Que doit savoir faire un délégué à la protection des données (DPD) ?
Il y a quelques années, le règlement général sur la protection des données (RGPD) est entré en vigueur. Dans le cadre de cette loi, de nombreuses nouvelles règles ont été introduites, notamment celle qui exige la désignation d'un délégué à la protection des données (DPD) par l'entreprise.
Cette réglementation vise à garantir qu'un niveau élevé de qualité de protection des données à caractère personnel est fourni par le responsable du traitement ou le sous-traitant.
Une entreprise a le choix de recourir à un service interne ou délégué à la protection des données externe de nommer.
Le DPD interne est choisi et désigné par la direction.
Quelles sont les tâches d'un délégué à la protection des données selon le RGPD ?
Le terme "délégué à la protection des données" (DPD) vous est certainement familier ou vous en avez déjà entendu parler. Mais quelles sont les fonctions et les tâches qui vont de pair avec ce rôle dans la protection des données au sein de l'entreprise ? Votre entreprise a-t-elle besoin d'un délégué à la protection des données ?
Dans cet article, nous indiquons quand vous avez besoin d'un délégué à la protection des données et quelles sont les obligations et les tâches d'un délégué (d'entreprise) à la protection des données conformément au RGPD.
Quand un délégué à la protection des données est-il nécessaire ?
Le RGPD indique à l'article 37 les conditions dans lesquelles le responsable du traitement ou le sous-traitant a l'obligation de désigner un délégué à la protection des données. Le législateur allemand a concrétisé davantage cette obligation dans l'article 38 de la loi fédérale sur la protection des données (BDSG) nouvelle version.
Par exemple, un délégué à la protection des données doit en principe être désigné si votre entreprise emploie en permanence au moins 20 personnes pour le traitement automatisé de données à caractère personnel, c'est-à-dire si vous avez au moins 20 employés qui sont en contact avec des données à caractère personnel.
Si vous ne vous êtes pas encore penché sur les conditions de désignation d'un délégué à la protection des données, nous vous conseillons vivement d'en vérifier la nécessité.
Tâches des délégués à la protection des données selon le RGPD et la BDSG dans l'entreprise
Le délégué à la protection des données est une personne responsable de la protection des données. Il doit garantir la protection des données à caractère personnel en respectant les règles pertinentes en matière de protection des données.
Cela ne signifie pas pour autant que le délégué à la protection des données doit s'occuper de manière autonome de l'ensemble de la protection des données au sein de l'entreprise. Il est autorisé à déléguer des tâches et à contrôler le respect des règles de protection des données. L'essentiel est qu'il assume la responsabilité du respect des règles de protection des données.
Le délégué à la protection des données lui-même ne doit pas nécessairement être un employé de l'entreprise. Il est possible de désigner aussi bien un délégué à la protection des données interne à l'entreprise qu'un délégué externe, issu d'un prestataire de services compétent. Les tâches des délégués externes à la protection des données selon le RGPD et la BDSG ne diffèrent pas.
L'article 39 du RGPD définit plus précisément ce qui fait partie des tâches d'un délégué à la protection des données (au sein de l'entreprise) :
- Le délégué à la protection des données veille au respect des dispositions relatives à la protection des données, notamment celles du RGPD et de la BDSG.
Il établit et tient à jour le registre des traitements, recherche et remédie aux causes des incidents de protection des données et effectue des contrôles de protection des données. - Le délégué à la protection des données conseille le responsable / le sous-traitant sur toutes les questions relatives à la protection des données et l'aide à mettre en œuvre les exigences légales en matière de protection des données.
Il élabore par exemple des directives, conseille sur les analyses d'impact relatives à la protection des données et surveille leur mise en œuvre conformément à l'article 35 du RGPD. - Le délégué à la protection des données est l'interlocuteur pour toutes les questions, aussi bien pour l'employeur que pour les employés ou le comité d'entreprise. Les personnes externes, comme les clients, les partenaires contractuels ou les fournisseurs, peuvent également s'adresser au délégué à la protection des données pour poser des questions.
- De même, le délégué à la protection des données sensibilise à la protection des données. Il intervient par exemple dans les formations des collaborateurs pour leur apprendre à gérer correctement les données personnelles dans leur travail quotidien.
- Le délégué à la protection des données coopère également avec les autorités de surveillance. Il est le point de contact pour les autorités de surveillance en ce qui concerne toutes les questions relatives à la protection des données.
Les tâches d'un délégué à la protection des données sont donc multiples et ont augmenté depuis l'introduction du RGPD. Il devrait donc disposer des aptitudes professionnelles nécessaires pour pouvoir s'acquitter de ses obligations et de ses tâches de délégué à la protection des données avec compétence et en toute connaissance de cause.
Le délégué à la protection des données n'est pas tenu de suivre des instructions dans son travail. Mais il n'est pas non plus habilité à donner des instructions. Cela signifie que le responsable ou le sous-traitant reste responsable de la mise en œuvre de ses recommandations. Une bonne coopération entre le délégué à la protection des données et la direction est donc essentielle pour une protection efficace des données au sein de l'entreprise.
Tâches en matière de protection contre le licenciement
En tant que DPO désigné, le travailleur dispose d'une protection contre le licenciement, qui ne justifie un licenciement qu'en cas de faute grave. Le responsable veille en outre à mettre à la disposition du DPD tous les moyens nécessaires pour lui permettre d'exercer son activité.
Élection du délégué à la protection des données
Lors du choix entre un délégué à la protection des données interne ou externe, il faut tenir compte du fait qu'un délégué à la protection des données externe n'a aucun penchant pour sa propre entreprise et reste donc neutre, ce qui évite tout conflit d'intérêt dans l'accomplissement des tâches de délégué à la protection des données.
Il existe en outre de nombreux autres avantages à faire appel à un délégué à la protection des données externe. Nous avons énuméré ces avantages dans notre blog 'Quels sont les coûts d'un délégué externe à la protection des données?', en examinant notamment les coûts d'un délégué externe à la protection des données.
Compétences requises
Conformément au RGPD, seules les personnes possédant les "compétences requises" doivent être désignées comme DPO. Si les compétences requises ne peuvent pas être remplies, les autorités de contrôle ont le droit de révoquer le DPD.
En règle générale, un délégué externe à la protection des données possède déjà les qualifications requises. Les tâches d'un DPD externe ne sont pas différentes de celles d'un DPD interne. Toutefois, en règle générale, un DPD externe est mieux à même de garantir les compétences requises qu'un DPD interne grâce à sa grande expérience.
Il est essentiel qu'un DPD dispose des compétences nécessaires. Il s'agit principalement de connaissances de base en matière de droit de la protection des données, de pratiques de protection des données, de sécurité informatique ainsi que de compétences non techniques permettant de remplir les tâches et les obligations d'un délégué à la protection des données prescrites par le RGPD.
Il s'agit notamment de conseiller les responsables sur les questions relatives à la protection des données et de soutenir la mise en œuvre de mesures visant à appliquer les exigences légales en matière de protection des données. Le DPD est l'interlocuteur de l'employeur, des employés, du comité d'entreprise et des tiers, tels que les partenaires contractuels, les clients et les fournisseurs. Il est également le premier contact pour les demandes des autorités de surveillance compétentes.
Le délégué à la protection des données devrait également être impliqué dans la formation des employés. L'objectif est d'informer les employés impliqués dans le traitement de données à caractère personnel des exigences générales en matière de protection des données afin de garantir la protection des données dans ce domaine également.
Le DPD a pour mission principale de conseiller le responsable du traitement sur la mise en œuvre et l'application de mesures visant à garantir un traitement des données à caractère personnel conforme à la législation. Il convient de noter que le DPD n'a qu'un rôle consultatif et n'est pas responsable de la mise en œuvre effective.
Les responsables doivent veiller à ce que la mise en œuvre de processus conformes à la protection des données ne soit pas un projet unique, mais nécessite une révision permanente. S'il n'existe pas de concept pour la mise en place de tels processus dans le cadre d'une organisation de protection des données, le DPD devrait être impliqué dans l'élaboration d'un tel concept.
La collecte du registre des activités de traitement peut servir de premier point de repère pour une telle organisation.
Un tel registre aide à organiser des processus conformes à la protection des données et offre une source rapidement accessible pour obtenir les informations nécessaires sur les processus de traitement des données.
Dans le cadre de la mise en place de processus conformes à la protection des données, il convient de toujours tenir compte de la mise en œuvre de paramètres de base et de préférences favorables à la protection des données (Privacy by Design/Default). Ceci, associé à des audits réguliers de la protection des données et à des évaluations des risques, constitue un bon moyen d'agir à l'avenir de manière conforme à la protection des données et de minimiser les risques juridiques liés au manque de respect du RGPD.