Mise en route
Dans cette section, vous trouverez des documents généraux ou pratiques, contenant des informations essentielles pour vous aider à vous acquitter de vos tâches et missions en tant que délégué à la protection des données (DPD).
Le règlement (UE) 2018/1725 introduit un certain nombre de nouveautés ayant une incidence sur le rôle des DPD. Le document de position du CEPD sur le rôle du délégué à la protection des données vise à fournir des orientations aux DPD sur le rôle, les fonctions et les tâches qui leur incombent, lesquels sont primordiaux et constituent la pierre angulaire de l’institution, de l’organe ou de l’agence de l’UE (IUE).
Les normes professionnelles pour les délégués à la protection des données publiées en 2010 par le réseau des DPD fournissent également des conseils utiles et des bonnes pratiques pour les DPD des institutions de l’Union européenne.
Avant toute chose, vous souhaiterez peut-être cependant vous rappeler la teneur de la décision de nomination d’un DPD. Ensuite, vous pouvez revoir les règles d’application relatives aux tâches, devoirs et compétences du DPD adoptées par votre organisme. Les lignes directrices présentées ici, illustrées à l’aide d’un exemple, sont utiles pour l’élaboration de ces règles.
L’article 31 du règlement (UE) 2018/1725 dispose que «Chaque responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité». Ainsi, l’institution de l’Union européenne exerce un contrôle sur ses traitements. Les registres constituent un outil important de vérification et de démonstration du respect du règlement compte tenu du principe de responsabilité.
De plus, les institutions de l’UE consignent leurs activités de traitement dans un registre central. Pour des raisons de transparence, ils devraient pouvoir rendre ce registre public. Les DPD possédant des connaissances spécialisées en matière de protection des données, le CEPD recommande instamment que la tenue de ce registre leur soit confiée. Bien que le DPD puisse fournir des conseils en ce qui concerne les registres, le responsable du traitement demeure responsable de leur élaboration et de leur contenu.
Le CEPD a publié des lignes directrices thématiques qui pourraient vous être utiles. Les lignes directrices fournissent aux responsables du traitement des conseils sur les modalités d’application des principes de protection des données dans des domaines thématiques. Nous avons également inclus quelques conseils et présentations sur les moyens de sensibilisation au sein de votre institution ainsi que des modèles de déclarations de confidentialité.
Dernier point, mais non des moindres, le CEPD vous invite à consulter notre offre de formations. Nous avons déjà organisé de nombreuses formations à l’intention de DPD récemment nommés et de différentes institutions de l’UE sur le règlement (UE) 2018/1725 et sur des études de cas thématiques spécifiques. Nous dispensons également une formation de deux heures pendant la pause-déjeuner aux membres du personnel d’encadrement intermédiaire de l’UE, au moins quatre fois par an, à l’École européenne d’administration, sur leurs nouvelles obligations au titre du règlement (UE) 2018/1725. N’hésitez pas à encourager les responsables du traitement à assister à ces formations à l’heure du déjeuner.
Notification de violation de données personnelles
À compter du 12 décembre 2018, en vertu du règlement (UE) 1725/2018, toutes les institutions et tous les organes européens sont tenus de signaler au CEPD certains types de violations de données à caractère personnel. Chaque institution de l'UE doit le faire dans les 72 heures qui suivent la découverte de la violation, lorsque cela est possible. Si la violation risque de porter gravement atteinte aux droits et libertés des personnes, l'institution de l'UE doit également informer les personnes concernées sans retard inutile.