vie privée: le rôle du Data Protection Officer

Personne ne peut aujourd'hui l’affirmer avec certitude pour le secteur privé. Malgré les directives  le RGPD n’est pas clair. De plus, chaque État-membre a le droit d’élargir l’obligation. La question est de savoir si le législateur belge le fera ou non. Quoi qu'il en soit, en cas de doute, nous vous conseillons de conserver précieusement la motivation écrite de votre décision. La taille de l’entreprise n’a pas d’importance. Mais elle est un bon indicateur.

 

quels sont les critères prescrits par le règlement européen ?

Les tâches principales ou les activités de base de votre entreprise ou organisation concernent le suivi systématique de personnes ? Ou le traitement à grande échelle de catégories particulières de données sensibles (telles que des informations sur la race, les opinions politiques, la religion, les données biométriques, la santé, l’orientation sexuelle ou les condamnations pénales) ? Ou êtes-vous un service public (à l’exception des juridictions exerçant leurs fonctions juridictionnelles) ?  Alors vous avez l’obligation de désigner un Data Protection Officer (DPO) ou « Fonctionnaire pour la protection des données ». Un hôpital ou un service public ont, par exemple, l’obligation de désigner un DPO. Par contre, un secrétariat social ne doit pas le faire. Pour toutes les autres organisations et entreprises, la frontière entre le « oui » et le « non » est floue.

Bon à savoir : dans une proposition précédente du règlement RGPD, un DPO était uniquement obligatoire dans les entreprises de plus de 250 travailleurs. Cette condition n’a pas atteint la version finale. La taille de l’entreprise n’a donc aujourd’hui pas d'importance, mais elle est un bon indicateur.

Les trois tâches du DPO : informer, contrôler et agir en tant que personne de contact.


que fait le Data Protection Officer ?

Un DPO a trois tâches principales.

  1. Tout d’abord, il informe et conseille l’entreprise et les collaborateurs sur les règles européennes et belges en matière de respect de la vie privée. En d’autres termes, il explique comment rendre l’entreprise en conformité (compliant) et quels sont les droits et les obligations de chacun en matière de protection des données à caractère personnel.

  2. Par ailleurs, le DPO exerce une fonction de contrôle. Il vérifie que la législation soit respectée, que les données soient correctement conservées, que les collaborateurs soient suffisamment formés, que les audits nécessaires soient organisés...

  3. Troisièmement, le DPO intervient en tant que personne de contact pour les autorités externes. Si, par exemple, votre entreprise est confrontée à une fuite de données<link leggen naar artikel 5>, il doit dans ce cas prévenir la Commission vie privée et fournir toutes les informations exigées.

 

qui peut être Data Protection Officer ?

Le règlement ne mentionne aucune spécification pour être DPO. On ne parle ni de diplôme ni de certificat. Il ou elle doit disposer de « connaissances spécialisées du droit et des pratiques en matière de protection des données ».

Tout collaborateur peut donc devenir DPO. À condition que ses tâches ne soient pas en contradiction avec celles du DPO et ne conduisent pas à des conflits d'intérêts. Vous pouvez également externaliser la tâche du DPO.

 

Lisez également les 2 autres articles dans notre série sur la nouvelle loi européenne stricte relative à la protection des données à caractère personnel.

  1. l’objectif et l’application des règles plus sévères en matière de protection de la vie privée

  2. la responsabilité et l’obligation de rendre des comptes des entreprises