En bref :
Le délégué à la protection des données est chargé d’informer et conseiller sur les obligations en matière de protection des données, de contrôler le respect des réglementations en matière de protection des données, de donner des conseils sur l’analyse d’impact relative à la protection des données, de coopérer avec l’autorité de contrôle et de servir de point de contact avec cette autorité sur les questions relatives au traitement des données.
Feuille de route du référent RGPD
- Familiariser avec les réglementations et les normes en matière de protection des données, notamment le Règlement général sur la protection des données (RGPD) ou la Loi Informatique et Liberté ou LPD
- Identifier les opérations de traitement de données personnelles effectuées par l’organisation et évaluer les risques pour la protection des données associés à ces opérations.
- Informer et conseiller le responsable du traitement et les employés sur les obligations en matière de protection des données et sur les bonnes pratiques à suivre.
- Mettre en place des procédures et des outils de contrôle pour vérifier le respect des réglementations et des normes en matière de protection des données par l’organisation.
- Dispenser des conseils, sur demande, sur l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci.
- Coopérer avec l’autorité de contrôle et servir de point de contact pour cette autorité sur les questions relatives au traitement des données.
- Mener des consultations, le cas échéant, sur tout autre sujet lié à la protection des données.
- Surveiller les évolutions réglementaires et les nouvelles technologies en matière de protection des données et s’assurer que l’organisation est en conformité avec ces évolutions.
- Assurer la sensibilisation et la formation du personnel sur les questions de protection des données.
- Rédiger des rapports périodiques sur l’état de la protection des données dans l’organisation et sur les activités du DPO.
Les erreurs à éviter pour un référent RGPD
- Ne pas être familier avec les réglementations et les normes en matière de protection des données : il est crucial que le DPO soit familiarisé avec le Règlement général sur la protection des données (RGPD) et les autres dispositions du droit de l’Union ou du droit national en matière de protection des données.
- Ne pas identifier correctement les opérations de traitement de données personnelles de l’organisation : il est important que le DPO soit au courant de toutes les opérations de traitement de données effectuées par l’organisation pour pouvoir évaluer les risques pour la protection des données et mettre en place les mesures adéquates.
- Ne pas informer et conseiller correctement le responsable du traitement et les employés : le DPO doit être en mesure de fournir des informations précises et à jour sur les obligations en matière de protection des données et de donner des conseils sur les bonnes pratiques à suivre.
- Ne pas mettre en place de procédures et d’outils de contrôle efficaces : le DPO doit être en mesure de vérifier de manière efficace le respect des réglementations et des normes en matière de protection des données par l’organisation.
- Ne pas coopérer correctement avec l’autorité de contrôle : le DPO doit être en mesure de coopérer efficacement avec l’autorité de contrôle et de servir de point de contact pour cette autorité sur les questions relatives au traitement des données.
Texte complet
Article 39 – Missions du délégué à la protection des données
- Les missions du délégué à la protection des données sont au moins les suivantes:
a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;
b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;
c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;
d) coopérer avec l’autorité de contrôle;
e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
- Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.