Le rôle du Délégué à la protection des données (DPD) comme priorité de l’APD pour 2023

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD), une nouvelle figure a émergé : le délégué à la protection des données (‘Data Production Officer’ où ‘DPO’). Bien que le RGPD énumère les tâches du DPO ainsi que des directives sur sa position au sein de l’entreprise, l’Autorité de protection des données (APD) constate que le rôle du DPO soulève parfois des questions et est même parfois mal interprété.

Cela peut s’expliquer par la complexité et l’ambiguïté du rôle du DPO : il est désigné par le responsable du traitement (ou le sous-traitant) tout en étant obligé de donner des conseils indépendants sans pression interne ou externe.

C’est pourquoi l’APD a fait de la fonction de DPO l’une de ses priorités pour l’année 2023.

Il est donc crucial pour les responsables du traitement et les sous-traitants de choisir soigneusement leur DPO.

Une attention particulière est accordée au statut du DPO au sein d’une organisation.

Il est en effet nécessaire qu’un DPO puisse exercer ses fonctions en toute indépendance. Ainsi, le DPO ne doit recevoir aucune instruction sur la manière dont il doit exécuter ses tâches, il doit rendre compte directement au plus haut niveau de la direction, aucun conflit d’intérêts ne doit exister concernant les tâches du DPO avec d’autres éventuelles tâches ou fonctions de la personne du DPO, etc.

Bien que le RGPD autorise le DPO à remplir d’autres fonctions, à condition que ces fonctions ne génèrent pas de conflit d’intérêts, la fonction de DPO ne peut en aucun cas être combinée avec la qualité de décideur en ce qui concerne le traitement de données personnelles.

La jurisprudence a déjà confirmé à plusieurs reprises qu’une fonction de gestion est exclue. Il n’est pas prévu qu’un DPO conseille sur un traitement spécifique s’il a préalablement déterminé lui-même le but et les moyens de celui-ci. Dans ce cas, le DPO doit s’abstenir d’accomplir cette tâche ou renoncer à la fonction de DPO.

Il est clair que le RGPD impose des exigences élevées au rôle du DPO au sein d’une entreprise. L’Inspection de l’APD examinera donc régulièrement la place du DPO dans les organisations et vérifiera s’ils disposent des moyens nécessaires pour accomplir leurs tâches, ainsi que s’ils sont suffisamment indépendants de la direction.

Le rôle du DPO comme priorité de la GBA en 2023

Les autorités de surveillance nationales et européennes considèrent le délégué à la protection des données (DPO) comme l’allié ultime pour la conformité au RGPD sur le marché, et leur objectif est de soutenir davantage ce rôle en tant qu’intermédiaire indépendant entre l’autorité de surveillance et l’unité commerciale. Elles cherchent également à examiner la mise en œuvre du rôle du DPO ! L’Autorité belge de protection des données (GBA) réalisera cet examen par le biais d’actions préventives et de contrôles supplémentaires.

En ce qui concerne la sensibilisation, l’APD veut souligner l’importance du rôle du DPO dans le traitement des demandes des personnes concernées et dans la notification des violations de données. De plus, l’APD tente de sensibiliser de plus en plus au rôle conseil essentiel du DPO lors de l’élaboration d’une analyse d’impact relative à la protection des données (DPIA).

L’APD soutiendra également davantage le rôle du DPO en matière de contrôle. Il apparaît encore trop souvent que le DPO n’est pas suffisamment soutenu, n’est pas ou est tardivement impliqué, et que ses conseils ne sont pas (suffisamment) suivis. Il est souvent constaté que le DPO ne répond pas aux exigences imposées par le RGPD, pour diverses raisons.

Besoin d’un DPO indépendant et fiable ?

Si la GBA constate effectivement lors des inspections que la fonction de DPO est mal appliquée, parfois simplement en raison d’un manque total d’indépendance suffisante, l’entreprise s’expose souvent à des amendes très élevées. Compte tenu de la priorité de la GBA, il est d’autant plus important cette année pour les entreprises de ne pas sous-estimer le rôle du DPO ou de traiter légèrement la nomination d’un DPO.

La nomination d’un DPO externe répond à ces préoccupations.

En outre, un accompagnement externe par un expert en protection de la vie privée, qu’il soit DPO ou non, peut également aider de nombreuses entreprises et leurs DPO à mettre en œuvre une politique de protection des données correcte.

Pour toutes vos questions concernant la nomination d’un DPO et l’exécution des tâches du DPO, vous pouvez nous contacter.

Chez DGDM, nous disposons de DPO certifiés qui remplissent le rôle de DPO externe pour divers clients et sont régulièrement consultés par d’autres DPO pour obtenir de l’aide.