Documentation DPO

Cette page a pour but de fournir une liste de jurisprudence concernant le délégué à la protection des données, ainsi que des sites utiles sur la législation, la jurisprudence et les pratiques en matière de protection des données.


Jurisprudence concernant le délégué à la protection des données

Le délégué à la protection des données (DPO) est parfois explicitement mentionné dans la jurisprudence. Dans le tableau ci-dessous vous trouverez un aperçu non-limitatif d’arrêts et de décisions concernant la désignation, la fonction et les missions du DPO.

Sujet Source Commentaire succint
L’indépendance fonctionnelle du DPO est essentielle (= application de l’article 38 RGPD). Cour de Justice, arrêt dans l’affaire C‑453/21 du 9 février 2023

L’indépendance fonctionnelle du DPO est essentielle et doit être garantie par son employeur ou client. Les paragraphes 3, 5 et 6 de l’article 38 RGPD y contribuent.

Il y a un conflit d’intérêt dans le chef du DPO au sens de l’article 38.6 RGPD lorsque le DPD se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.
Le DPO est protégé contre licenciement et sanctions pour l’exercice de ses missions (= application de l’article 38.3 RGPD). Cour de Justice, arrêt dans l’affaire C-534/20 du 22 juin 2022 Le DPO peut être licencié par son employeur ou client s’il ne possède plus les qualités professionnelles requises pour exercer ses missions ou s’il ne s’acquitte pas de ses missions conformément aux dispositions du Règlement général sur la protection des données.
Le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant (= application de l’article 38.3 RGPD).

Autorité de protection des données, Décision quant au fond n° 136/2023 du 28 septembre 2023 concernant le traitement de données à caractère personnel dans le cadre d'une enquête sur la fraude

Ce type de rapportage permet de s'assurer que la direction (par exemple le conseil d'administration) a connaissance des avis et des recommandations formulés par le DPO dans le cadre de sa mission d'information et de conseil auprès du responsable du traitement ou du sous-traitant.
Le DPO doit être associé de manière appropriée et en temps utile (= application de l’article 38.1 RGPD). Le DPO doit conseiller et contrôler (= application de l’article 39.1 RGPD).

Le DPO doit être associé à toutes les questions relatives à la protection des données à caractère personnel. Il n’est pas suffisant de n’impliquer le DPO qu’au moment où l’Autorité de protection des données prend contact.

Les règles concernant le DPO aident le DPO à effectuer ses missions.
L’organisation doit activement aider son DPO (= application de l’article 38.2 RGPD).

Les aspects suivants doivent être pris en considération :

  • Un soutien actif de la fonction du DPO par l’encadrement supérieur ;
  • Un temps suffisant pour que le DPO puisse accomplir ses tâches ;
  • Un soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personnel, le cas échéant;
  • Une communication officielle de la désignation du DPO à l’ensemble du personnel ;
  • Un accès nécessaire à d’autres services, tels que les ressources humaines, le service juridique, l’informatique, la sécurité, etc. ;
  • Une formation continue ;
  • Compte tenu de la taille et de la structure de l’organisme, il est possible qu’il faille mettre en place une équipe de DPO (un DPO et son personnel).
Un conflit d’intérêt dans le chef du DPO est interdit (= application de l’article 38.6 RGPD).

Le DPO d’une organisation ne peut pas en même temps être directeur de cette organisation.

 

Le cumul de fonctions de DPO et CISO (ce qui est une abréviation pour Chief Information Security Officer) n’entraine pas de conflit d’intérêt si le DPO ou CISO n’est pas responsable d’un département opérationnel.

Les exigences de qualité pour le DPO doivent être respectées (= application de l’article 37.5 RGPD).

Une connaissance approfondie des systèmes informatiques internes et une connaissance de tous les processus d'entreprise peuvent représenter une plus-value pour l'exercice de la fonction de DPO. Une connaissance de la législation en matière de protection des données est toutefois requise, surtout en vue de l'exercice des missions du DPO.

Le responsable du traitement et le sous-traitant doit justifier son choix pour son DPO. En effet le responsable du traitement et le sous-traitant a l'obligation de satisfaire à l'article 37.5 du RGPD qui prévoit que le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données

Sites Internet utiles pour le délégué à la protection des données

En tant que délégué à la protection des données (DPO) il est important de rester informé de la législation, de la jurisprudence et des pratiques en matière de protection des données. Dans le tableau ci-dessous vous trouverez un aperçu non-limitatif de sites internet gratuits contenant des informations sur la protection des données.

Site Commentaire succint
Commission européenne Ce site internet offre des informations sur la législation européenne en matière de protection des données.
Cour de Justice de l'Union européenne Ce site internet permet l’accès aux arrêts de la Cour de Justice en matière de protection des données.
Comité européen de la protection des données (European Data protection Board, en abrégé « EDPB »)

L’EDPB veille à ce que le règlement général sur la protection des données et la directive Police-Justice soient appliqués de manière cohérente et veille à la coopération européenne, notamment en matière répressive.

Les lignes directrices,  recommandations et bonnes pratiques de l’EDPB contiennent des analyses et commentaires très utiles. Par exemple les Guidelines on Data Protection Officers ('DPO'), WP243 rev.01 contiennent des recommandations et commentaires concrets concernant le DPO.

Contrôleur européen de la protection des données (European Data Protection Supervisor, en abrégé « EDPS »)

L’une des tâches principales de l’ EDPS consiste à superviser les institutions de l’UE afin de les aider à être exemplaires concernant le traitement de données à caractère personnel.

En pratique, il s’agit notamment de publier des lignes directrices, d’enquêter sur les réclamations, de répondre aux consultations des institutions de l’UE et de mener des audits sur la protection des données.

Sources académiques Commentaire succint
CiTip blog Ce blog contient de textes académiques concernant la protection des données.
CRIDS Privacy & Data Protection Cette page internet contient de textes académiques concernant la protection des données.