Les règles d’or du data protection officer

Le data protection officer (DPO) ou délégué à la protection des données (DPD) doit permettre aux entreprises d’éviter d’éventuelles sanctions pour traitement illégal de données personnelles. Retrouvez les règles d’or pour une intervention efficace du data protection officer.

Data protection officer

1. Associer le data protection officer à tous les stades de la protection des données à caractère personnel

Il est essentiel que le délégué à la protection des données personnelles (DPD) soit associé le plus tôt possible à toutes les questions relatives à la protection des données.

Ses informations et conseils permettront de faciliter le respect du RGPD. Ce respect est important dès l’émergence de produits et lors de l’instauration politique de traitement des données personnelles. Une bonne gouvernance implique ainsi que le DPO soit considéré comme un interlocuteur privilégié. Il participe pleinement aux réunions consacrées aux activités de traitement de données. En outre, sa présence est obligatoire lorsqu’il faut effectuer une analyse d’impact concernant les données personnelles.

Il est ainsi utile d’élaborer une convention-consultation. Elle indique les cas dans lesquels le délégué à la protection des données doit être consulté. Elle indique aussi la procédure à suivre en cas de désaccord.

 

2. Comment associer le data protection officer aux différents stades de la protection des données ?

Il faut attacher une attention particulière aux points suivants :

  • Il faut fournir au data protection officer (DPO) toutes les informations pertinentes pour faciliter la prise de décision.
  • Le data protection officer doit être invité à participer régulièrement aux réunions de sa direction. Sa présence est recommandée lorsque des décisions ont des implications en matière de protection des données.
  • Lavis du délégué à la protection des données doit toujours être pris en considération. En cas de désaccord, il est recommandé de consigner ses observations. Il faut aussi consigner les raisons pour lesquelles son avis na pas été suivi.
  • Le data protection officer doit être immédiatement consulté quand une violation de données ou un autre incident se produit.

 

3. Fournir au délégué à la protection des données les ressources nécessaires

Il est important d’aider son délégué à la protection des données personnelles. Il faut donc lui fournir toutes les ressources nécessaires pour exercer ses missions. Cela comprend notamment l’accès aux données à caractère personnel et aux opérations de traitement.

Il est aussi nécessaire de prendre en compte :

  • Le soutien actif de l’encadrement supérieur au délégué à la protection des données. Il s’agit par exemple du conseil dadministration.
  • Le temps nécessaire au DPD et son équipe pour accomplir les tâches. Il faut déterminer le temps nécessaire à lexécution de la fonction ainsi que le niveau de priorité des missions. Cela va ensuite permettre d’établir un plan de travail.
  • Le soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personne.
  • La communication officielle de la désignation du data protection officer (DPO) à lensemble du personnel. Il faut en effet permettre un véritable dialogue avec les autres services.
  • Une formation continue. Le DPD doit maintenir ses connaissances à jour en ce qui concerne le domaine de la protection des données.

 

4. Prendre en considération la taille de l’entreprise et la sensibilité des données collectées

Selon la taille et la structure de lorganisme, il est possible de mettre en place une équipe de délégués à la protections des données. Il y aura un DPD et son personnel. Dans ce cas, il faut établir clairement la structure interne de léquipe ainsi que les ches et responsabilités de chacun. Lorsque la fonction du DPD est exercée par un prestataire de services externe, l’équipe est placée sous le contact principal désigné pour le client.

En général, plus les opérations de traitement sont complexes ou sensibles, plus les ressources octroyées au DPD devront être importantes.

 

5. Permettre l’exercice des fonctions du data protection officer en toute inpendance

Le RGPD insiste sur les garanties destinées à assurer un degré suffisant dautonomie au délégué à la protection des données. En particulier, les responsables du traitement/sous-traitants doivent veiller à ce qu‘il «ne reçoive aucune instruction en ce qui concerne l’exercice des missions».

Les DPD doivent être en mesure d’exercer leurs fonctions en toute indépendance. Peu importe qu’ils soient ou non des employés du responsable du traitement.

  • Dans lexercice de leurs missions les DPD ne doivent pas recevoir dinstructions sur la façon de traiter une affaire. Par exemple : quel résultat devrait être obtenu, comment enquêter sur une plainte ou s’il y a lieu de consulter lautorité de contrôle.
  • Ils ne peuvent être tenus dadopter un point de vue imposé sur une législation en matière de protection des données. Par exemple une interprétation particulière du droit.

En revanche, les DPO ne disposent pas de pouvoirs de décision allant au-delà de leurs missions.

 

6. Prendre en compte l’avis du data protection officer

Il est important de comprendre que le responsable du traitement ou le sous-traitant reste responsable. Il faut être en mesure de démontrer le respect de la législation sur la protection des données.

Il est possible que des décisions prises soient incompatibles avec le RGPD et lavis du DPD. Dans ce cas le DPD doit pouvoir indiquer clairement son avis divergent au niveau le plus élevé de la direction et aux décideurs. Lélaboration d’un rapport annuel sur les activités du délégué à la protection des données destiné au niveau le plus élevé de la direction constitue un exemple de bonne pratique pouvant être instituée.

Deshoulières Avocats intervient comme délégué à la protection des données pour de nombreux clients dans le secteur des nouvelles technologies. Deshoulières Avocats dispose d’une méthodologie éprouvée pour votre mise en conformité au RGPD.

Bouton Devis final