Etant donné que le DPO joue un rôle crucial dans l’application de la loi sur la protection des données, les entreprises peuvent être « sollicitées » par l’Autorité de protection des données dans les semaines et mois à venir, dans le cadre d’une action de mise en application du RGPD. L’autorité cherchera à déterminer si les DPO sont vraiment désignés et s’ils remplissent toutes les exigences légales concernant leur poste et la façon d’exercer leur fonction.

Les DPO sont considérés comme des intermédiaires entre les responsables de traitements, les personnes concernées et les autorités de protection des données, et jouent donc un rôle essentiel dans la conformité au RGPD et la protection des personnes concernées.

Le RGPD prévoit la désignation obligatoire d’un DPO dans certaines circonstances, notamment si les activités principales d’une entreprise consistent :

  • en la surveillance régulière et systématique de résidents de l’UE à grande échelle, ou
  • en le traitement à grande échelle de catégories particulières de données , ou
  • de données personnelles relatives à des infractions pénales, de résidents de l’UE.

 

Le RGPD prescrit également diverses exigences pour les DPO, telles que :

  • Le DPO doit être qualifié professionnellement et avoir des connaissances spécialisées du droit et des pratiques en matière de protection des données.
  • Le DPO ne doit pas exercer un autre rôle ou fonction qui créerait un conflit d’intérêts avec son rôle de DPO. Les directives européennes, les tribunaux nationaux des États membres et la Cour de justice de l’Union européenne (CJUE) indiquent qu’un conflit d’intérêts peut survenir si un DPO exerce un rôle opérationnel dans lequel il détermine les finalités et les moyens du traitement des données personnelles. La CJUE a également confirmé que les conflits d’intérêts des DPO doivent être déterminés au cas par cas.
  • Le DPO doit s’engager en temps utile dans toutes les questions relatives à la protection des données et doit rendre compte au plus haut niveau de la direction.
  • Le DPO doit être disponible pour toutes les personnes concernées et les autorités de contrôle.
  • Le DPO doit effectuer au moins les tâches spécifiques stipulées dans le RGPD, telles que la surveillance de la conformité aux lois et politiques internes de protection des données, et coopérer avec les autorités de contrôle.
  • Les organisations doivent soutenir le DPO dans l’exercice de sa fonction, en fournissant des ressources adéquates et un accès suffisant aux données personnelles et aux opérations de traitement.

 

L’Autorité de protection des données pourrait envoyer des questionnaires aux DPO pour réaliser une «enquête factuelle» ou pour «identifier si une enquête formelle est justifiée», a déclaré l’EDPB, et pourrait par la suite mener des enquêtes formelles et/ou un suivi des enquêtes en cours.

Au cours de l’année prochaine, les organisations doivent s’attendre à une augmentation de la surveillance, et des enquêtes de l’APD relatives aux activités des DPO. Elles devraient :

  • S’assurer que leurs DPO sont positionnés de manière appropriée au sein de l’entreprise, avec des lignes de rapportage claires aux niveaux de direction supérieure, et un accès suffisant aux données et aux opérations de traitement ;
  • S’assurer que leurs DPO disposent des ressources suffisantes pour accomplir leurs tâches en vertu du RGPD ;
  • Documenter leurs structures de gouvernance de la protection des données et les rôles de leurs DPO. Pour les DPO avec des rôles combinés, cette documentation devrait expliquer pourquoi les différents rôles des DPO ne donnent pas lieu à un conflit d’intérêts ; et
  • Conserver ces preuves de manière facilement accessible, en cas de questionnaires ou d’autres demandes d’informations des autorités de contrôle.

 

En prenant ces mesures, les organisations peuvent s’assurer que leurs DPO sont bien positionnés pour contribuer à la conformité au RGPD et à la protection des droits des sujets de données, et pour répondre rapidement et efficacement à toute enquête ou demande d’informations de la part des régulateurs.

 

Besoin d’un DPO mais personne avec la bonne formation?

Inscrivez-vous (ou la bonne personne dans votre organisation) vite à notre cours de formation et certification de DPO!

 

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.

Newsletter
x

Inscrire