Informer, conseiller et contrôler. Les trois tâches fondamentales d’un délégué à la protection des données sont développées lors de la formation DPD de DPI.
Le DPD – une nouveauté marquante
La commission européenne a publié le 25 janvier 2012 un projet de texte du règlement général pour la protection des données (RGPD). La réforme des règles relatives à la protection de la vie privée répondait à la numérisation croissante et à l’utilisation y afférente de données à caractère personnel. Le texte de 2012 formait la base d’un processus politique long et complexe, avec plus de trois mille amendements et des centaines de pages de lobbying. L’une des nouveautés les plus marquantes de la nouvelle réglementation est l’obligation, dans certains cas, de désigner un délégué à la protection des données (DPD).
Le DPD peut être considéré comme la clé de voûte d’un système de justification intégré dans les nouvelles règles en matière de protection de la vie privée : lorsque des données à caractère personnel sont traitées, une entreprise doit pouvoir démontrer que ce traitement est effectué de manière correcte. Le rôle du DPD peut être résumé en trois mots : informer, conseiller et contrôler.
Le DPD – une sainte Trinité
Informer signifie la diffusion de la réglementation et l’application de celle-ci à l’intérieur et à l’extérieur de l’organisation. Le DPD est ainsi le point de contact pour les collaborateurs au sein de l’organisation et auprès des fournisseurs. L’organisation de sessions de conscientisation et de formations pour les parties prenantes qui gèrent des données à caractère personnel est donc un must. Les clients dont les données à caractère personnel sont traitées peuvent également s’adresser au DPD. L’autorité de contrôle, comme l’Autorité de protection des données ou la Vlaamse Toezichtcommissie, s’adressera en première instance au DPD pour collecter des informations sur les processus de traitement.
La deuxième tâche du DPD, qui est de conseiller, et sans aucun doute celle qui requiert le plus d’expertise. Le DPD doit pour cette tâche disposer aussi bien de connaissances techniques que juridiques pour pouvoir confronter un traitement de données à caractère personnel aux exigences légales. Les règles abstraites qui doivent être transposées dans le contexte spécifique de l’organisation, compliquent cette tâche. Sur le plan juridique, l’analyse peut être influencée par une réglementation spécifique au secteur. Le volet technique peut lui varier selon les normes techniques applicables aux traitements. Des connaissances juridiques et techniques sont donc requises pour pouvoir exercer la fonction de DPD. Les deux domaines de connaissances sont toutefois rarement réunis en une seule personne.
Outre la mission consistant à informer les parties prenantes internes et externes et à leur fournir des conseils, le DPD doit également contrôler les traitements effectués par une organisation. Le législateur a inscrit cette tâche dans le RGPD afin de prévoir un premier contrôle du traitement correct de données à caractère personnel. On peut dans une certaine mesure également faire un parallèle avec la fonction d’auditeur interne, d’ombudsman ou de conseiller en prévention, par exemple. La mission de contrôle explique pourquoi la fonction de DPD est indépendante de l’organisation.
Le DPD – aussi un implementor ?
Le fait d’informer, de conseiller et de contrôler laisse entendre que le DPD n’est pas chargé d’implémenter. L’organisation qui souhaite respecter les règles du RGPD a toutefois beaucoup à faire pour implémenter toutes sortes d’obligations inscrites dans la loi. Elle doit ainsi tenir un registre des activités de traitement – une sorte de répertoire cartographiant les traitements de données à caractère personnel effectués -, développer pour les fuites de données une procédure garantissant la détection et la notification en temps utile d’un incident relatif à des données à caractère personnel, conclure des contrats avec des sous-traitants, etc. Ces tâches sont souvent effectuées par le DPD, ce qui requiert une bonne compréhension de la gestion de l’entreprise et de la manière dont l’organisation fonctionne et peut fonctionner.
Le DPD reste à jour
Le DPD est donc quelqu’un qui possède des connaissances techniques et juridiques, qui joue un rôle indépendant au sein de l’organisation et qui est communicatif. Il s’agit de nombreuses compétences réunies en une seule personne. Pour acquérir ces connaissances, une formation permanente de qualité est indispensable. Ce n’est qu’ainsi que le DPD, en tant que factotum, peut correctement remplir son rôle.
Vous souhaitez vous former vous-même à la fonction de DPD ou maintenir vos acquis à niveau avec nos sessions de Stay Tuned? Jetez un œil sur nos formations.