arrow_back Retour à tous les articles

Article 39
Missions du délégué à la protection des données

Textes
officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national

Il n'y a pas de considérant du Règlement lié à l'article 39.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 39.

Guidelines

Ici viendront les guidelines

Groupe 29

Guidelines on Data Protection Officers (‘DPOs’) (5 april 2017)

(Endorsed by the EDPB)

The General Data Protection Regulation (‘GDPR’), due to come into effect on 25 May 2018, provides a modernised, accountability-based compliance framework for data protection in Europe. Data Protection Officers (‘DPO’s) will be at the heart of this new legal framework for many organisations, facilitating compliance with the provisions of the GDPR.

Under the GDPR, it is mandatory for certain controllers and processors to designate a DPO. This will be the case for all public authorities and bodies (irrespective of what data they process), and for other organisations that - as a core activity - monitor individuals systematically and on a large scale, or that process special categories of personal data on a large scale.

Even when the GDPR does not specifically require the appointment of a DPO, organisations may sometimes find it useful to designate a DPO on a voluntary basis. The Article 29 Data Protection Working Party (‘WP29’) encourages these voluntary efforts.

The concept of DPO is not new. Although Directive 95/46/EC did not require any organisation to appoint a DPO, the practice of appointing a DPO has nevertheless developed in several Member States over the years.

Before the adoption of the GDPR, the WP29 argued that the DPO is a cornerstone of accountability and that appointing a DPO can facilitate compliance and furthermore, become a competitive advantage for businesses. In addition to facilitating compliance through the implementation of accountability tools (such as facilitating data protection impact assessments and carrying out or facilitating audits), DPOs act as intermediaries between relevant stakeholders (e.g. supervisory authorities, data subjects, and business units within an organisation).

DPOs are not personally responsible in case of non-compliance with the GDPR. The GDPR makes it clear that it is the controller or the processor who is required to ensure and to be able to demonstrate that the processing is performed in accordance with its provisions (Article 24(1)). Data protection compliance is a responsibility of the controller or the processor.

The controller or the processor also has a crucial role in enabling the effective performance of the DPO’s tasks. Appointing a DPO is a first step but DPOs must also be given sufficient autonomy and resources to carry out their tasks effectively.

The GDPR recognises the DPO as a key player in the new data governance system and lays down conditions for his or her appointment, position and tasks. The aim of these guidelines is to clarify the relevant provisions in the GDPR in order to help controllers and processors to comply with the law, but also to assist DPOs in their role. The guidelines also provide best practice recommendations, building on the experience gained in some EU Member States. The WP29 will monitor the implementation of these guidelines and may complement them with further details as appropriate.

Read the Guidelines

Autorité nationale


Belgique

Recommandation relative à la désignation d’un délégué à la protection des données conformément au Règlement général sur la protection des données (RGPD), en particulier l’admissibilité du cumul de cette fonction avec d’autres fonctions dont celle de conseiller en sécurité n° 04/2017 (24 mai 2017)

1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.


2. Dans le chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, la section IV est entièrement consacrée au délégué à la protection des données. Plus spécifiquement, l’article 37 détaille les cas dans lesquels la désignation du délégué à la protection des données est obligatoire ainsi que les modalités de cette désignation ; l’article 38 encadre la fonction même de délégué à la protection des données (statut) et l’article 39 décrit quelles sont ses missions. Quelques autres articles du RGPD viennent compléter l’encadrement de cette fonction nouvelle.


3. Immédiatement après l’adoption du RGPD, les autorités de protection des données ont identifié la question du délégué à la protection des données comme prioritaire. Elles ont incité les responsables de traitement et sous-traitants à vérifier rapidement si oui ou non ils sont juridiquement tenus de désigner un délégué à la protection des données en application de l’article 37.1. du RGPD ainsi qu’à procéder aux engagements ou à programmer les formations nécessaires. Réunies au sein du Groupe de l’Article 29, elles ont également encouragé la désignation volontaire de tels délégués et proposé des lignes directrices d’interprétation commune des articles pertinents du RGPD ainsi que formulé un certain nombre de recommandations (best practice).


4. Outre les questions récurrentes auxquelles elle a déjà répondu par la voie de FAQ sur son site Internet (et pour la réponse auxquelles elle s’appuie sur le travail d’interprétation commune du groupe de l’Article 29 déjà cité), la CPVP reçoit régulièrement la question de savoir si le « conseiller en sécurité » que doivent désigner certaines institutions, organismes et autres entités en application de différentes règlementations belges peut devenir le délégué à la protection des données - exigé pour toute autorité et organisme publics notamment (37.1. du RGPD). Peut-il exercer cumulativement les fonctions de conseiller en sécurité et de délégué à la protection des données et, le cas échéant, à quelles conditions ?


5. La présente recommandation a pour objectif de guider les responsable de traitement et les sous-traitants dans leur analyse et leur choix d’un délégué à la protection des données dans le respect du RGPD (voy. le point III). Compte tenu des nombreuses questions que la CPVP reçoit quant au cumul de cette fonction avec celle de « conseiller en sécurité », une attention particulière, mais non exclusive, sera accordée à cet aspect dans la présente recommandation.

Le GDPR

Le délégué à la protection des données reçoit plusieurs missions minimales en application de l’article 39 : une mission d’avis et de conseil (1) ; une mission de contrôle (2) ; une mission de point de contact avec l’autorité de contrôle (3).

Elles peuvent être résumées comme suit :

  1. informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les salariés traitant des données à caractère personnel sur les obligations qui leur incombent en vertu du Règlement et d'autres dispositions en matière de protection des données. Il doit aussi conseiller le responsable du traitement lorsque ce dernier est tenu d’effectuer une analyse d'impact relative à la protection des données conformément à l'article 35 ;
  2. contrôler la conformité des traitements au Règlement, à d'autres dispositions de l'Union ou de l'État membre concerné en matière de protection des données et aux règles internes du responsable du traitement ou du sous-traitant y compris la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux traitements, et les audits s'y rapportant;
  3.  être le point de contact de l'autorité de contrôle sur les questions liées au traitement de données à caractère personnel, y compris concernant la consultation préalable visée à l'article 36, et consulter celle-ci, le cas échéant, sur tout autre sujet. Il doit bien entendu coopérer avec celle-ci ;

 

Le Règlement précise que le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.

La Directive

L’article 18 de la Directive prévoyait, dans le cas très spécifique de sa désignation, la finalité de la mission du délégué à la protection des données à savoir : garantir que les activités de traitement ne portent pas atteinte aux droits et libertés des personnes concernées. Il était chargé notamment:

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente Directive,

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2, contenues dans le registre public diffusé par l’autorité de contrôle.

Belgique

En Belgique, à défaut d’arrêt royal d’exécution de l’article 17bis de la loi, les missions du délégué n’ont jamais été précisées.

France

En droit français, l'article 49 du décret d’application du 20 octobre 2005 dispose que le Correspondant Informatique et Libertés :

- peut faire toute recommandation utile au responsable des traitements ;

- est consulté, préalablement à leur mise en oeuvre, sur l'ensemble des nouveaux traitements appelés à figurer sur le registre ;

- reçoit les demandes et les réclamations des personnes intéressées relatives aux traitements figurant sur le registre. Lorsqu'elles ne relèvent pas de sa responsabilité, il les transmet au responsable des traitements et en avise les intéressés ;

- établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la CNIL.

Difficultés probables

Les différentes missions du délégué à la protection des données risquent fort d’imposer de revoir l’organigramme des fonctions ainsi que les règles de gouvernance qui actuellement, dans les entreprises ou autorités publiques, ont trait à l’application et au contrôle du respect des règles en matière de protection des données.

Il n’est pas rare en effet de voir à l’heure actuelle les compétences du futur délégué partagées entre le service juridique, le service de compliance, voire le délégué à la protection des données déjà désigné.

Règlement
1e 2e

Art. 39

1. Les missions du délégué à la protection des données sont au moins les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;

b) contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;

c) dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35;

d) coopérer avec l'autorité de contrôle;

e) faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Proposition 1 close

1. Le responsable du traitement ou le sous-traitant confient au délégué à la protection des données au moins les missions suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant sur les obligations qui leur incombent en vertu du présent règlement et conserver une trace documentaire de cette activité et des réponses reçues;

b) contrôler la mise en œuvre et l'application des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la formation du personnel participant aux traitements, et les audits s'y rapportant;

 c) contrôler la mise en œuvre et l'application du présent règlement, notamment en ce qui concerne les exigences relatives à la protection des données dès la conception, à la protection des données par défaut et à la sécurité des données, ainsi que l'information des personnes concernées et l’examen des demandes présentées dans l'exercice de leurs droits au titre du présent règlement;

d) veiller à ce que la documentation visée à l’article 28 soit tenue à jour;

e) contrôler la documentation, la notification et la communication, prévues aux articles 31 et 32, et relatives aux violations de données à caractère personnel ;

f) vérifier que le responsable du traitement ou le sous-traitant a réalisé l’analyse d’impact relative à la protection des données, et que les demandes d'autorisation ou de consultation préalables ont été introduites, si elles sont requises au titre des articles 33 et 34;

g) vérifier qu'il a été répondu aux demandes de l’autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l’autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement, et consulter celle-ci, le cas échéant, de sa propre initiative.

2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux missions, à la certification, au statut, aux prérogatives et aux ressources du délégué à la protection des données au sens du paragraphe 1.

Proposition 2 close

1. Les missions du (...) délégué à la protection des données (…) sont les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les salariés traitant des données à caractère personnel sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions de l'Union ou de l'État membre concerné en matière de protection des données (…);

b) contrôler la conformité au présent règlement, à d'autres dispositions de l'Union ou de l'État membre concerné en matière de protection des données et aux règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux traitements, et les audits s'y rapportant;

c) (…)

d) (…)

e) (…)

f) dispenser des conseils, lorsque cela est demandé, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution des tâches conformément à l'article 33;

g) vérifier qu'il a été répondu aux demandes de l'autorité de contrôle et, dans le domaine de compétence du délégué à la protection des données, coopérer avec l'autorité de contrôle, à la demande de celle-ci ou à l'initiative du délégué à la protection des données;

h) faire office de point de contact pour l'autorité de contrôle sur les questions liées au traitement de données à caractère personnel, y compris la consultation préalable visée à l'article 34, et consulter celle-ci, le cas échéant, sur tout autre sujet

2. (…)

2 bis. Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement eu égard à la nature, à la portée, au contexte et aux finalités du traitement.

Directive close

Art. 17

2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants:

(….)

- lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment:

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées.

 

France

Aucune disposition correspondante dans la loi du 6 janvier 1978. Celle-ci n’est pas complète puisqu’elle ne mentionne pas tous les nouveaux droits ou obligations posés par le RGPD, pourtant également applicables (exemple : droit à la portabilité, obligation de réaliser des analyses d’impact, etc.).

Décret d'application. 

Art. 42 

Décret pris pour application de la loi n°78-17 du 6 janvier 1978

Un délégué à la protection des données est désigné par le responsable du traitement ou par le sous-traitant en application de l'article 37 du règlement (UE) 2016/679 du 27 avril 2016 précité et de l'article 70-17 de la loi du 6 janvier 1978 susvisée.  

Le délégué veille au respect des obligations prévues par le règlement (UE) 2016/679 du 27 avril 2016 précité et par la loi du 6 janvier 1978 susvisée, sauf en ce qui concerne les traitements qui intéressent la sûreté de l'Etat et la défense.

Ancienne loi
en France
close

Art. 22 (cfr. décret d’application du 20 octobre 2005)

III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.

(…).

 

Belgique

Art. 17bis.

Le Roi détermine, après avis de la Commission de la protection de la vie privée, les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées, et fixe, également sur proposition de la Commission de la protection de la vie privée, des conditions particulières pour garantir les droits et libertés des personnes concernées.

Il peut en particulier déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la présente loi ainsi que de ses mesures d'exécution.

Le Roi détermine par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, le statut du préposé à la protection des données.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK