Délégué(e) à la protection des données
Les entreprises peuvent ou doivent, sous certaines conditions, désigner un conseiller à la protection des données ou un délégué à la protection des données (DPD). Cette exigence est par exemple ancrée dans l'article 10 de la LPD, les articles 37 à 39 du RGPD ainsi que dans l'article 38 de la BDSG.
Indépendamment de l'existence d'une obligation légale de désigner un DPD, les entreprises peuvent désigner un DPD sur une base volontaire afin de minimiser les risques liés à la protection des données.
Qu'est-ce qui s'applique concrètement en Suisse ? (LPD)
Les responsables peuvent désigner un conseiller à la protection des données (CPD).
Le conseiller à la protection des données est le point de contact pour les personnes concernées et pour les autorités chargées de la protection des données en Suisse. Il a notamment les tâches suivantes :
- former et conseiller le responsable en matière de protection des données.
- Participer à l'application des règles de protection des données
Dans la mesure où le responsable ne désigne pas de DPD, il est néanmoins tenu de mettre en œuvre les exigences de la LPD. Dans ce cas, cette tâche incombe à la direction du responsable.
Dans la mesure où un risque notable pour les personnes concernées est identifié lors de l'établissement de la liste des traitements (art. 12 LPD) et de l'analyse des risques qu'elle contient, le responsable doit effectuer une analyse d'impact relative à la protection des données conformément à l'art. 22 RGPD. En cas de risque élevé pour les personnes concernées, le PFPDT doit être consulté.
L'établissement du registre des traitements ainsi qu'une analyse d'impact relative à la protection des données sont des tâches exigeantes et chronophages. Sans parler de la consultation du PFPDT et du processus qui s'ensuit. C'est pourquoi nous recommandons de faire appel à un expert en protection des données / de désigner un conseiller en protection des données, même s'il n'y a pas d'obligation de le faire.
La consultation du PFPDT peut être contournée si les conditions suivantes sont remplies :
- Le DPD exerce sa fonction de manière professionnellement indépendante vis-à-vis du responsable et n'est pas lié par des instructions.
- Le DPD n'exerce pas d'activités incompatibles avec les tâches de DPD.
- Le DPD dispose des connaissances techniques nécessaires.
- Le responsable publie les coordonnées du DPD et les communique au PFPDT.
Qu'est-ce qui s'applique concrètement pour les états membres de l'UE ? (RGPD)
L'article 37 du RGPD contient les règles pour la désignation d'un délégué à la protection des données (DPD), l'article 38 du RGPD définit le statut du DPD dans l'entreprise. L'article 39 du RGPD spécifie les tâches d'un DPD.
Le RGPD définit le cadre juridique de la désignation obligatoire d'un délégué à la protection des données. Il rend cela indépendant du nombre de salariés dans une entreprise. Il place plutôt - conformément à l'article 37, paragraphe 1, point b) du RGPD - les activités dites essentielles au centre de l'obligation :
Une obligation de commande existe lorsque l'activité principale d'une entreprise consiste à effectuer des opérations de traitement qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent une surveillance régulière et systématique à grande échelle des personnes concernées, ou lorsque l'activité principale de l'entreprise consiste à traiter à grande échelle des catégories particulières de données (article 9 RGPD) ou des données à caractère personnel relatives à des condamnations pénales et à des infractions conformément à l'article 10 RGPD.
Dans la mesure où le responsable ne désigne pas de DPD, il est néanmoins tenu de mettre en œuvre les exigences du RGPD. Dans ce cas, cette tâche incombe à la direction du responsable.
Nous recommandons - même s'il n'y a pas d'obligation de désignation - de faire appel à un expert en protection des données / de désigner un délégué à la protection des données.
Les entreprises allemandes sont soumises à la BDSG (loi allemande sur la protection des données) en complément du RGPD, la BDSG pose des exigences supplémentaires pour la désignation de délégués à la protection des données (voir ci-dessous).
Qu'est-ce qui s'applique concrètement en Allemagne ? (RGPD et BDSG)
En complément du RGPD, l'article 38 de la BDSG (loi allemande sur la protection des données) stipule que les entreprises doivent désigner un délégué à la protection des données (DPD) dans la mesure où, en règle générale, au moins 20 personnes s'occupent en permanence du traitement automatisé de données à caractère personnel dans l'entreprise.
Par « traitements automatisés », on entend par exemple les traitements de données effectués à l'aide de programmes standard de bureautique (p. ex. système de messagerie électronique, tableur, etc.) ainsi que de logiciels d'application spécifiques, p. ex. dans le service du personnel et du marketing. Conformément à l'article 26, paragraphe 8 de la BDSG, le nombre d'employés comprend également les employés à temps partiel, les intérimaires et les stagiaires.
En outre, les entreprises doivent désigner un DPD, indépendamment du nombre d'employés, si l'entreprise est soumise à l'obligation de réaliser une analyse d'impact relative à la protection des données conformément à l'article 35 du RGPD ou si l'entreprise traite des données à caractère personnel à des fins commerciales de transfert, de transfert anonyme ou d'études de marché ou d'opinion.
Pour les entreprises allemandes d'une certaine taille, on peut partir du principe qu'elles sont tenues d'en désigner un. Nous recommandons - même s'il n'y a pas d'obligation de désignation - de faire appel à un expert en protection des données / de désigner un délégué à la protection des données.