Quelles sont les missions du délégué à la protection des données ?
Le délégué à la protection des données (DPO) veille entre autres à la conformité en matière de protection des données au sein de son organisation. En outre le DPO est un conseiller en matière de protection des données pour son organisation. Enfin le DPO est un point de contact pour l’Autorité de protection des données et pour les personnes concernées.
Le DPO doit sur base de l’article 38, paragraphe 1 du RGPD être associé de manière appropriée et en temps utile par son organisation à toutes les questions relatives à la protection des données à caractère personnel. Il n’est pas suffisant d’impliquer le DPO uniquement au moment où l’Autorité de protection des données prend contact. Un DPO qui n’est pas ou est tardivement impliqué par son organisation dans les questions relatives à la protection des données ne peut pas effectuer ses missions correctement. Le DPO doit par exemple être activement inclus :
- dans un projet pour décider de créer ou adapter un traitement existant ;
- dans une analyse pour évaluer la nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD) et la réalisation de celle-ci ;
- dans la rédaction d’un registre des activités de traitement ;
- dans la rédaction d’un politique interne en matière de protection des données ;
- dans l’analyse d’une violation de données à caractère personnel et le suivi de celle-ci ;
- dans des actions de communication et de sensibilisation sur des sujets liés à la protection des données à caractère personnel ;
- dans des conversations et réunions qui visent à informer des personnes concernées et/ou le personnel sur l’application du RGPD par l’organisation.
Ceci a été précisé par la Chambre Contentieuse de l’APD dans la décision quant au fond n°162/2022 du 16 novembre 2022 concernant le partage de données relatives aux hébergements via la plateforme Airbnb et dans la décision quant au fond n° 45/2022 du 30 mars 2022 concernant les délais d'expiration de la base de données SIDIS SUITE.
L’Autorité de protection des données met à disposition sur son site Internet des documents que le DPO peut utiliser dans l’exercice de ses fonctions , par exemple :
- un modèle pour le registre des activités de traitement,
- un tableau avec un aperçu de jurisprudence concernant le délégué à la protection des données
- une check list pour l’avis du DPO
- un guide pour l’analyse d’impact sur la protection des données
Contrôle du respect du RGPD
L’article 39, paragraphe 1, point b) du RGPD, confie au délégué à la protection des données, entre autres missions, la tâche de contrôler le respect du RGPD. Le DPO aidera le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du RGPD. Dans le cadre de cette tâche de contrôle du respect du RGPD, les délégués peuvent notamment:
- recueillir des informations permettant de recenser les activités de traitement ;
- analyser et vérifier la conformité des activités de traitement de l'organisation ;
- informer et conseiller le responsable du traitement ou le sous-traitant et formuler des recommandations à son intention.
Un rôle pour le délégué à la protection des données dans les analyses d’impact relatives à la protection des données
Conformément à l’article 35, paragraphe 1 du RGPD, il incombe au responsable du traitement, et non au délégué, d’effectuer, si nécessaire, une analyse d’impact relative à la protection des données. Toutefois, le DP0 peut jouer un rôle d’assistance du responsable du traitement important et très utile. L’article 39, paragraphe 1, c) du RGPD, donne ainsi mission au DPO de dispenser des conseils en ce qui concerne l’analyse d’impact relative à la protection des données et de vérifier l’exécution de celle-ci en vertu de l'article 35 du RGPD.
Coopérer avec l’APD et faire office de point de contact pour l’exercice des droits des personnes concernées
Conformément à l’article 39, paragraphe 1, points d) et e) du RGPD, le délégué à la protection des données doit coopérer avec l’autorité de contrôle» et faire office de point de contact pour celle-ci sur les questions relatives au traitement, Ces missions ont trait au rôle de «facilitateur» du délégué. Le délégué fait office de point de contact pour faciliter l’accès de l’autorité de contrôle aux documents et informations nécessaires à l’exécution de ses missions et pouvoirs tels que ses pouvoirs d’enquête ou ses pouvoirs d’adopter des mesures correctrices notamment,
Le DPO est également le point de contact pour les personnes qui souhaitent exercer leurs droits auprès du responsable de traitement. Une adresse de contact dédiée à la fonction est souvent créée à cet effet qui n’est accessible qu’au DPO et son équipe.
Un rôle pour le délégué à la protection des données dans la tenue du registre des activités de traitement
En vertu de l’article 30, paragraphes 1 et 2 du RGPD, c’est le responsable du traitement ou le sous-traitant, et non le délégué à la protection des données, qui doit tenir le registre des activités de traitement. Dans la pratique, les DPOs dressent souvent des inventaires et tiennent un registre des opérations de traitement sur la base des informations qui leur ont été fournies par les différents services dans leur organisation, responsable du traitement de données à caractère personnel. Dès lors que l’article 39, paragraphe 1 du RGPD établit une liste des missions que le délégué doit au moins se voir confier, rien ne s’oppose à ce que le responsable du traitement ou le sous-traitant confie au délégué la mission de tenir le registre des activités de traitement. Ce registre doit être considéré comme l’un des outils permettant au DPO d’exercer ses missions, notamment le contrôle du respect du RGPD ainsi que fournir des informations et des conseils au responsable du traitement ou au sous-traitant.