Le 25 mai 2018, le nouveau Règlement général sur la protection des données (RGPD) est officiellement devenu le Règlement de l’UE 2016/679, annonçant une nouvelle ère de protection des données dans l’Union européenne, avec des ramifications variées pour les entreprises du monde entier.
Bien que les employeurs et les organisations n’auront pas à se conformer aux nouvelles exigences avant le 25 mai 2018 – date à laquelle la loi complète entrera en vigueur – il ne reste que deux ans pour préparer, budgétiser et agir sur les nouvelles procédures qui doivent être mises en place.
L’un des principaux changements que de nombreuses entreprises devront apporter est la nomination d’un délégué à la protection des données (DPD) et il faudra peut-être un certain temps pour s’adapter aux nouveaux rôles et responsabilités de ce poste.
Qu’est-ce qu’un délégué à la protection des données ?
Un agent de protection des données est généralement la personne chargée de s’assurer qu’une entreprise et ses activités sont conformes aux lois et règlements relatifs à la protection des données. Dans le cas de la RGPD, l’article 39 détaille les tâches spécifiques du DPD, après avoir décrit ses importantes responsabilités légales. Il explique également comment les DPD bénéficieront d’un statut de protection spécial en vertu de la loi.
En bref, le délégué à la protection des données est un poste extrêmement important en vertu des nouveaux règlements de l’UE et les entreprises devraient donc y prêter une attention particulière :
Un DPD est la clé pour comprendre les nouvelles réglementations et aider à garantir qu’une organisation n’enfreint pas la loi. Ils fourniront des orientations et des conseils pratiques, expliqueront les processus nécessaires et mettront en place des garde-fous pour éviter que les entreprises ne tombent dans le champ d’application du RGPD.
Il est donc essentiel que les entreprises reconnaissent dès maintenant les exigences d’un délégué à la protection des données et comprennent le rôle précieux qu’elles devront jouer. Si elles ne le font pas, elles pourraient être soumises à de lourdes amendes pour violation des dispositions relatives au DPD, pouvant aller jusqu’à :
- €10,000,000
- Ou 2 % du total des revenus mondiaux (le plus élevé des deux)
Détermination des besoins d’un délégué à la protection des données
La première étape pour déterminer si votre organisation a besoin d’un DPD est d’évaluer si le RGPD s’applique à vous. Si vous exercez vos activités dans un État membre de l’UE ou si vous faites des affaires avec des citoyens de l’UE, vous serez soumis à la nouvelle réglementation. Malgré Brexit, la Grande-Bretagne reste un État membre de l’UE jusqu’à nouvel ordre.
Deuxièmement, vous devrez vérifier si le RGPD exige spécifiquement que vous nommiez un responsable de la protection des données. L’article 37 détaille trois cas spécifiques où une organisation doit recruter, embaucher et donner des responsabilités à un DPD si :
- Il s’agit d’une autorité publique ou d’un organisme traitant des données (par exemple, un hôpital)
- La partie essentielle de l’activité est le contrôle et le traitement des données, et ils le font à grande échelle, avec un « suivi régulier et systématique des personnes concernées ».
- Ils traitent de grandes quantités de catégories spéciales de données personnelles, telles que définies par le PIBR.
Bien que la loi officielle ne définisse pas ce que signifie « à grande échelle », d’autres autorités ont considéré qu’il s’agissait du traitement de données provenant de plus de 5 000 personnes, sur une période de 12 mois.
Désignation d’un DPD
Si votre organisation appartient à l’une des catégories ci-dessus, vous devrez nommer un DPD.
Il se peut que vous en ayez déjà un, car de nombreuses entreprises au Royaume-Uni sont tenues d’avoir un délégué à la protection des données désigné depuis quelques années, en vertu de la loi de 1998 sur la protection des données. De même, d’autres États membres de l’UE – dont l’Allemagne, la Pologne, la Hongrie, la Russie, la Belgique et la Slovaquie – exigent déjà que les entreprises aient un DPD officiel. La nouvelle législation apporte simplement une uniformité en Europe.
L’article 37 du RPDD précise qui vous pouvez et devez désigner pour devenir votre responsable de la protection des données :
Il peut s’agir d’un membre actuel du personnel, mais il doit être autorisé à travailler de manière indépendante et ne doit pas avoir d’autres tâches qui entrent en conflit avec son rôle de DPD
Ou bien, ils peuvent être recrutés en externe et nommés sur un contrat de service
Une seule OPH peut être nommée pour un groupe d’entreprises ou des organisations sœurs (mais elles auront probablement besoin d’une équipe pour les soutenir)
Ils doivent être nommés sur la base de leurs qualités professionnelles, en particulier de leur « connaissance approfondie de la législation et des pratiques en matière de protection des données ».
Le niveau de connaissance requis pour votre responsable de la protection des données dépendra de votre structure organisationnelle individuelle (y compris la taille, le nombre de contrôleurs et de processeurs, et la nature technique), du type de données que vous traitez et de leur sensibilité, et du type de sécurité que vous devrez mettre en place.
Tâches principales du délégué à la protection des données
Le DPD sera essentiellement responsable de tout ce qui concerne la protection des données. Son rôle va de la fourniture d’informations et de conseils au contrôle de la conformité et à la fonction de premier point de contact pour les autorités.
L’article 39 du règlement général sur la protection des données détaille les tâches minimales qu’un DPD doit accomplir. Il est important de noter qu’il ne s’agit là que des exigences et responsabilités minimales et que les tâches du DPD peuvent varier considérablement en fonction des besoins et de la taille de votre organisation.
Comme stipulé, les tâches de l’OPH seront les suivantes
- Informer et conseiller le responsable du traitement ou le sous-traitant et les employés sur les dispositions relatives à la protection des données
- contrôler le respect du règlement général sur la protection des données, y compris l’attribution des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits correspondants
- Fournir des conseils, sur demande, sur les évaluations de l’impact sur la protection des données
- Coopérer avec l’autorité de surveillance
- Servir de premier point de contact pour l’autorité de contrôle et les personnes dont les données ont été traitées ».
La tâche principale du responsable de la protection des données est de travailler avec tous les membres d’une organisation afin de s’assurer que l’entreprise est entièrement conforme à toute la législation de RGPD.
Dans la pratique, cela signifie :
Directives, politiques et procédures
Le DPD sera chargé de fournir des lignes directrices sur le RGPD et les meilleures pratiques pour le respect de la réglementation dans toute l’organisation, des employés de première ligne jusqu’au Conseil des gouverneurs. Il devra vérifier les politiques et procédures existantes, et probablement en adapter ou en concevoir de nouvelles qui respectent les nouveaux règlements sur la protection des données. Il leur incombera de mettre en place une procédure permettant de traiter correctement les demandes d’accès aux sujets présentées par les particuliers.
Formation du personnel (nouveau et existant)
La formation est un élément clé du rôle de l’OPH. Ils devront sensibiliser chaque membre du personnel, par le biais d’ateliers de groupe, de sessions individuelles et de formations internes formelles. En plus des employés existants, les DPD doivent mettre en place des procédures pour former efficacement toute nouvelle recrue aux exigences en matière de protection des données. Ils seront également chargés de sensibiliser les employés à toutes les nouveautés et mises à jour.
Liaisons avec les ministères
Le DPD doit jouer un rôle consultatif à tout moment, en assurant la liaison avec chaque service de l’organisation pour veiller à ce que la conformité soit respectée à chaque étape du traitement. Il doit notamment collaborer avec le service des ventes et du marketing pour la saisie des données et avec le service informatique pour la sécurité et le traitement des données.
Audits et examens réguliers
Afin de s’acquitter de la tâche de surveillance de la conformité, le DPD devra effectuer des vérifications et des examens réguliers de tous les processus de l’entreprise et superviser la mise en œuvre des changements nécessaires. Il vérifiera régulièrement les activités des responsables du traitement des données et des sous-traitants et devra offrir ses conseils d’expert sur les évaluations des facteurs relatifs à la vie privée (EFVP). D’une manière générale, s’il existe quoi que ce soit en rapport avec la protection des données dans une organisation, l’avis du DPD devrait toujours être sollicité.
Obligations des employeurs à l’égard du DPD
Si le délégué à la protection des données a de nombreuses responsabilités, les employeurs ont également certaines obligations légales envers le DPD.
Selon le RGPD, un employeur doit soutenir son DPD à tout moment, avec la responsabilité de « fournir les ressources nécessaires à l’exécution de ces tâches et de maintenir ses connaissances spécialisées ». Cela pourrait signifier la mise à disposition d’installations, de personnel et d’un budget de formation. Les employeurs doivent tous mettre en place une chaîne de communication adéquate pour permettre à un DPD de rendre compte directement au plus haut niveau de l’organisation – c’est-à-dire au conseil d’administration. Enfin, les employeurs doivent s’assurer que les DPD ont la liberté et l’indépendance nécessaires pour faire leur travail. Ils ne doivent pas être entravés dans leurs tâches et ne peuvent être ni licenciés ni pénalisés pour avoir exercé leurs fonctions.
Préparation de la nouvelle réglementation
Il est clair que le RGPD apporte avec lui une montagne de tâches et d’exigences pour toute entreprise. Un délégué à la protection des données peut vous décharger de certaines de ces responsabilités – et assurer la protection et les garanties de votre entreprise – mais en recruter un et lui donner les ressources nécessaires pour faire son travail efficacement est en soi une tâche gigantesque.
Le moment est venu de définir le budget et les responsabilités. Si vous n’avez jamais eu besoin d’un délégué à la protection des données auparavant, cela pourrait constituer une lourde charge. Que vous ayez besoin d’un DPD dans le cadre du RGPD ou non, vous devrez tout de même vous assurer que les employés ont les compétences et les connaissances nécessaires pour se conformer aux règlements et rester du bon côté de la loi. La formation et la sensibilisation font partie intégrante de ce processus, pour toutes les personnes concernées.