Avez-vous déjà entendu parler du « data protection officer » ou « délégué à la protection des données » ?

Certaines grandes entreprises font déjà appel, à l’heure actuelle, à une ou plusieurs personne(s) qui se charge(nt) du respect des règles en matière de protection des données. A partir de l’entrée en vigueur du RGPD le 25 mai 2018, certains employeurs seront obligés de désigner ce qu’on appelle un “data protection officer” ou “délégué à la protection des données” (dénomination française officielle).

 

1 Pour quelles organisations vaut cette obligation ?

La désignation d’un délégué est obligatoire pour :

  • les autorités publiques, à l’exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;

  • les organismes du secteur privé qui :

    • soit, effectuent, comme tâche principale, des traitements qui exigent un suivi à grande échelle, régulier et systématique des personnes concernées ;

    • soit, sont en charge des traitements à grande échelle de données sensibles.

Dans le secteur privé, il n’y a donc aucune obligation lorsque les données à caractère personnel sont uniquement traitées dans le cadre d’une activité secondaire. Jusqu’où s’étend précisément le champ d’application n’est, néanmoins, pas encore totalement clair. L’avenir nous dira si, par exemple, les institutions financières, les secrétariats sociaux et les compagnies d’assurances en font aussi partie.

Le Groupe de travail Article 29 part en tout cas du principe dans ses directives (cfr. point 5) que les activités de support standard IT ou payroll ne forment, en principe, pas des activités principales, même si ces activités sont nécessaires ou essentielles pour l’organisation. En cas de doute, il est à conseiller de conserver par écrit la justification de la décision de désigner ou non un délégué.

En outre, le RGPD offre également aux états membres la possibilité d’étendre l’obligation de désigner un délégué. Il reste à voir si le législateur belge en fera usage.

 

2 Qui peut être désigné comme délégué ?

Le délégué doit être un expert dans le domaine de la législation et des pratiques en matière de protection des données. Il peut s’agir d’un travailleur comme d’un prestataire de services indépendant. Bien que le RGPD ne mentionne pas cela expressément, il n’est, selon nous, pas exclu qu’une personne morale soit désignée comme délégué.

Au sein d’un groupe d'entreprises, il est possible de désigner un seul délégué, à condition que celui-ci soit facilement joignable à partir de chaque lieu d'établissement.

 

3 Quelles sont les missions du délégué ?

Le délégué a pour mission :

  • d’informer et conseiller l’employeur et les travailleurs sur leurs obligations dans le cadre de la législation sur la protection des données ;

  • de contrôler le respect de la législation sur la protection des données et des règles internes de l’employeur en matière de protection des données à caractère personnel ;

  • de dispenser des conseils lorsque l’employeur doit réaliser ce que l’on appelle une “analyse d'impact relative à la protection des données” pour des traitements déterminés qui sont considérés comme plus sensibles et vérifier l’exécution de celle-ci ;

  • de coopérer avec la Commission Vie Privée et faire office de point de contact.

 

4 Quelle est la fonction du délégué au sein de l’organisation ?

Le délégué fait rapport au niveau le plus élevé de la direction. Il doit pouvoir exercer sa fonction de manière indépendante et ne peut, par conséquent, pas recevoir d’instructions en ce qui concerne l’exercice de ses missions. Il peut, certes, exécuter d’autres missions et tâches, mais il y a lieu de veiller à ce qu’il n’y ait pas de conflit d’intérêts.

Le délégué est également soumis au secret professionnel ou à la confidentialité. Il doit être associé, d’une manière appropriée et en temps utile, à toutes les questions en matière de protection des données à caractère personnel et doit disposer de tous les moyens nécessaires pour exercer ses missions. Il peut être contacté par toutes les personnes concernées au sujet du traitement de leurs données et de l’exercice de leurs droits dans le cadre du RGPD.

De plus, il est important de noter que le délégué ne peut pas être relevé de ses fonctions ou pénalisé par l’employeur pour des raisons liées à l’exercice de sa fonction.

 

5 Un instrument utile : les directives du Groupe de travail Article 29  

Le 13 décembre 2016, le Groupe de travail Article 29 sur la protection des données à caractère personnel a adopté des directives concernant le délégué. Pour ce faire, il a été tenu compte des expériences précédentes d’Etats membres (ex. l’Allemagne et la Hongrie, où la législation prévoit déjà actuellement la désignation obligatoire d’un délégué) et des règles de comportement qui étaient, jusqu’ici appliquées par eux.

Les directives du Groupe de travail Article 29 contiennent plusieurs éclaircissements et recommandations afin d’aider les organisations à respecter les nouvelles obligations concernant le délégué. Elles ne sont, il est vrai, pas contraignantes.

Les directives peuvent êtres consultées ici.