Article 39 du RGPD

Missions du délégué à la protection des données

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 4 - délégué à la protection des données »  article 39

  1. Les missions du délégué à la protection des données sont au moins les suivantes:
    • a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;
    • b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;
    • c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;
    • d) coopérer avec l’autorité de contrôle;
    • e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
  2. Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Article 39 du RGPD : Ce qu'il faut comprendre

L’article 39 du RGPD décrit les missions principales du délégué à la protection des données (DPO). Le DPO joue un rôle crucial pour garantir que l’organisation respecte les règles de protection des données. Voici un aperçu de ses missions :

Missions du DPO

  1. Informer et conseiller : Le DPO doit informer et conseiller le responsable du traitement, le sous-traitant et les employés sur leurs obligations légales en matière de protection des données, en vertu du RGPD et des autres lois en vigueur. Cela inclut des conseils sur la manière de respecter les droits des personnes concernées et d’assurer la conformité des traitements de données.
  2. Contrôler la conformité : Le DPO est responsable de surveiller la conformité de l’organisation avec le RGPD et les autres lois pertinentes. Cela inclut :
    • La mise en œuvre des règles internes de protection des données.
    • La vérification de la répartition des responsabilités au sein de l’organisation.
    • L’organisation de formations pour sensibiliser les employés.
    • La conduite d’audits pour s’assurer que les processus de traitement respectent bien les règles.
  3. Conseils sur l’analyse d’impact : Le DPO est également chargé de fournir des conseils sur la réalisation des analyses d’impact sur la protection des données (AIPD), conformément à l’article 35 du RGPD. Il doit également vérifier que ces analyses sont correctement effectuées, notamment pour les traitements à haut risque.
  4. Coopération avec l’autorité de contrôle : Le DPO doit coopérer avec l’autorité de contrôle (comme la CNIL en France), en fournissant les informations nécessaires et en facilitant la communication entre l’autorité et l’organisation.
  5. Point de contact avec l’autorité de contrôle : Le DPO fait également office de point de contact pour l’autorité de contrôle, notamment dans les cas où une consultation préalable est nécessaire (par exemple, en vertu de l’article 36). Cela inclut la gestion des communications avec l’autorité concernant les traitements à haut risque ou d’autres sujets liés à la protection des données.

Prise en compte des risques

Dans l’accomplissement de ses missions, le DPO doit tenir compte du risque associé aux opérations de traitement, en fonction de la nature, de la portée, du contexte et des objectifs du traitement. Cela signifie qu’il doit évaluer les risques potentiels pour les droits et libertés des personnes concernées et conseiller sur les mesures à prendre pour atténuer ces risques.

Article 39 du RGPD – Exemples concrets

  • Exemple 1 : Sensibilisation du personnel
    Un DPO dans une grande entreprise organise des sessions de formation pour les employés afin de les sensibiliser aux bonnes pratiques en matière de protection des données, comme la gestion des mots de passe, la sécurisation des accès ou le respect du droit à l’oubli.
  • Exemple 2 : Conseil sur une analyse d’impact
    Lorsqu’une entreprise décide de lancer un projet de profilage automatisé de ses utilisateurs, le DPO est chargé de fournir des conseils sur la réalisation de l’analyse d’impact et de vérifier que celle-ci couvre bien tous les risques potentiels pour les droits des personnes concernées.
  • Exemple 3 : Coopération avec la CNIL
    Un DPO dans une entreprise traitant des données sensibles de santé est en contact régulier avec la CNIL pour discuter de la conformité des traitements et des nouvelles mesures de sécurité mises en place.

← Article 38 – Fonction du délégué à la protection des données
Article 40 – Codes de conduite →

Les articles du RGPD mentionnant l'article 39