Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
Pour vous accompagner dans la mise en place des nouvelles obligations imposées par le règlement européen, le délégué doit notamment :
Pour mesurer concrètement l’impact du règlement européen sur la protection des données sur votre activité, commencez à faire l’inventaire de tous les traitements de données personnelles que vous mettez en oeuvre. Notez quelle est la provenance de ces données et les personnes avec lesquelles vous les avez partagées. La tenue d'un registre des traitements vous permet de faire le point.
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.
La désignation volontaire d’un DPO, hors toute obligation légale donc, par les responsables de traitement et les sous-traitants est encouragée par le Groupe de l’Article 29. Si il ou elle est désigné(e) en tant que tel et dénommé(e) « délégué à la protection des données », l’ensemble des exigences du Règlement devront être respectées. Les articles 37 à 39 s’appliqueront de la même façon que si sa désignation avait été obligatoire.
Un organisme peut engager du personnel et l’employer pour accomplir des missions de DPD ou recourir à un consultant externe pour exercer ces missions sur base volontaire. L’entreprise peut ainsi souhaiter se conformer strictement à l‘ensemble des exigences du RGPD. Le Groupe 29 encourage la désignation de délégué au sens du Règlement. Si le responsable de traitement et/ou le sous-traitant n’opèrent pas ce choix , il est important qu’aucune confusion n’existe tant en interne que pour les autorités de contrôle et les personnes concernées s’agissant du titre, du statut et des tâches de cette personne qui ne peut être considérée comme un « délégué à la protection des données « au sens du RGPD.
Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.
Le délégué est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.
Pour garantir l’effectivité de ses missions, le délégué doit :
La mise en place de la fonction de délégué nécessite d’être anticipée et organisée dès aujourd’hui, afin d’être prêt en mai 2018.
En France, Le délégué à la protection des données est le successeur naturel du CIL. Leurs statuts sont similaires (Pour l’articulation entre le CIL (Correspondant Informatique et Libertés) et le DPD (Délégué à la Protection des Données), lire : https://www.cnil.fr/fr/le-cil-et-le-futur-delegue-la-protection-des-donnees.)
Toutefois, le règlement précise les exigences portant sur le délégué s’agissant de ses qualifications (qualités professionnelles, connaissances spécialisées du droit et des pratiques en matière de protection de données) et de sa formation continue (entretien de ses connaissances spécialisées).
Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen).
Ses prérogatives et missions sont renforcées, s’agissant en particulier de son rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).
Par ailleurs, les organismes doivent fournir à leur délégué les ressources nécessaires à ses missions (notamment l’associer d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données, lui donner accès aux données ou encore lui permettre de se former).
Enfin, contrairement au CIL dont la désignation est facultative, celle du délégué est obligatoire dans certains cas.
Il en va de même en Belgique.
La fonction du délégué à la protection des données et du conseiller en sécurité de l'information découle de législations différentes. Ces législations établissent des conditions qui leur sont propres. Cela signifie qu’une analyse extensive de ces législations est requise pour en dégager les différences. Cette question est encore actuellement à l’étude au sein de la Commission vie privée.
Le RGPD prévoit que le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données ainsi que de sa capacité à accomplir les missions visées à l'article 39 du RGPD.
Il convient, dès lors, d’examiner au cas par cas si la personne désignée en tant que délégué à la protection des données satisfait effectivement aux conditions du RGPD. Il s’agit là d’une analyse qui doit être effectuée en interne par le responsable du traitement ou le sous-traitant qui a l’intention de nommer un délégué.
Pour devenir Délégué à la Protection des Données en France, lire : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees, en Belgique : https://www.privacycommission.be/fr/faq-page/10043#t10043n19846
La personne qui a vocation à devenir délégué à la protection doit pouvoir réunir les qualités et compétences suivantes :
Il n’existe donc pas de profil type du délégué qui peut être une personne issue du domaine technique, juridique ou autre. Une étude menée pour la CNIL en 2015 a en effet montré que les CIL proviennent de domaines d’expertise très variés (profil technique à 47%, profil juridique à 19% et profil administratif à 10%).
Voici quelques liens forts utiles pour poursuivre l’analyse de l’intérêt de désigner un DPO dans votre entreprise (avocat ou juriste, professionnel du chiffre, informaticien,…) :
Les articles 37 à 39 du Chapitre IV du RGPD consacré aux obligations des responsables de traitement et des sous-traitants sont particulièrement pertinents :
D’autres dispositions prévoient un rôle pour le délégué à la protection des données :
Où trouver le texte ? Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est aisé à consulter :
1. Sur le site de la CNIL ;
2. Sur le site du DSB-Mit-System
3. Sur le site de l'Union Européenne.