Qu’est-ce qu’un DPD et qui doit en nommer un?

Un délégué à la protection des données ou DPD est une personne indépendante que vous pouvez engager pour votre entreprise afin de la maintenir en conformité avec le RGPD. Il / elle gardera votre politique de confidentialité à jour et s’assurera que les droits des clients sont respectés par l’entreprise.

Vous n’êtes pas obligé d’engager un DPD sauf si vous traitez des données à grande échelle ou si vous traitez des données comme décrit aux articles 9 et 10. Pour le préciser: l’article 9 concerne des informations telles que la biométrie, la génétique, la race, les préférences politiques, la religion ou la santé; l’article 10 concerne les informations relatives aux infractions pénales ou aux condamnations.

La plupart des PME n’auront probablement pas à nommer de DPD. Cela ne signifie cependant pas que vous ne pouvez pas nommer un DPD. Vous pouvez choisir de nommer quelqu’un, mais si cette personne porte le titre de «DPD» ou «délégué à la protection des données», vous serez obligé par la loi de vous conformer à toutes les réglementations du RGPD.

Par conséquent, il est conseillé aux petites entreprises de désigner une partie externe ou un collègue comme responsable du RGPD, mais PAS de leur donner le titre de DPD.

 

Que signifie exactement « traitement de données à grande échelle »?

Le RGPD ne mentionne pas de chiffres spécifiques. Vous devez savoir si vous traitez de grandes quantités de données pour chaque cas séparément.

 

Vous devez tenir compte des éléments suivants:

  • Le nombre de sujets impliqués.
  • Le volume de données et d’informations traitées.
  • La durée ou la permanence du traitement.
  • La répartition géographique du traitement.

 

Quelques exemples de traitement à grande échelle:

  • Traitement des données des patients dans le cadre des opérations habituelles d’un hôpital.
  • Traitement des voyageurs qui utilisent les transports en commun dans une ville (par exemple, les suivre à l’aide d’une carte de touriste).
  • Traitement des emplacements réels des clients d’une chaîne de restauration rapide internationale à des fins statistiques.
  • Traitement des données clients dans le cadre des opérations habituelles d’une compagnie d’assurance ou d’une banque.
  • Traitement des données personnelles par un moteur de recherche pour diffuser des annonces basées sur l’activité sur Internet.
  • Traitement des données par les opérateurs de télécommunications (ex. contenu, trafic, emplacements).

 

Quelques exemples de traitements qui ne sont pas classés à grande échelle:

  • Traitement des données du patient par un médecin individuel.
  • Traitement des données personnelles sur les condamnations ou similaires par un avocat individuel.

 

Si vous choisissez toutefois de désigner un DPD, quelles sont les obligations?

Le RGPD charge le DPD de garantir la conformité avec le RGPD. Le DPD aidera le responsable du traitement ou le sous-traitant lui-même à vérifier si le RGPD est suivi en interne. Pour ce faire, le DPD est autorisé à faire ce qui suit:

  • Collectez des informations pour identifier les activités de traitement.
  • Analysez et contrôlez les activités de traitement.
  • Conseiller la personne responsable et lui faire des recommandations.

Le DPD coopérera également avec les autorités de protection des données pour exercer les droits des parties concernées. Ces tâches impliquent le rôle du délégué/fonctionnaire en tant que facilitateur. Ils agissent en tant que contact pour permettre aux autorités d’accéder plus facilement aux documents ou aux informations dont elles pourraient avoir besoin pour leurs tâches et aux autorisations telles que l’autorité chargée de la recherche pour prendre des mesures correctives.

Le DPD est également le contact des personnes qui souhaitent exercer leurs droits. Habituellement, une adresse de contact spéciale (e-mail, numéro de téléphone,…) est donc créée.

Selon le RGPD, il est de la responsabilité du responsable du traitement et non du DPD de tenir un registre des activités de traitement. Le DPD conservera probablement un enregistrement des activités de traitement lui-même sur la base des informations fournies par les différents segments de l’organisation qui sont responsables du traitement des données personnelles.

Selon le RGPD, il est de la responsabilité du responsable du traitement d’exécuter une analyse d’impact sur la protection des données. Le DPD peut cependant être une source importante d’informations et d’aide pour le responsable du traitement.

 

Attention! Le DPD doit être totalement indépendant!

Si le DPD n’est pas indépendant dans son travail, vous pouvez recevoir des amendes. Le RGPD contient de multiples garanties pour aider le DPD à faire son travail de manière autonome:

  • Le DPD ne doit pas être informé de la manière d’accomplir ses tâches.
  • Le DPD ne peut être tenu sanctionné, licencié ou tenu responsable de l’exécution de ses tâches.
  • Il ne peut y avoir de conflit d’intérêts entre les tâches du DPD et d’éventuelles autres fonctions du DPD.

 

Lorsque vous nommez un DPD, vous êtes responsable des actifs dont le DPD peut avoir besoin pour ses tâches.

Plus la situation est complexe ou sensible, plus il faut fournir d’actifs au DPD.

Sur cette base, le DPD doit avoir accès aux éléments suivants:

  • Soutien actif de la direction supérieure.
  • Temps suffisant pour que le DPD accomplisse ses tâches.
  • Un soutien suffisant concernant les ressources financières, l’infrastructure et le cas échéant, le personnel.
  • Communication officielle concernant la nomination du DPD à tous les employés.
  • L’accès requis à d’autres segments de l’entreprise afin que le DPD puisse recevoir les commentaires, les commentaires et les informations nécessaires à la réalisation de leurs tâches.