Le RGPD oblige certaines entreprises à désigner un DPD (délégué à la protection des données)

Le RGPD oblige certains responsables du traitement et sous-traitants à désigner un DPD, à savoir :

les autorités publiques;

les responsables du traitement et les sous-traitants qui observent les personnes concernées régulièrement, systématiquement et à grande échelle;

les responsables du traitement et les sous-traitants qui traitent à grande échelle certaines catégories de données (voir art. 9 RGPD);

les responsables du traitement et les sous-traitants qui traitent des données à caractère personnel dans le cadre de condamnations pénales et d?infractions (voir art. 10 RGPD).

En dehors de cette obligation, une entreprise peut également désigner un DPD sur une base volontaire. Elle est alors tenue au respect des articles 37 à 39 du RGPD.

Le DPD aide son entreprise à respecter les règles du RGPD et fait office de personne de contact pour les différentes parties prenantes (personnes concernées, autorités de contrôle?). Le DPD est impliqué dans toutes les questions liées à la protection des données à caractère personnel dans l'entreprise. Plus concrètement, sa mission consiste à collecter des informations pour identifier les activités de traitement, à analyser et contrôler le respect du RGPD dans ces activités de traitement et à informer et conseiller le responsable du traitement ou le sous-traitant.

Le DPD n'est pas tenu personnellement responsable lorsque le RGPD est violé ; c'est le responsable du traitement ou le sous-traitant qui en porte la responsabilité. Le DPD est autonome et ne doit pas recevoir d'instructions du responsable du traitement ou du sous-traitant, même s'il est un employé. Le DPD bénéficiera dès lors d'une protection particulière contre le licenciement. Il peut exercer d'autres missions et tâches au sein de l'entreprise, mais celles-ci ne peuvent donner lieu à des conflits d'intérêts.

Un DPD est désigné sur la base de ses qualités professionnelles, de ses connaissances spécialisées et de sa capacité à accomplir les missions prescrites par le RGPD (art. 39). Le responsable du traitement ou le sous-traitant veille à ce que le DPD dispose des ressources nécessaires pour exercer ses missions avec expertise et efficacité.

Une entreprise peut désigner une personne ou une organisation externe comme DPD par le biais d'un contrat de service. Un groupe d'entreprises peut désigner un seul DPD à condition que celui-ci soit facilement joignable par chacune des entreprises.

La présente communication est un résumé/une traduction d'une recommandation du Groupe de travail «Article 29» sur la protection des données.

Source: Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO 119, 4 mai 2016