destinées à assurer un degré suffisant d’autonomie au délégué à la protection des données. En particulier, les responsables du traitement/sous-traitants doivent veiller à ce qu‘il «ne reçoive aucune instruction en ce qui concerne l’exercice des missions».
Les DPD doivent être en mesure d’exercer leurs fonctions en toute indépendance. Peu importe qu’ils soient ou non des employés du responsable du traitement.
- Dans l’exercice de leurs missions les DPD ne doivent pas recevoir d’instructions sur la façon de traiter une affaire. Par exemple : quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter l’autorité de contrôle.
- Ils ne peuvent être tenus d’adopter un point de vue imposé sur une législation en matière de protection des données. Par exemple une interprétation particulière du droit.
En revanche, les DPO ne disposent pas de pouvoirs de décision allant au-delà de leurs missions.
6. Prendre en compte l’avis du data protection officer
Il est important de comprendre que le responsable du traitement ou le sous-traitant reste responsable. Il faut être en mesure de démontrer le respect de la législation sur la protection des données.
Il est possible que des décisions prises soient incompatibles avec le RGPD et l’avis du DPD. Dans ce cas le DPD doit pouvoir indiquer clairement son avis divergent au niveau le plus élevé de la direction et aux décideurs. L’élaboration d’un rapport annuel sur les activités du délégué à la protection des données destiné au niveau le plus élevé de la direction constitue un exemple de bonne pratique pouvant être instituée.
