Le statut des délégués à la protection des données est essentiel pour la garantie des droits du personnel et des citoyens
Le Contrôleur européen de la protection des données (CEPD) a publié hier son rapport sur le statut des délégués à la protection des données (DPD) dans le cadre de sa tâche de supervision du respect par les institutions et organes de l'UE de l'article 24 du règlement sur la protection des données qui impose la désignation des DPD.
Les DPD jouent un rôle majeur pour assurer le respect effectif des principes de protection des données dans les organisations collectant et utilisant des données personnelles, par exemple pour le recrutement et l'évaluation du personnel, les marchés publics, les demandes d’information ou la vidéosurveillance. Dans l'administration publique européenne, le DPD est également la personne de contact pour les réclamations du personnel et des citoyens dont les droits à la protection des données ont été violés.
Giovanni Buttarelli, Contrôleur adjoint, déclare: "Garantir le droit fondamental à la protection des données du personnel et des citoyens exige un engagement sans faille de la hiérarchie au sein des institutions et organes de l’UE. Cet engagement passe par la désignation et le soutien de leurs DPD, mais aussi par le statut qui leur est octroyé au sein même de l’organisation. Même si nous sommes heureux d'annoncer que la fonction de DPD est bien établie au sein de l'administration européenne, il subsiste des points de préoccupation. Comme les institutions sont entièrement responsables quant au respect des règles de protection des données, il est impératif qu’elles répondent à ces préoccupations de manière adéquate; nous avons d’ailleurs la ferme intention de suivre de près l’évolution en la matière et d’adresser les recommandations nécessaires."
Le rapport du CEPD met en exergue un certain nombre de points d’attention. L’article 24 du règlement sur la protection des données prévoit que les personnes exerçant la fonction de DPD doivent être nommées pour une période minimale de deux ans. Mais le rapport du CEPD indique une forte rotation des personnes exerçant cette fonction, et dans certains cas, des mandats plus courts, ce qui peut être lié à la situation contractuelle de ce personnel.
En outre, les conflits d'intérêts pour les personnes combinant les tâches de DPD avec d'autres responsabilités et le manque de ressources adéquates pour le bon fonctionnement au quotidien peuvent entraîner de graves conséquences pour la mise en application effective du règlement.
Des discussions sur la réforme des règles de protection des données applicables dans les États membres sont en cours au Parlement européen et au Conseil. Il est probable que la désignation de DPD soit rendue obligatoire dans le secteur public et dans certaines entreprises privées. Le législateur européen ainsi que les organisations qui stockent et utilisent des données personnelles devraient prendre en considération les préoccupations soulevées dans le rapport du CEPD, qui se base sur l'expérience acquise au sein de l'administration européenne.
Informations générales
L'article 24 du règlement sur la protection des données (CE) n° 45/2001 prévoit que chaque institution et organe de l'UE désigne au moins un délégué à la protection des données (DPD) pour assurer, d'une manière indépendante, l’application interne des dispositions du règlement. L'article 24 énonce les conditions de désignation du DPD, son statut et les conditions générales d'exercice de ses fonctions.
Données personnelles: toute information concernant une personne physique identifiée ou identifiable. Les exemples sont le nom, la date de naissance, les photographies, les adresses e-mail et les numéros de téléphone. D'autres informations telles que les données de santé, les données utilisées à des fins d'évaluation et les données d'utilisation du téléphone, de l’e-mail ou de l’Internet sont également considérées comme des données personnelles.
DPD: chaque institution et organe de l’UE désigne un délégué à la protection des données. Sa tâche consiste à assurer, d'une manière indépendante, l'application interne du règlement. Cela implique également d'autres tâches comme la garantie que les responsables de traitement et les personnes concernées soient informés de leurs droits et obligations, ainsi que la collaboration avec le CEPD, à sa demande ou de sa propre initiative. Une liste des DPD est disponible sur le site internet du CEPD.
Institutions et organes de l'UE / administration européenne: l'ensemble des institutions, organes ou agences opérant pour l'Union européenne (p.ex. la Commission européenne, le Parlement européen, le Conseil de l'Union européenne, la Banque centrale européenne ou les agences spécialisées et décentralisées de l'UE).
Document de référence sur le rôle joué par les délégués à la protection des données pour garantir le respect effectif du règlement (CE) n° 45/2001.
Normes professionnelles des Délégués à la protection des données des institutions et organes européens travaillant en application du règlement (CE) n° 45/2001 (document soutenu par le CEPD).