{"id":6040,"date":"2021-03-17T16:50:07","date_gmt":"2021-03-17T15:50:07","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=6040"},"modified":"2021-03-17T16:50:07","modified_gmt":"2021-03-17T15:50:07","slug":"comment-eviter-les-conflits-dinterets-en-tant-que-dpd","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/comment-eviter-les-conflits-dinterets-en-tant-que-dpd\/","title":{"rendered":"Comment \u00e9viter les conflits d’int\u00e9r\u00eats en tant que DPD ?"},"content":{"rendered":"

Les organisations qui r\u00e9fl\u00e9chissent \u00e0 la d\u00e9signation d’un DPD se posent toujours les m\u00eames questions\u00a0: \u00ab\u00a0Ai-je besoin d’un DPD\u00a0<\/em><\/a>?\u00a0\u00bb, \u00ab\u00a0Quelles sont les <\/em>t\u00e2ches<\/em><\/a> et quel est le <\/em>profil<\/em><\/a> du DPD\u00a0\u00bb<\/em> et \u00ab\u00a0Le r\u00f4le de DPD peut-il \u00eatre combin\u00e9 avec un autre r\u00f4le\u00a0?<\/em>\u00a0\u00bb. C\u2019est cette derni\u00e8re question que nous examinerons dans cet article, \u00e0 savoir l\u2019ind\u00e9pendance du DPD. On peut consid\u00e9rer cette ind\u00e9pendance sous trois angles\u00a0: le conflit de responsabilit\u00e9, le conflit de t\u00e2ches et le conflit de comp\u00e9tences. Nous aborderons ci-dessous les diff\u00e9rents mod\u00e8les de conflits, \u00e0 chaque fois accompagn\u00e9s d’un exemple (ce qu\u2019il (ne) faut (pas) faire).<\/p>\n

Le conflit de responsabilit\u00e9\u00a0: le DPD patron<\/strong><\/h3>\n

Le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es stipule que le DPD peut assumer d\u2019autres t\u00e2ches, tant que ces autres t\u00e2ches et obligations ne m\u00e8nent pas \u00e0 un conflit d\u2019int\u00e9r\u00eats. Le Comit\u00e9 europ\u00e9en pour la protection des donn\u00e9es<\/a> traduit cette disposition dans ses lignes directrices sur les DPD<\/a>. La r\u00e8gle de base est qu\u2019on ne peut pas combiner la fonction de DPD avec un r\u00f4le dans le cadre duquel on participe \u00e0 des d\u00e9cisions qui se rapportent directement ou indirectement au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel (de collaborateurs ou de clients). Les fonctions dites de niveau C telles que CEO, COO, CFO, CIO, etc., mais aussi la fonction de responsable du d\u00e9partement marketing ou de responsable des ressources humaines, ne peuvent pas \u00eatre combin\u00e9es avec le r\u00f4le de DPD.<\/p>\n

Exemple\u00a0<\/em><\/a>: l\u2019Autorit\u00e9 de protection des donn\u00e9es estimait qu\u2019il existait un tel conflit d’int\u00e9r\u00eats chez Proximus, o\u00f9 la fonction de DPO \u00e9tait combin\u00e9e avec la fonction de directeur audit, risk and compliance.<\/em><\/p>\n

Le conflit de t\u00e2ches\u00a0: le DPD juge et partie<\/strong><\/h3>\n

La fonction de DPD peut \u00eatre vue comme le r\u00f4le de chien de garde local de la vie priv\u00e9e, le prolongement de l\u2019autorit\u00e9 de contr\u00f4le. Une t\u00e2che essentielle du DPD \u00e0 cet \u00e9gard consiste \u00e0 v\u00e9rifier si l\u2019entreprise a correctement \u00e9valu\u00e9 les risques li\u00e9s au traitement de donn\u00e9es \u00e0 caract\u00e8re personnel (notamment les fuites de donn\u00e9es, le mauvais usage des donn\u00e9es \u00e0 caract\u00e8re personnel) et si elle prend des mesures (mesures de s\u00e9curit\u00e9, accords concernant l\u2019utilisation des donn\u00e9es, etc.). Le DPD ne peut par cons\u00e9quent pas d\u2019abord lui-m\u00eame \u00e9valuer les risques et prendre des mesures pour ensuite juger si cette pond\u00e9ration des risques a correctement eu lieu.<\/p>\n

Exemple\u00a0:<\/em><\/a> le minist\u00e8re n\u00e9erlandais de la Sant\u00e9 a fait faire une \u00e9valuation des risques en ce qui concerne la mise en service de l\u2019application Covid-19. L\u2019analyse proprement dite a \u00e9t\u00e9 pr\u00e9par\u00e9e par le minist\u00e8re. Le DPD, qui n\u2019a pas particip\u00e9 \u00e0 la pr\u00e9paration de l\u2019analyse des risques, en a \u00e9valu\u00e9 le r\u00e9sultat. Il s\u2019agit d’un exemple o\u00f9 juge et partie sont bien distincts.<\/em><\/p>\n

Le conflit de comp\u00e9tences\u00a0: le DPD faisant cavalier seul<\/strong><\/h3>\n

Un DPD est comp\u00e9tent pour donner des conseils, mais pas pour prendre des d\u00e9cisions. Le DPD peut ainsi conseiller de signaler une fuite de donn\u00e9es \u00e0 l\u2019autorit\u00e9 de contr\u00f4le ou au client ou collaborateur, mais il ne peut pas prendre une d\u00e9cision et agir de son propre chef. Bien que le DPD soit probablement la premi\u00e8re personne \u00e0 identifier ou \u00e9valuer un incident, par exemple, il n’est pas celle qui y associe imm\u00e9diatement des d\u00e9cisions.<\/p>\n

Exemple\u00a0:<\/em><\/a> l\u2019Autorit\u00e9 de protection des donn\u00e9es fait mention d’un h\u00f4pital o\u00f9 le DPD a d\u2019abord fait valider par la direction de l\u2019h\u00f4pital les r\u00e9ponses aux questions qu\u2019un service d\u2019inspection lui avait pos\u00e9es, avant de les transmettre au service d’inspection de l\u2019autorit\u00e9 de contr\u00f4le. Le DPD agit correctement en faisant d\u2019abord valider les r\u00e9ponses par la direction.<\/em><\/p>\n

Plan par \u00e9tapes pour \u00e9viter les conflits d\u2019int\u00e9r\u00eats<\/strong><\/h3>\n

Quelles mesures une entreprise peut-elle prendre pour \u00e9viter les conflits d’int\u00e9r\u00eats\u00a0? Les \u00e9tapes ci-dessous contribuent \u00e0 \u00e9viter un conflit d\u2019int\u00e9r\u00eats\u00a0:<\/p>\n

\u00c9tape 1\u00a0: Dressez la liste des diff\u00e9rents r\u00f4les et t\u00e2ches du DPD<\/em><\/h5>\n

Lorsque le DPD combine plusieurs r\u00f4les, documentez la raison pour laquelle ces r\u00f4les n\u2019entrent pas en conflit. Si vous estimez qu\u2019un conflit pourrait appara\u00eetre dans des cas sp\u00e9cifiques, nommez cette situation et indiquez comment vous allez \u00e9viter les conflits au niveau des r\u00f4les.<\/p>\n

\u00c9tape 2\u00a0: Dressez la liste des t\u00e2ches conflictuelles<\/em><\/h5>\n

Le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es impose plusieurs obligations administratives \u00e0 une entreprise qui traite des donn\u00e9es \u00e0 caract\u00e8re personnel\u00a0: elle doit \u00e9tablir un registre des activit\u00e9s de traitement, effectuer des analyses d\u2019impact relatives \u00e0 la protection des donn\u00e9es, d\u00e9fendre correctement les droits de la personne concern\u00e9e, etc. Il est n\u00e9cessaire d\u2019identifier pour toutes ces t\u00e2ches qui ex\u00e9cute la t\u00e2che, et qui veille \u00e0 l\u2019ex\u00e9cution correcte de celle-ci. Il convient d\u2019analyser pour toutes les t\u00e2ches celles que le DPD peut ou ne peut pas accomplir, et quel est le r\u00f4le de la direction. Vous trouverez une liste des t\u00e2ches du DPD dans le cadre du respect de toutes les obligations administratives ici<\/a>.<\/p>\n

\u00c9tape 3\u00a0: le code de conduite \u00e9thique<\/em><\/h5>\n

Le DPD doit \u00e0 tout moment adopter une attitude neutre et faire preuve d’une grande int\u00e9grit\u00e9. D\u00e8s le moment o\u00f9 il constate que cette neutralit\u00e9 pourrait \u00eatre compromise, le DPD doit prendre lui-m\u00eame les mesures n\u00e9cessaires pour porter cette situation \u00e0 l’attention du service d’audit interne ou du directeur g\u00e9n\u00e9ral, par exemple, afin que les mesures n\u00e9cessaires puissent \u00eatre prises en temps utile. Des directives y aff\u00e9rentes peuvent \u00eatre reprises dans un code de conduite.<\/p>\n

Source\u00a0: https:\/\/news.bloomberglaw.com\/privacy-and-data-security\/insight-avoiding-conflicts-of-interest-in-selecting-a-data-protection-officer<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Les organisations qui r\u00e9fl\u00e9chissent \u00e0 la d\u00e9signation d’un DPD se posent toujours les m\u00eames questions\u00a0: \u00ab\u00a0Ai-je besoin d’un DPD\u00a0?\u00a0\u00bb, \u00ab\u00a0Quelles sont les t\u00e2ches et quel est le profil du DPD\u00a0\u00bb et \u00ab\u00a0Le r\u00f4le de DPD peut-il \u00eatre combin\u00e9 avec un autre r\u00f4le\u00a0?\u00a0\u00bb. C\u2019est cette derni\u00e8re question que nous examinerons dans cet article, \u00e0 savoir l\u2019ind\u00e9pendance […]<\/p>\n","protected":false},"author":4,"featured_media":6008,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[30],"tags":[],"class_list":["post-6040","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dpo"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/6040","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=6040"}],"version-history":[{"count":1,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/6040\/revisions"}],"predecessor-version":[{"id":6041,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/6040\/revisions\/6041"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media\/6008"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=6040"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=6040"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=6040"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}