Au cours de ces dernières années, la technologie a progressé à un rythme effréné. Internet est omniprésent, les réseaux sociaux ont pris les rênes et la quantité de données disponibles a connu une croissance inédite. La législation n’était cependant pas en adéquation avec la situation.
Règlement général sur la protection des données
Les choses ont cependant changé. Le monde politique s’est jeté à l’eau : le parlement européen a approuvé un nouveau règlement européen sur le traitement de données à caractère personnel : le Règlement général sur la protection des données ou RGPD. Il entrera en vigueur en mai 2018.
L’un des principaux éléments du Règlement est l’introduction du rôle du Délégué à la protection des données (DPD). Mais que fait un expert de ce type et, surtout, avonsnous tous besoin d'un DPD ?
Quand devez-vous désigner un Délégué à la protection des données ?
La réponse est simple : cela dépend. Il y a en effet plusieurs questions que vous devez vous poser avant de procéder au recrutement ou à la désignation d’un Délégué à la protection des données.
- Votre organisation est-elle une instance publique ou un organe public (à l’exception des juridictions en exécution de tâches judiciaires) ?
- Êtes-vous principalement chargé du traitement de catégories particulières de données ? Il s’agit de données qui révèlent l'origine raciale, les opinions politiques, les convictions religieuses ou philosophiques ou ont trait à des faits pénaux.
- Vous assurez principalement des traitements de données requérant une observation régulière et systématique à grande échelle ?
Si vous avez répondu par la négative à toutes les questions susmentionnées, vous n’êtes pas tenu de nommer un DPD. Si vous avez répondu par l’affirmative à une ou plusieurs des questions susmentionnées, vous devrez désigner un DPD pour 2018.
Vous pouvez confier cette fonction à un collaborateur existant. Ses responsabilités doivent toutefois être compatibles avec les obligations d’un DPD. Il ne peut bien évidemment pas servir d’intérêts contraires. Dans un groupe d’entreprises ou concern, il suffit de nommer un seul DPD, à condition qu'il soit facilement accessible pour chaque site. Un DPD peut être recruté en tant que travailleur, mais aussi exécuter ses tâches dans le cadre d'un contrat de prestation de services.
Qu’est-ce qu’une « observation régulière et systématique à grande échelle » ?
Vous avez probablement aussi trouvé que la quatrième condition à la désignation d’un DPD était une succession de mots vagues, en outre ouverts à différentes interprétations. Des discussions entourent ce qu’il y a lieu d’entendre correctement par « principalement chargé de traitements nécessitant une observation à grande échelle ». Une clarification semble de mise.
- « Principalement » signifie déjà que les traitements à grande échelle doivent relever des activités de base de l’organisation. Reste cependant à savoir si les activités de base ont uniquement trait à des activités génératrices de bénéfice. Dans ce cas, des départements comme les RH et l’IT ne devraient pas en faire partie, alors que ce sont précisément ces départements qui nécessitent une observation régulière et systématique.
- Rien n’indique en outre clairement pourquoi il a été choisi d’utiliser le terme « observation » et non le terme plus logique « traitement. »
- Par « à grande échelle », il y a lieu d’entendre « une quantité considérable de données à caractère personnel au niveau régional, national ou supranational » ou « une grande quantité de personnes concernées ». « Grand » et « considérable » sont bien évidemment des concepts subjectifs.
Ces interprétations ont une conséquence de taille : même si le traitement des données d’une organisation spécifique est conforme à un des critères de base, l’entreprise peut tout de même échapper à l’obligation de devoir désigner un délégué à la protection des données si elle prouve que le traitement des données ne relève pas des activités de base de l’entreprise. Le G29, ou Groupe de travail Article 29, un organe consultatif européen, a publié une série de directives utiles pour l’interprétation des conditions. Nous avons consacré un autre article de blog à ce sujet.
Responsabilités liées au DPD incombant aux organisations
La désignation d’un Délégué à la protection des données doit se faire sur la base des qualités professionnelles et de l’expertise en lois et pratiques concernant la protection des données. Pour établir le niveau d’expertise nécessaire, les organisations doivent déterminer leur type de traitement des données et le niveau de protection inhérent.
La tâche principale des sous-traitants des données et des responsables du traitement consiste à garantir l’indépendance du DPD. Les pratiques suivantes s’avèrent utiles à cet égard :
- Conservation des données : Le responsable du traitement ou le sous-traitant des données communique les coordonnées du DPD à l’autorité de contrôle (c’est-à-dire la Commission vie privée en Belgique ou le College Bescherming Persoonsgegevens aux Pays-Bas) et mentionne son nom et ses coordonnées dans le registre des activités de traitement ;
- Support : Le responsable du traitement ou le sous-traitant des données fournit au DPD les moyens nécessaires pour l’exercice de ses tâches ou l’entretien de son expertise ;
- Transparence : Le responsable du traitement ou le sous-traitant des données offre au DPD un accès aux données à caractère personnel et à vos activités de traitement ;
- Implication : Le responsable du traitement ou le sous-traitant des données veille à ce que le DPD soit suffisamment impliqué, et à temps, dans toutes les matières liées à la protection des données à caractère personnel ;
- Rapports : Le responsable du traitement ou le sous-traitant des données établit une mission et des rapports annuels clairs et transparents.
Toute violation de dispositions du RGPD liées au DPD peuvent donner lieu à d'importantes amendes, pouvant atteindre 10 000 000 € ou 2 % du chiffre d’affaires total mondial et est à éviter.
Voici des obligations supplémentaires du responsable du traitement et du sous-traitant des données :
- Offrir au DPD une formation constante et effective et un programme de développement professionnel, afin qu'il puisse entretenir une expertise continue (concernant les outils TIC, les connaissances juridiques, les certificats IAPP, etc.). Le coût supplémentaire pour les PME doit toutefois être proportionnel.
- Veiller à ce que le rôle du DPD ne soit pas réduit à celui d’agent de police. Son rôle doit dégager de la confiance et le but doit être d’imaginer des solutions. Le DDP doit informer la direction d’éventuels problèmes afin qu’elle puisse à son tour décider de la manière dont il convient de les gérer.
Responsabilités du délégué à la protection des données
Ce DPD ne doit bien évidemment pas seulement vous coûter de l’argent et du temps. Le but est qu’il contribue également efficacement au succès de votre entreprise. Quelles sont les tâches exactes de ce Délégué à la protection des données ?
- Un DPD offre à votre organisation des informations et conseils sur les obligations liées au RGPD ;
- Un DPD contrôle le respect du RGPD à l’aide de mécanismes de protection européens ou locaux et de la politique de confidentialité de votre organisation. Il assure également la formation des travailleurs concernés et l’exécution des éventuels audits ;
- Un DPD donne des conseils à votre organisation à propos de l’analyse des risques obligatoire et de ses résultats ;
- Un DPD collabore avec l’autorité régionale et fait office de personne de contact pour votre organisation ;
- Un DPD répond à toutes les questions concernant le traitement des données et les droits de la personne concernée dont les données sont traitées.
Un Délégué à la protection des données pour votre organisation ?
Chaque entreprise a le temps de prendre les mesures nécessaires avant l’entrée en vigueur du RGPD le 25 mai 2018.
Ce Règlement entrera immédiatement en vigueur dans tous les États membres européens et s’applique à toutes les entreprises ou organisations qui gèrent des données de citoyens européens. Il s’appliquera donc à toute entreprise et toute instance.
