Les vacances d’été approchent et vous voudrez sans doute informer les expéditeurs d’e-mails de votre absence temporaire via un message d’absence du bureau (‘Out of Office’). Mais que faire si vous avez une boîte aux lettres dédiée au DPD ? Est-il préférable de configurer un message d’absence ou de demander à une autre personne d’assurer le suivi de la boîte aux lettres ? Nous examinons la meilleure façon de procéder dans cet article.
À quoi sert (généralement) la boîte aux lettres du DPD ?
La boîte aux lettres dédiée au DPD (par exemple DPD@entreprise.com) est souvent utilisée pour toutes sortes de communications internes et externes sur les questions relatives au RGPD. Cette adresse est transmise aux autorités de contrôle, mentionnée dans les procédures internes et reprise dans la déclaration de confidentialité sur le site web. Notez que vous ne pouvez utiliser une telle adresse que si vous avez désigné un DPD. Si ce n’est pas le cas, optez pour une alternative, comme privacy@entreprise.com.
Confidentialité de la boîte aux lettres du DPD
Le rôle du DPD est défini par la loi et comprend un devoir de confidentialité. Cela signifie que l’accès à la boîte aux lettres du DPD doit être limité afin de garantir la confidentialité des communications. L’autorité belge de protection des données (APD) l’a souligné dans le cadre d’une affaire où le directeur des TIC interne avait accès à la boîte aux lettres du DPD. Il n’est donc pas toujours judicieux de partager l’accès à cette boîte aux lettres (voir Décision 73/2020).
Message d’absence du bureau : oui ou non ?
Même si le DPD a lui aussi droit à des vacances, la configuration d’un message d’absence peut être problématique. L’APD a infligé une amende à une entreprise pour avoir laissé les questions de personnes concernées sans réponse pendant l’absence du DPD (Décision 87/2024). L’amende prononcée à titre de sanction était assez salée (plus de 170.000 euros). Cela montre que, même en l’absence du DPD, les entreprises doivent se conformer à leurs obligations en vertu du RGPD. Un message d’absence (sans plus) n’est souvent pas la meilleure solution ici.
Quelle est donc la meilleure façon de procéder ?
Il existe certainement plusieurs solutions à cet égard. Pourquoi ne pas envisager de dispatcher les questions, par exemple ? Il peut être utile de ne pas centraliser dans la boîte aux lettres du DPD les questions sur les droits des personnes concernées et les questions générales sur le traitement des données. Une adresse électronique générale (par exemple privacy@), gérée par plusieurs collaborateurs, peut être une meilleure solution. Ainsi, la boîte aux lettres du DPD (dpd@) reste réservée aux communications confidentielles, par exemple avec les autorités de contrôle ou les collaborateurs qui ont des questions sensibles sur le traitement des données. Cette façon de procéder peut être expliquée plus en détail dans la déclaration de confidentialité.
Dans un tel cas, un message d’absence sur la boîte aux lettres dpd@, qui est uniquement consultée par le DPD, peut être une bonne solution pour signaler l’absence du DPD, à condition qu’un système ait été mis en place pour donner suite aux demandes urgentes en temps utile.