1. Accueil
  2. Actualités
  3. Le RGPD impose une tâche difficile aux Data Protection Officers

Le RGPD impose une tâche difficile aux Data Protection Officers

Le Règlement général sur la protection des données (RGPD) impose à de nombreuses entreprises de désigner un Data Protection Officer (DPO). Et la tâche qui l’attend s’annonce difficile, souligne l’avocate Heidi Waem. 

gdpr-1170x617

Si un DPO peut être utile pour toutes les entreprises, seules certaines d’entre elles sont tenues d’en désigner un. “Et cela promet d’ores et déjà des litiges dans la mesure où la législation ne distingue pas très clairement les unes des autres. Ainsi, les administrations et organismes publics doivent désigner un DPO. Mais qu’entend-on précisément par « public » ? Les divers États membres ont la liberté d’en décider. Une deuxième catégorie vise les entreprises chargées principalement de traiter régulièrement des données à caractère personnel et de les contrôler à grande échelle. Que veulent dire précisément ‘principalement’, ‘surveiller’, ‘grande échelle’ ? Des entreprises comme Facebook et Google ? Enfin, la législation impose également la désignation d’un DPO aux entreprises qui traitent à grande échelle des catégories particulières de données. Il s’agit d’informations sensibles telles que les données sur la santé, la religion, la race, les antécédents judiciaires, etc.”

 

Les exécutants sont visés également

L’obligation de désignation d’un DPO n’incombe pas seulement aux responsables du traitement – ceux qui déterminent l’objectif et les moyens du traitement. “Les opérateurs du traitement proprement dits, c’est-à-dire les entreprises qui le font au nom des responsables du traitement, sont visés également. C’est nouveau. La législation actuelle n’impose en effet que des obligations limitées à ces exécutants.”

 

Les tâches d’un DPO

Heidi Waem esquisse d’ores et déjà les principaux défis à relever et tâches à accomplir par les DPO.

 

  1. Dans son rôle de conseiller, le DPO doit informer l’entreprise sur le nouveau règlement. Mais ce n’est pas le seul instrument dont il faut tenir compte. Ainsi, par exemple, la législation nationale reste en vigueur. Il doit donc avoir une vue d’ensemble de toutes les législations pertinentes.
  2. Le DPO doit veiller au respect de la législation et de la politique de l’organisation en la matière, mais aussi attribuer des responsabilités, sensibiliser toute l’entreprise et former le personnel.
  3. En donnant des conseils sur le Data Protection Impact Assessment (DPIA), le DPO devra assurer un bon équilibre entre le traitement et les risques d’une part et les droits et libertés des personnes concernées d’autre part.
  4. Le DPO devra collaborer avec l’autorité de contrôle et intervenir comme personne de contact en cas de problèmes. Il devra par exemple rendre publiques des informations mais devra-t-il le faire sous son nom ou en ne mentionnant que sa fonction ?
  5. Pour bien exercer son rôle, le DPO devra être informé précisément et en temps opportun sur les nouveaux traitements, processus, systèmes, applications, etc. Mais il n’est pas toujours évident d’avoir un œil sur tout ce qui se passe dans une entreprise. Quels sont tous les traitements effectués en son sein ? Quelles données, et combien, sont conservées ? Comment sont-elles arrivées là ? Où se trouvent-elles ? Cela signifie en pratique que le DPO devra être associé à tout dès le début. Fini le temps où l’on pouvait encore se préoccuper des aspects du respect de la vie privée deux jours à peine avant un lancement quelconque.
  6. La législation stipule que le DPO doit disposer de moyens suffisants, ce qui n’est pas évident non plus pour certaines entreprises. On peut déjà s’attendre à ce que le DPO soit en conflit avec la direction sur ce que signifie « suffisant » précisément.
  7. Mais le plus grand défi qui se pose actuellement est d’être fin prêts pour l’entrée en vigueur du RGPD le 25 mai 2018 ! Les entreprises n’y réussiront que si tous les niveaux y contribuent et que si le conseil d’administration et le management sont bien conscients des enjeux de cette nouvelle législation sur la protection de la vie privée.

Heidi Waem est Senior Associate au cabinet d’avocats NautaDutilh au Benelux. Inscrite au Barreau de Bruxelles depuis 2009, cette avocate est spécialisée dans la protection des données/le respect de la vie privée, la propriété intellectuelle, les pratiques de marché et le commerce électronique.

 

 

  530