Actualités

Délégué à la protection des données : qui désigner ?

Parmi les nouveautés instaurées par le règlement général européen sur la protection des données (RGPD), la fonction de délégué à la protection des données intrigue à juste titre les entreprises.

Dans quels cas doit-il être désigné ?

Pour rappel, ce délégué ne sera obligatoire que dans 3 cas, à savoir (1) pour les autorités publiques ou organismes publics, (2) en cas de suivi régulier et systématique à grande échelle des personnes concernées, (3) en cas de traitement à grande échelle de données particulières (anciennes données « sensibles ») ou de données relatives à des infractions ou condamnations. Dans les autres hypothèses, il sera toujours possible de désigner un délégué à la protection des données sur une base volontaire. Fort heureusement, le Groupe de travail de l’article 29 a émis des lignes directrices pour aider les opérateurs à appréhender ces trois critères, car un manquement à cette obligation de désignation est passible d’une amende administrative pouvant s’élever jusqu’à 10 000 000 EUR, voire jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent si ce montant est plus élevé.

Un délégué à la protection des données, oui mais comment le choisir ?

Une fois prise la décision de désigner un délégué à la protection, reste encore l’épineuse question de savoir qui désigner à ce poste.  Aucune formation spécifique n’est requise. Le délégué devra uniquement disposer d’une expertise en droit national et européen de la protection des données et d’une compréhension approfondie du RGPD. Il ne sera pas non plus nécessaire que le candidat délégué soit approuvé par la Commission de Protection de la Vie Privée, à l’inverse du poste, assez marginal en Belgique, de conseiller en sécurité de l’information.

Le délégué peut faire partie du personnel de l’entreprise ou de l’autorité publique et être chargé d’autres tâches, mais il faut alors s’assurer qu’il ne soit pas en position de conflit d’intérêts. Les éclaircissements du groupe 29 s’avèrent également utiles sur ce point, dès lors qu’ils relèvent que les missions de délégué à la protection des données sont incompatibles avec les fonctions de directeur financier, directeur du marketing, directeur des ressources humaines ou directeur du département IT. En effet, un tel délégué serait tiraillé entre les intérêts défendus par ces fonctions et ceux de la protection des données à caractère personnel, ou pourrait à tout le moins manquer du recul nécessaire. Un conflit d’intérêt entre la fonction de délégué et de manager IT a déjà été sanctionné en octobre 2016 par l’autorité bavaroise de protection des données. Par principe, il faut éviter l’autocontrôle, et donc l’hypothèse où la personne qui décide des modalités du traitement de données doit aussi s’interroger sur la compatibilité de ces modalités avec le RGPD. Dès le 25 mai 2018, une telle situation pourrait être sanctionnée d’une amende de 10 000 000 EUR ou correspondant à 2 % du chiffre d’affaire mondial, même si à l’origine la désignation d’un délégué à la protection des données n’était pas obligatoire pour l’entreprise en cause !

Par contre, les membres des départements juridique ou compliance semblent moins propices à ce type de conflit d’intérêts.

Enfin, la désignation d’un délégué externe permettra par essence d’éviter de telles difficultés puisqu’il n’exercera pas d’autres fonctions au sein de l’entreprise.

Que faire ?

A un peu plus de 400 jours de l’entrée en vigueur de ce règlement, il convient d’examiner sans attendre les candidats potentiels à la fonction de délégué à la protection des données ou d’entreprendre un processus de recrutement soigneux, car ce délégué bénéficiera d’une certaine protection contre le licenciement.

De même, les entreprises ou autorités publiques qui avaient déjà spontanément désigné un délégué à la protection des données doivent s’interroger : la personne qui occupe déjà ce poste ne se trouve-t-elle pas dans une situation de conflit d’intérêt qui pourrait être sanctionnée par une amende dès 2018 ?

Notre conseil :

N’attendez pas le dernier moment pour recruter un délégué à la protection des données interne ou externe ou pour former un membre de votre personnel à cette fonction.

Mots clés : ,,,,

de Fanny Coton

Une question ?

Contactez-nous
ba8686e4027e57385cd232f5d29fe9f2WWWWWWWWWWWWWWWWWWWWWWWW