Le texte de l’article 38 Fonction du délégué à la protection des données
”Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 … ”
article 38
L’analyse de l’article : Fonction du délégué à la protection des données
C’est le DPO (Data Protection Officer), appelé en français « Délégué à la protection des données », qui a en charge toutes les actions concernant la protection des données personnelles. L’article 38 insiste d’une part sur le rôle du responsable du traitement et du sous-traitant qui doivent assister le DPO dans ses fonctions de garant de la conformité au RGPD. D’autre part, l’article met l’accent sur l’indépendance du DPO dans l’exercice de ses fonctions. Enfin à l’instar d’un médecin ou d’un avocat, le DPO est soumis au secret professionnel.
Les fonctions du DPO exercées en complémentarité avec le responsable du traitement et le sous-traitant
Le DPO a pour rôle de regarder si le RGPD est bien appliqué et de vérifier si toutes les obligations sont bien respectées. Dès lors toutes les questions se rapportant à la protection des données impliquent l’exercice des fonctions du DPO. L’entreprise, par le biais de son responsable de traitement ou sous-traitant, doit collaborer avec le DPO en l’invitant régulièrement aux réunions qui portent sur des questions relatives à la protection des données. L’entreprise doit mettre ses ressources : temps, financement, infrastructure, personnel, au service des objectifs d’un DPO. D’abord il voit en interne quelles sont les activités de traitement qui sont faites, c’est l’identification des traitements. Ensuite il va analyser si ces pratiques sont conformes au RGPD ou pas. Il fait donc une analyse interne. Enfin sur la base de ce qu’il a constaté précédemment, le DPD va donner des recommandations, des conseils aux responsables du traitement des données pour veiller à ce que le règlement soit bien adapté dans l’entreprise.
Les fonctions du DPO exercées en toute indépendance
Le DPD doit être indépendant c’est-à-dire qu’il doit pouvoir dire les choses sans subir de contrôle. Les objectifs d’un DPO doivent être réalisés de façon autonome sans crainte d’être licencié ou pénalisé. Il peut ainsi intervenir dans plusieurs entreprises du moment que son indépendance est préservée. Informer, conseiller et former les responsables du traitement des données au regard du RGPD sont les principaux objectifs du DPO.
Le DPO : interlocuteur des entreprises et des tiers sur la protection des données personnelles
Les entreprises ont le choix entre désigner un DPO en interne ou recruter un DPO ou bien recourir à un prestataire extérieur (Nous contacter pour être mis en relation). S’il est désigné en interne, le DPO doit être rattaché le plus souvent à la Direction générale dans le but d’éviter les conflits d’intérêts et préserver sa liberté d’action. Or pour éviter les conflits d’intérêts, externaliser le rôle du DPO est une solution plus avantageuse et moins coûteuse pour l’entreprise que recruter un DPO. Par ailleurs, le DPO a une obligation de confidentialité dans le cadre de l’exercice de ses missions. S’il constate par exemple des violations potentielles, il n’a en principe pas le droit de les divulguer. En ce qu’il garantit la sécurité juridique du traitement des données personnelles, les personnes concernées peuvent le contacter pour l’exercice de leurs droits. A ce titre le DPO doit être facilement joignable et ses coordonnées doivent être clairement indiquées.
