Il est essentiel de trouver un DPD qualifiĂ©, car celui-ci est impliquĂ© dans l’ensemble des aspects du cadre de protection des donnĂ©es d’une organisation et requiert une grande variĂ©tĂ© de compĂ©tences en plus de celles requises par le RGPD, telles qu’une expertise en matière de protection des donnĂ©es et de gestion des risques liĂ©s aux donnĂ©es.
En gĂ©nĂ©ral, il y a deux options Ă prendre en compte lors du choix d’un DPD. Vous pouvez embaucher une personne Ă temps plein au sein de votre organisation, ou faire appel Ă un contractuel externe. Quoi qu’il en soit, il est important de s’appliquer dans le choix d’un DPD, car il sera responsable d’un large Ă©ventail d’activitĂ©s.
C’est pourquoi nous avons préparer cette checklist pour vous aider à comprendre les éléments essentiels lors du choix et de l’embauche d’un délégué à la protection des données pour votre entreprise.
🚀 Passer à L’essentiel lors du choix d’un DPD (basé sur les exigences du RGPD) →
Dans le cadre du RGPD, le délégué à la protection des données (DPD) aide le responsable du traitement ou le sous-traitant à mettre en place, appliquer et piloter une stratégie de protection des données conforme aux exigences légales.
Le DPD doit Ă©galement avoir des connaissances en matière de gestion des processus informatiques, de sĂ©curitĂ© des donnĂ©es et d’autres prĂ©occupations essentielles liĂ©es au traitement des donnĂ©es personnelles et sensibles.
Le travail du DPD comporte de nombreuses responsabilitĂ©s, notamment celle d’ĂŞtre le point de contact entre l’organisation et les agences de surveillance, de sensibiliser les employĂ©s aux obligations de conformitĂ© et de former le personnel chargĂ© du traitement des donnĂ©es.
En outre, le DPD effectue des audits de sécurité de routine et apporte des recommandations pour encourager le respect des lois et des normes de l’industrie.
L’obligation de dĂ©signer un DPD est Ă©noncĂ©e Ă l’article 37 du Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD). De manière gĂ©nĂ©rale, il s’agit d’une exigence Ă laquelle doivent se conformer toutes les entreprises pour lesquelles le RGPD s’applique, et qui traitent un nombre important de donnĂ©es personnelles, que ce soit en qualitĂ© de responsable du traitement ou de sous-traitant.
Le RGPD exige la *dĂ©signation d’un DPD* dans les circonstances suivantes :
👉 Lorsqu’il existe un suivi rĂ©gulier et systĂ©matique des utilisateurs Ă grande Ă©chelle (par exemple, traitement avec des systèmes de vidĂ©osurveillance) ;👉 Lorsque le traitement est effectuĂ© par une autoritĂ© publique (Ă l’exception des tribunaux ou des autoritĂ©s judiciaires indĂ©pendantes) ;
👉 Lorsque l’organisation effectue des opĂ©rations complexes avec des donnĂ©es utilisateur (en particulier des donnĂ©es utilisateur sensibles, comme prĂ©vu dans l’article 9 du RGPD).
La dĂ©signation d’un DPD dĂ©pend non seulement du nombre rĂ©el d’employĂ©s mais aussi de la nature de l’activitĂ© de traitement des donnĂ©es. Si votre organisation n’entre pas dans l’une de ces catĂ©gories, vous n’ĂŞtes pas tenu de dĂ©signer un DPD.
Les points importants lors du choix de votre DPD (sur la base des exigences du RGPD)
Crédibilité
Expertise juridique
Expertise informatique
Bonne capacité à communiquer clairement
Esprit d’initiative
Leadership
Expertise globale
📌 Crédibilité
En vertu du RGPD, votre DPD est tenu de :
✅ être impartial et d’éviter les conflits d’intérêt.
Les DPD ne doivent pas agir en fonction de commissions versĂ©es par les prestataires de services, sinon la nature de cette relation relèvera du principe d’un conflit d’intĂ©rĂŞt.
C’est important, car cela permet de s’assurer que vous recevez les meilleurs conseils en fonction des besoins de votre entreprise plutĂ´t que des intĂ©rĂŞts personnels.
âś… ĂŞtre investi, qu’il fasse partie de votre organisation Ă plein temps ou en tant que contractant externe.
Le DPD n’a droit qu’Ă un seul rĂ´le au sein de votre organisation. Par exemple, un DPD qui supervise la sĂ©curitĂ© des informations sera en conflit si ses Ă©valuations des risques et ses stratĂ©gies de prĂ©vention sont Ă©valuĂ©es dans le contexte de sa fonction de DPD. Si votre DPD est externe Ă l’organisation, assurez-vous qu’il a le temps de se consacrer Ă votre organisation.
đź—Ł Le RGPD prĂ©cise que les DPD sont autorisĂ©s Ă effectuer d’autres tâches pour autant que :
ces tâches et fonctions n’entraĂ®nent pas de conflits d’intĂ©rĂŞt.
đź“Ś Expertise juridique
En vertu du RGPD, vos DPD sont tenus de :
✅ posséder un niveau de compétence en matière de droit de la protection des données en fonction du type de traitement effectué.
Cela signifie que les DPD doivent être des avocats certifiés et informés de toutes les lois relatives à la confidentialité et des lois connexes dans chaque pays où leur organisation mène des activités ou sous-traite des activités.
🗣 Le RGPD précise :
« une personne possĂ©dant des connaissances spĂ©cialisĂ©es de la lĂ©gislation et des pratiques en matière de protection des donnĂ©es » pour aider le responsable du traitement ou le sous-traitant, et ĂŞtre « tenu au secret ou Ă la confidentialitĂ© », et « en mesure de s’acquitter des obligations qui leur incombent en matière de protection des donnĂ©es ».
đź“Ś Expertise informatique
En vertu du RGPD, votre DPD est tenu de :
✅ fournir des conseils sur les évaluations des risques, les contre-mesures et les analyses des effets de la protection des données ;
âś… disposer d’une expertise pratique solide en matière d’Ă©valuations et de certifications relatives Ă la confidentialitĂ© ;
âś… avoir des certifications relatives aux normes de sĂ©curitĂ© de l’information ; et
âś… avoir une connaissance approfondie des meilleures pratiques relatives Ă la confidentialitĂ©, l’Ă©valuation des risques et la prĂ©vention.
Ces compétences doivent être fondées sur des audits IS, une infrastructure informatique et une expertise en programmation.
đź“Ś Leadership
En vertu du RGPD, votre DPD est tenu de :
✅ posséder des compétences en matière de leadership et de gestion de projet afin de pouvoir solliciter, organiser et diriger les ressources nécessaires à leurs responsabilités ;
✅ évaluer de manière critique leurs connaissances pour identifier les lacunes, puis demander une formation dans ces domaines ; et
âś… possĂ©der un large Ă©ventail de connaissances en commerce et connaĂ®tre les secteurs relatifs au responsable du traitement et au sous-traitant afin de s’intĂ©grer parfaitement Ă la manière dont chaque entreprise dĂ©veloppe, commercialise et gĂ©nère des revenus grâce Ă ses produits et services.
🗣 Le RGPD précise :
Le responsable du traitement et le sous-traitant soutiennent le DPD en lui fournissant les ressources nĂ©cessaires Ă l’exĂ©cution de ces tâches et Ă l’accès aux donnĂ©es Ă caractère personnel et aux opĂ©rations de traitement, ainsi qu’au maintien de ses connaissances spĂ©cialisĂ©es.
📌 Esprit d’initiative
En vertu du RGPD, votre DPD est tenu de :
✅ être autonome, avoir les connaissances et les capacités nécessaires pour accomplir les tâches qui lui sont confiées sans supervision et être capable de trouver les informations dont ils ont besoin ;
âś… ĂŞtre prĂ©sent au conseil d’administration et avoir la capacitĂ© de communiquer avec des professionnels de l’entreprise qui peuvent ne pas connaĂ®tre les fonctions de DPD.
🗣 Le RGPD précise :
Le responsable du traitement et le sous-traitant veillent Ă ce que le DPD ne reçoive aucune instruction concernant l’exercice de ces tâches. Le DPD est liĂ© directement Ă la direction la plus Ă©levĂ©e du responsable du traitement ou du sous-traitant.
📌 Bonne capacité à communiquer clairement
En vertu du RGPD, votre DPD est tenu de :
✅ traiter les demandes et les réclamations des personnes concernées en termes clairs, sans jargon juridique ni technique ;
âś… possĂ©der des compĂ©tences en matière de formation juridique et de sensibilisation afin de s’assurer que toutes les personnes concernĂ©es connaissent leurs droits et obligations, et de contribuer Ă la formation d’autres personnes pour aider les personnes concernĂ©es Ă formuler des demandes spĂ©cifiques.
🗣 Le RGPD précise que les personnes concernées sont autorisées à contacter le DPD :
en ce qui concerne toutes les questions liĂ©es au traitement de leurs donnĂ©es personnelles et Ă l’exercice de leurs droits.
đź“Ś Expertise globale
Votre DPD est tenu de :
âś… s’engager avec des sous-traitants et des responsables du traitement de divers cultures et pays ;
âś… gĂ©rer diffĂ©rentes façons de penser et d’exercer des activitĂ©s, et possĂ©der une capacitĂ© d’adaptation nĂ©cessaire pour orienter ces variations vers une bonne conclusion.
En définitive, la décision de choisir un DPD qualifié possédant ces compétences requises revient à chaque organisation.
La nomination d’un DPD est UNE des mesures que vous devez prendre pour vous conformer au RGPD.
Jetez un œil aux autres étapes ici 👉
5 choses à faire dès maintenant pour se conformer au RGPD