Qu'est-ce qu'un Délégué à la protection des données (DPD) ?

En savoir plus sur le nouveau rôle requis pour la conformité au RGPD

Découvrez le rôle du DPD dans la gestion de la protection des données organisationnelles et la supervision de la conformité au RGPD dans Data Protection 101, notre série de supports sur les fondamentaux de la sécurité de l'information.

UNE DÉFINITION DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Un Délégué à la protection des données (DPD) est un rôle dédié à la sécurité de l'entreprise qui est requis par le Règlement général sur la protection des données (RGPD). Les délégués à la protection des données sont chargés de superviser la stratégie ainsi que la mise en œuvre de la protection des données pour assurer la conformité aux exigences du RGPD.

QUELS TYPES D'ENTREPRISES ONT BESOIN DE DÉLÉGUÉS À LA PROTECTION DES DONNÉES ?

Présenté par le Parlement européen, le Conseil européen et la Commission européenne pour renforcer et rationaliser la protection des données pour les citoyens de l'Union européenne, le RGPD demande la nomination obligatoire d'un DPD dans toute organisation qui traite ou stocke de grandes quantités de données personnelles, pour les employés, les personnes extérieures à l'organisation ou les deux. Les DPD doivent être « désignés pour toutes les autorités publiques, et lorsque les principales activités du contrôleur ou du processeur impliquent un « suivi régulier et systématique des sujets de données à grande échelle » ou lorsque l'entité procède à un traitement à grande échelle de « catégories de données spéciales », » comme celles détaillant la race, l'ethnie ou les croyances religieuses des personnes.

RESPONSABILITÉS ET EXIGENCES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Lorsque le RGPD entrera en vigueur le 25 mai 2018, le délégué à la protection des données deviendra un rôle obligatoire au titre de l'article 37, cela s'applique à toutes les entreprises qui collectent ou traitent les données à caractère personnel auprès des citoyens de l'UE. Les DPD sont chargées d'éduquer l'entreprise et ses employés sur les exigences de conformité importantes, de former le personnel impliqué dans le traitement des données et de réaliser des audits de sécurité réguliers. Les DPD servent également de point de contact entre l'entreprise et les autorités de surveillance (AS) qui supervisent les activités liées aux données.

Comme indiqué dans l'article 39 du RGPD, les responsabilités du DPD comprennent, mais sans s'y limiter, aux suivantes :

  • Éduquer l'entreprise et les employés sur les exigences de conformité importantes
  • Former le personnel impliqué dans le traitement des données
  • Mener des audits pour assurer la conformité, et traiter les problèmes potentiels de manière proactive
  • Servir de point de contact entre l'entreprise et les autorités de surveillance du RGPD
  • Surveiller les performances et fournir des conseils sur l'impact des efforts engagés dans la protection des données
  • Tenir des registres complets portant sur toutes les activités de traitement des données menées par l'entreprise, en incluant l'objectif de toutes les activités de traitement, qui doivent être rendus publiques sur demande
  • Interagir avec les personnes concernées pour les informer sur la façon dont leurs données sont utilisées, leurs droits à l'effacement de leurs données personnelles, ainsi que les mesures mises en place par l'entreprise pour protéger leurs informations personnelles

QUALIFICATIONS REQUISES POUR LES DÉLÉGUÉS À LA PROTECTION DES DONNÉES

Le RGPD n'inclut pas une liste spécifique de qualifications requises pour les DPD, mais l'article 37 exige qu'un délégué à la protection des données possède des « connaissances approfondies dans la loi et les pratiques de protection des données ». Le règlement précise également que l'expertise du DPD doit être alignée avec les opérations de traitement des données ainsi que le niveau de protection des données requis pour les données personnelles traitées par les contrôleurs de données et les processeurs de données.

Un DPD peut être un membre du personnel d'un contrôleur ou d'un processeur, et les organisations correspondantes peuvent utiliser la même personne pour superviser la protection des données de manière collective, du moment que toutes les activités de protection des données sont gérées par la même personne et que le DPD reste facilement accessible par les membres des organisations correspondantes à chaque fois que cela est nécessaire. Les informations du DPD doivent être publiées publiquement et fournies à tous les organismes de surveillance réglementaires.

LES MEILLEURES PRATIQUES POUR EMBAUCHER UN DPD

Vu que les entreprises qui traitent les données des citoyens de l'UE sont soumises au RGPD même si celles-ci ne sont pas situées au sein de l'UE, une étude prédit que 28 000 DPD seront nécessaires pour que les organisations réglementées soient conformes au RGPD lorsque la loi entrera en vigueur en mai 2018.

Les entreprises et les organisations doivent avoir installé leurs DPD avant l'entrée en vigueur du règlement. Il est donc important de commencer dès maintenant à recruter et à embaucher les DPD afin de recruter les professionnels les plus qualifiés pour ce poste, car ils sont très demandés et que la date butoir se profile. Pour embaucher le DPD adéquat, vous devez vous assurer qu'il possède une expertise en matière de droit et de pratiques en termes de protection des données, ainsi qu'une compréhension complète de votre infrastructure informatique, de votre technologie et de votre structure technique et organisationnelle. Vous pouvez tout à fait désigner un employé existant comme DPD ou faire appel à un DPD externe. Les entreprises et les organisations doivent rechercher des candidats capables de gérer la protection des données et la conformité en interne, tout en signalant les non-conformités aux autorités de surveillance compétentes.

Idéalement, un DPD devrait avoir d'excellentes compétences en gestion et être en mesure d'interagir facilement avec le personnel interne à tous les niveaux, ainsi qu'avec les autorités extérieures. Le DPD adéquat doit être en mesure d'assurer la conformité interne et d'alerter les autorités des non-conformités, tout en comprenant que la société peut être soumise à de lourdes amendes en cas de non-conformité.