Menu Fermer

Proximus à récemment reçu une amende de 50.000 euros de la part de l’Autorité de protection des données pour un conflit d’intérêts concernant son DPO (data protection officer), la personne en charge de la bonne mise en pratique du règlement RGPD au sein de l’entreprise.

Quand faut-il nommer (obligatoirement) un Délégué à la protection des données :

Le RGPD (article 37) exige qu’un délégué à la protection des données (DPD) soit nommé dans 3 situations :

a) Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des Juridictions agissant dans l’exercice de leur fonction juridictionnelle ; 

b) Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou 

c) Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (données sensibles) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. 

En ce qui concerne les traitements à grande échelle , lignes directrices établies par le Working Group 29 (Prédécesseur du Comité européen à la protection des données) constatent que le RGPD ne définit pas la notion de traitements «à grande échelle» aussi le G29 recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle: 

• le volume de données et/ou le spectre des données traitées; 

• la durée, ou la permanence, des activités de traitement des données; 

• l’étendue géographique de l’activité de traitement 

Certaines législations entrées en vigueur après le RGPD (par exemple relatives à la Cybersécurité) peuvent ajouter des cas de figure additionnels ou un délégué à la protection des données doit être nommé.

Taches et indépendance du DPD :

Le DPD selon l’article 38, paragraphe 6 du RGPD se verra confier un certain nombre de fonctions imposées par la loi et un statut de protection spécifique pourvu que l’exercice de ces taches et fonctions n’entraînent pas de conflit d’intérêts.

Qualifications du DPD : Le niveau de compétence d’un DPD n’est pas défini dans le RGPD et varie en fonction de la complexité de l’organisation et plus particulièrement de ses activités de traitement de données.

Toutefois, le DPO doit avoir une connaissance approfondie des lois et pratiques nationales et européennes en matière de protection des données et une compréhension approfondie du RGPD.

Il doit également avoir une connaissance suffisante du secteur d’activité et de l’organisation du responsable du traitement ainsi qu’une bonne compréhension des traitements mis en œuvre, y compris la sécurité des systèmes d’information et des données, ainsi que les besoins en matière de protection des données du responsable de traitement ou du sous-traitant.

Statut protégé du DPD : Le DPD ne peut être licencié ou puni par le responsable du traitement (entreprise) ou un sous-traitant pour l’exercice de ses fonctions. (Pourvu que sa nomination n’entraine pas de conflit d’intérêt et qu’il ou elle dispose des compétences requises par la loi.)

Indépendance du DPD : le DPD ne devrait pas occuper un poste qui implique que ce soit lui qui détermine les finalités des traitements au sein de l’entreprise ou organisation ou qui décide des moyens pour les mettre en œuvre. Par exemple, en règle générale, nommer le directeur général, chef des opérations, directeur des finances, directeur médical, chef du marketing, directeur des ressources humaines ou directeur du service informatique constituerait un conflit d’intérêt avec la fonction de délégué à la protection des données étant donné leur capacité à décider de la finalité et la mise en œuvre de certains traitements.spécifiques

Taches du DPD : le DPD, entre autres fonctions à l’obligation de contrôler le respect des obligations en matière de protection des données à caractère personnel et d’aider le responsable du traitement à se conformer au RGPD.
Dans le cadre de ces obligations de contrôle de conformité, les DPD peuvent notamment:
– collecter des informations pour identifier les activités de traitement
– analyser et vérifier la conformité des activités de traitement
– informer, conseiller et émettre des recommandations au responsable du traitement ou au sous-traitant.

Rappelons encore que la responsabilité en cas d’infraction reste sur les épaules du responsable du traitement (et pas le DPD).

Notification à l’Autorité de protection des données : lorsqu’un DPD est nommé il faudra notifier l’Autorité de Protection des données aussi vite que possible (obligation légale).

Nommer un DPD externe ?

Si vous devez nommer un DPD alors il faudra évaluer qu’il ou elle dispose des compétences requises et que sa nomination ne constitue pas un conflit d’intérêt.

(S’il s’avère que ce n’est pas obligatoire pour vous, alors il est fortement conseillé de désigner en interne une personne qui centralise les demandes en matière de protection des données)

Pour éviter de surcharger un collaborateur ou de se retrouver dans une situation embarrassante comme Proximus et éviter une lourde sanction financière, une solution consiste souvent à nommer un DPD externe qui dispose des compétences requises.

Par ailleurs, un DPD externe aura moins de scrupule de donner son avis au risque d’aller à l’encontre des politiques de l’employeur (de peur de perdre une promotion ou de risquer un licenciement).

Le DPD externe n’a pas besoin d’être toujours présent dans votre entreprise, il peut mener la plupart de ses taches à distance pour peu qu’on lui donne accès aux ressources nécessaires et qu’il soient impliqué dans les processus décisionnels relatifs aux traitements des données.

Pour cette raison, il est judicieux de nommer un DPO externe comme par exemple un avocat spécialiste qui est tenu de respecter la déontologie..

Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter via la section “me contacter” du blog.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

fr_FRFrançais