Le double r\u00f4le du DPD\u00a0: superviseur ou conseiller\u00a0?<\/p>\n
La conf\u00e9rence n\u00e9erlandophone sur la protection de la vie priv\u00e9e PrivCon2023 s\u2019est tenue r\u00e9cemment et DPI \u00e9tait bien entendu \u00e9galement pr\u00e9sent. Un th\u00e8me r\u00e9current \u00e9tait le r\u00f4le du DPD, et en particulier une interpr\u00e9tation apparemment diff\u00e9rente entre les orateurs et participants n\u00e9erlandais et belges sur la mani\u00e8re dont ce r\u00f4le devrait \u00eatre rempli.<\/p>\n
Aux Pays-Bas, le DPD est consid\u00e9r\u00e9 comme un superviseur interne. Ce superviseur interne doit \u00eatre aussi ind\u00e9pendant que possible. Cela signifie qu\u2019il ne peut pas \u00eatre impliqu\u00e9 dans des questions op\u00e9rationnelles telles que la r\u00e9alisation d\u2019AIPD, qu\u2019il ne donne pas de sessions de sensibilisation et qu\u2019il ne signale les risques qu\u2019\u00e0 distance. L\u2019un des orateurs n\u00e9erlandais a fait la comparaison avec le mod\u00e8le bien connu des trois lignes de d\u00e9fense\u00a0: dans ce mod\u00e8le, le DPD est \u00e0 vrai dire une quatri\u00e8me ligne de d\u00e9fense et supervise d\u2019en haut.<\/p>\n
Cela contraste avec l\u2019approche belge. En Belgique, le DPD a d\u2019abord un r\u00f4le de conseiller et d\u2019informateur, et (\u00e9ventuellement) ensuite de superviseur. L\u2019accent est mis sur \u00eatre connu au sein de l\u2019organisation, sensibiliser, conseiller et \u00eatre le plus possible \u00e9cout\u00e9 afin que le RGPD soit correctement appliqu\u00e9 \u00e0 tous les niveaux de l\u2019organisation<\/p>\n
Avec des points de vue aussi oppos\u00e9s, il est presque in\u00e9vitable que l\u2019un ait raison et l\u2019autre tort, n\u2019est-ce pas\u00a0? Il est temps de se r\u00e9f\u00e9rer au texte de loi proprement dit, en se concentrant principalement sur les passages suivants de l\u2019article 39.1.a. et b.\u00a0:<\/p>\n
Les missions du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es sont au moins les suivantes\u00a0:<\/em><\/p>\n Le RGPD, comment pourrait-il en \u00eatre autrement, laisse place \u00e0 l\u2019interpr\u00e9tation. La formulation \u00ab\u00a0informer et conseiller sur les obligations qui leur incombent\u00a0\u00bb peut \u00eatre interpr\u00e9t\u00e9e comme la fourniture de conseils limit\u00e9s suite aux obligations \u00e9nonc\u00e9es dans la loi, une APD interne. Mais \u2018informer et conseiller\u2019 peut \u00e9galement \u00eatre consid\u00e9r\u00e9 d\u2019un point de vue plus pratique.<\/p>\n Il en va de m\u00eame pour l\u2019article 39.1.b : le DPD est-il \u00e9galement (en partie) responsable de cette sensibilisation et de cette formation, ou doit-il seulement en assurer la mise en \u0153uvre ?<\/p>\n Le consid\u00e9rant 97, quant \u00e0 lui, \u00e9voque le r\u00f4le du DPD qui consiste \u00e0 \u00ab\u00a0aider le responsable du traitement ou le sous-traitant \u00e0 v\u00e9rifier le respect<\/strong>, au niveau interne, du pr\u00e9sent r\u00e8glement\u00a0\u00bb. \u2018Aider\u2019 insinue que le DPD ne proc\u00e8de pas lui-m\u00eame \u00e0 la v\u00e9rification, mais en m\u00eame temps, effectuer cette v\u00e9rification constitue \u00e9galement une forme d\u2019aide.<\/p>\n\n
3. Que dit l\u2019EDPB ?<\/strong><\/h5>\n