La proposition de règlement général sur la protection des données instaure le délégué à la protection des données qui
remplace le correspondant Informatique et libertés. Le délégué à la protection des données est une personne désignée par une entité ou un groupe d’entreprise pour une durée minimale de deux ans et qui doit avoir des connaissances spécialisées de la législation et de la pratique en matière de protection des données.
Le délégué à la protection des données peut être un salarié de l’entité concernée ou peut accomplir ses tâches sur la base d’un contrat de services.
Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données dès lors que l’une de ces conditions est remplie :
- le traitement est effectué par une autorité ou un organisme public ;
- le traitement est effectué par une entreprise employant plus de 250 personnes ;
- les activités de base du responsable du traitement ou du sous-traitant en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.
Lorsque le responsable du traitement ou le sous-traitant ne remplit pas les conditions détaillées ci-dessus, la désignation du délégué à la protection des données est facultative. Le responsable du traitement et le sous-traitant doivent (1) :
- communiquer le nom du délégué à la protection des données à l’autorité de contrôle ainsi qu’au public ;
- veiller à ce que le délégué à la protection des données soit associé à toute question relative à la protection des données ;
- veiller à ce que le délégué puisse exercer ses fonctions en toute indépendance ;
- aider le délégué à exercer ses fonctions et à lui fournir toutes les ressources nécessaires à sa mission.
Le règlement définit les missions du délégué à la protection des données qui a un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Le délégué à la protection des données doit se voir confier par le responsable du traitement et le sous-traitant au minimum les missions suivantes :
- informer et conseiller sur les obligations du responsable du traitement et du sous-traitant découlant du règlement et conserve une trace documentaire de cette activité et des réponses reçues ;
- contrôler la mise en œuvre et l’application des règles internes en matière de protection des données ;
- contrôler la mise en œuvre de la bonne application du règlement tels que les principes de protection des données dès la conception ;
- veiller à ce que la documentation du responsable du traitement ou du sous-traitant soit tenue à jour ;
- contrôler la documentation, la notification et la communication en cas de violation de données à caractère personnel ;
- vérifier que l’analyse d’impact a été réalisée ;
- vérifier qu’il a été répondu aux demandes de l’autorité de contrôle ;
- exercer la fonction de point de contact pour l’autorité de contrôle.
Afin d’anticiper cette réforme, les entreprises pourraient d’ores et déjà désigner un correspondant Informatique et libertés.
Chloé Torres
Lexing Droit Informatique et libertés
(1) Proposition de règlement 2012-0011 (COD) 25-1-2012, art.36, art.37.