European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Délégué à la protection des données

Délégué à la protection des données

Ce qu’il faut savoir sur le délégué à la protection des données

La mission première du délégué à la protection des données (DPD) est de veiller à ce que l'organisation à laquelle il appartient traite les données à caractère personnel de son personnel, de ses clients, de ses fournisseurs ou de toute autre personne (aussi appelés les personnes concernées) dans le respect des règles applicables en matière de protection des données. Le règlement applicable à la protection des données [Règlement (UE) 2018/1725] oblige chacune des institutions et organes de l'Union européenne à désigner un DPD. Le règlement (UE) n° 2016/679, qui impose à certains organes des États membres de l'UE de désigner un DPD, entrera en vigueur le 25 mai 2018.

Désignation d'un DPD

Il va de soi que la désignation d'un DPD doit être basée sur ses qualités personnelles et professionnelles, mais il convient également d'accorder une attention particulière à ses connaissances spécialisées dans le domaine de la protection des données. Il est également recommandé que le DPD ait une bonne compréhension du fonctionnement de l'organisation à laquelle il appartient.

Place du DPD dans l'organigramme

Le DPD fait partie intégrante de l'organisation, ce qui le place dans une situation idéale pour assurer le respect de la réglementation. Le DPD doit néanmoins pouvoir exercer ses fonctions en toute indépendance. Il existe au sein des institutions et organes de l'UE un certain nombre d'assurances qui garantissent cette indépendance:

  1. les règles applicables aux institutions et organes de l'UE prévoient expressément que le DPD ne reçoit aucune instruction dans l'exercice de ses fonctions;
  2. il ne peut y avoir de conflit d'intérêts entre les obligations de la personne en tant que DPD et d'éventuelles autres obligations. Pour éviter tout conflit, il est recommandé que:
  • le DPD n'exerce pas simultanément le rôle de responsable du traitement (par exemple, s'il est responsable des ressources humaines);
  • le DPD ne soit pas un employé dont le contrat est de courte durée ou à durée déterminée;
  • le DPD n'ait pas à rendre compte à un supérieur direct (autre que la direction);
  • le DPD soit responsable de son propre budget;
  1. l'organisation doit mettre du personnel et des ressources à la disposition du DPD afin de le soutenir dans l'exercice de ses fonctions. À cet égard, dans les institutions et organes de l'UE, les DPD peuvent être secondés par un DPD adjoint et peuvent s'appuyer sur des coordinateurs de la protection des données (CPD) dans chaque partie de l'organisation. L'accès aux ressources comprend l'accès aux centres de formation;
  2. le DPD doit également être doté d'un pouvoir d'enquête. Dans les institutions et organes de l'UE, par exemple, les DPD disposent d'un accès direct à l'ensemble des données à caractère personnel et des traitements de données; les personnes responsables sont également tenues de fournir des réponses aux questions du DPD;
  3. l'organisation doit fixer pour le poste de DPD une durée minimale de mandat et des conditions strictes de renvoi. Dans les institutions et organes de l'UE, le DPD est nommé pour une durée comprise entre deux et cinq ans; il peut être reconduit dans ses fonctions pour une durée maximale de 10 ans et ne peut en être démis qu'avec l'accord du CEPD.
Tâches du DPD

Le DPD doit veiller au respect des règles relatives à la protection des données en coopération avec l'autorité chargée de la protection des données (pour les institutions et organes de l'UE, cette autorité est le CEPD). Au sein des institutions et organes de l'UE, le DPD doit:

  • faire en sorte que les responsables des traitements et les personnes concernées soient informés de leurs droits, obligations et responsabilités en matière de protection des données et qu'ils soient sensibilisés à ceux-ci;
  • fournir conseils et recommandations à l'institution sur l'interprétation ou l'application des règles relatives à la protection des données;
  • créer un registre des traitements effectués au sein de l'institution et notifier au CEPD les traitements qui présentent des risques particuliers (appelés contrôles préalables);
  • veiller au respect de la protection des données au sein de son institution et aider celle-ci à rendre des comptes en la matière;
  • traiter les questions ou les réclamations émanant de l'institution, du responsable du traitement, d'une autre personne ou de sa propre initiative;
  • coopérer avec le CEPD (en répondant à ses demandes sur des enquêtes, le traitement des réclamations, les inspections menées par le CEPD, etc.);
  • attirer l'attention de l'institution sur tout défaut de conformité avec les règles applicables en matière de protection des données.
Informations complémentaires

Liste des DPD désignés par les institutions et organes de l'UE:
https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/DPOnetwork

La liste suivante, non exhaustive, est une sélection de documents à consulter pour toute information complémentaire sur les DPD:

Document de référence sur le rôle joué par les délégués à la protection des données pour garantir le respect effectif du règlement (CE) n° 45/2001

Rapport sur le statut des délégués à la protection des données

Normes professionnelles des Délégués à la protection des données des institutions et organes européens travaillant en application du règlement (CE) n° 45/2001

Enquête sur la fonction de coordinateur de la protection des données à la Commission européenne