RGPD Article 38 – Mission du DPO

données personnelles, privacy, rgpd

En bref

  • Le délégué à la protection des données doit être associé de manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel par le responsable du traitement et le sous-traitant.
  • Le responsable du traitement et le sous-traitant doivent fournir les ressources et l’accès nécessaires au délégué à la protection des données pour qu’il puisse exercer ses missions et maintenir ses connaissances spécialisées.
  • Le délégué à la protection des données ne doit recevoir aucune instruction et ne peut être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions. Il doit rendre compte directement au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant et les personnes concernées peuvent le contacter pour toutes questions relatives au traitement de leurs données à caractère personnel et à l’exercice de leurs droits.

Checklist

  1. Associer de manière appropriée et en temps utile le DPO à toutes les questions relatives à la protection des données à caractère personnel.
  2. Fournir au délégué à la protection des données les ressources (en particulier une formation DPO) et l’accès nécessaires pour qu’il puisse exercer ses missions et maintenir ses connaissances spécialisées.
  3. S’assurer que le délégué à la protection des données ne reçoit aucune instruction concernant l’exercice de ses missions.
  4. Ne pas relever le délégué à la protection des données de ses fonctions ou le pénaliser pour l’exercice de ses missions.
  5. Faire en sorte que le délégué à la protection des données rende compte directement au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
  6. Permettre aux personnes concernées de contacter le délégué à la protection des données pour toutes questions relatives au traitement de leurs données à caractère personnel et à l’exercice de leurs droits.
  7. S’assurer que le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité concernant l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.
  8. Veiller à ce que les autres missions et tâches confiées au délégué à la protection des données ne créent pas de conflit d’intérêts.

Exemple de fiche de poste pour un DPO

Titre du poste : Délégué à la protection des données (DPO)

Type de contrat : CDI

Lieu de travail : [ville]

Rémunération : [selon expérience et niveau de qualification]

Missions principales :

  • Conseiller la direction et les équipes de l’entreprise sur les questions relatives à la protection des données à caractère personnel
  • Assurer la conformité de l’entreprise aux réglementations en matière de protection des données (RGPD, loi Informatique et Libertés, etc.)
  • Former le personnel aux enjeux et aux bonnes pratiques en matière de protection des données
  • Surveiller le respect de la réglementation par l’entreprise et mettre en place des procédures de gestion des risques et des incidents de protection des données
  • Établir et maintenir des relations de confiance avec les personnes concernées et les autorités de contrôle
  • Assurer une veille réglementaire et technologique pour adapter la stratégie de protection des données de l’entreprise aux évolutions en cours

Profil recherché :

  • Formation juridique ou informatique, avec une spécialisation en protection des données à caractère personnel
  • Expérience significative dans un poste similaire ou en tant que conseil en protection des données
  • Bonnes connaissances des réglementations et des normes en matière de protection des données (RGPD, loi Informatique et Libertés, etc.)
  • Capacité à travailler en équipe et à communiquer de manière claire et concise avec différents interlocuteurs (direction, personnel, personnes concernées, autorités de contrôle)
  • Esprit d’analyse et de synthèse, ainsi que sens de l’organisation et de la rigueur

Texte complet

Article 38 – Fonction du délégué à la protection des données

  1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
  2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d’entretenir ses connaissances spécialisées.
  3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
  4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.
  5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.
  6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.