Le DPD : juriste ou technicien
Même le service de première ligne de l’APD l’a remarqué : en 2023, les questions posées sont de plus en plus liées à la technologie ou aux implications techniques des traitements, et de moins en moins aux principes juridiques qui les sous-tendent. On observe également cette tendance au sein des équipes chargées de la protection de la vie privée : une équipe en charge de cette question qui est composée uniquement de juristes se heurtera très rapidement à un angle mort. Le DPD est déjà souvent amené à rechercher des informations et, sans une solide formation en informatique, il risque de tourner en rond.
Doit-il alors être un technicien ? Pas du tout, mais l’accès à des connaissances informatiques indépendantes est indispensable. Par ‘indépendantes’, on entend que la personne dont vous devez évaluer les opérations de traitement ne doit pas aussi être celle qui dispense des conseils sur le contexte informatique du traitement. Vous ou votre équipe ne disposez pas de connaissances informatiques ? Veillez à obtenir les connaissances dont vous avez besoin dans une autre division de l’organisation ou par l’intermédiaire d’une partie externe.
Position du DPD : superviseur ou business partner
Une tendance qui est clairement visible aux Pays-Bas et qui, tôt ou tard, s’étendra de toute façon à la Belgique : dans quelle mesure le DPD est-il autorisé à s’impliquer dans le ‘business’ ? Récemment à Amsterdam et Almere, l’AP, l’autorité néerlandaise de protection des données, a tiré la sonnette d’alarme quant à l’indépendance du DPD. Il s’agit d’un conflit reconnaissable : d’une part, le DPD veut réfléchir avec l’organisation et apporter des solutions. D’autre part, c’est un superviseur interne qui ne peut donc pas se retrouver dans une position où il est amené à superviser des opérations de traitement pour lesquelles il a précédemment dispensé des conseils.
Aux Pays-Bas et dans les entreprises internationales, on assiste de plus en plus souvent à la désignation d’un CPO (Chief Privacy Officer) en plus du DPD en vue de résoudre ce conflit d’intérêts. Le CPO est responsable de la politique interne en matière de protection de la vie privée, c’est-à-dire de l’opérationnalisation de la protection des données au sein de l’organisation. Le DPD est davantage un superviseur qui doit pouvoir être en mesure de superviser de manière indépendante tous les aspects de la protection des données au sein de l’organisation.
Au sein du gouvernement néerlandais, il a même été décidé qu’en plus d’un Délégué à la protection des données, un Chief Privacy Officer doit désormais toujours être nommé. Le CPO se trouve malheureusement encore sous le CIO, mais la séparation de ces rôles est une tendance qui ne manquera pas de se poursuivre.
Le large éventail de tâches du DPD
Informer, conseiller et superviser le traitement des données à caractère personnel sont des notions clés qui relèvent de la compétence du DPD. Sous la pression d’autres législations sur les technologies, il n’est pas inconcevable que les entreprises élargissent encore le rôle du DPD. Et si ce touche-à-tout veillait également au bon respect d’autres législations telles que les réglementations (et les codes de conduite) sur l’intelligence artificielle et peut-être, dans un cadre plus large, les règles éthiques sur la gestion des données ? Le DPD peut-il également jouer un rôle dans la mise en œuvre des obligations liées à la directive NIS2 ? Peut-être le DPD peut-il également servir de point de contact dans le cadre de la réglementation relative aux lanceurs d’alerte ?
Les exemples ci-dessus montrent que le DPD pourrait se voir confier d’autres tâches supplémentaires dans le futur. Posez-vous toutefois les questions suivantes :
- Les tâches assignées ne sont-elles pas incompatibles avec les attributions du DPD ? Effectuez toujours une analyse. Analysez à cet égard également les tâches du point de vue du traitement des données à caractère personnel.
- Le DPD est-il suffisamment compétent pour accomplir ces tâches supplémentaires ? Une formation supplémentaire est-elle requise ?
- Le DPD a-t-il le temps de s’acquitter de ces tâches supplémentaires ? Commencez toujours par une analyse approfondie des attributions du DPD.
* * *