Article 38 du RGPD

Article 38 du RGPD : Ce qu'il faut comprendre

L’article 38 du RGPD définit les règles concernant le rôle et l’indépendance du délégué à la protection des données (DPO) au sein d’une organisation, ainsi que les responsabilités du responsable du traitement et du sous-traitant à son égard.

Engagement du DPO dans les questions relatives à la protection des données

Le responsable du traitement et le sous-traitant doivent s’assurer que le DPO est impliqué dès le début et de manière appropriée dans toutes les décisions et questions relatives à la protection des données personnelles. Cela signifie que le DPO doit être consulté pour toutes les actions concernant le traitement des données.

Soutien et ressources

Le DPO doit recevoir les ressources nécessaires pour bien accomplir ses missions. Cela inclut l’accès aux données à caractère personnel, aux traitements en cours, ainsi qu’à des formations continues pour maintenir à jour ses compétences spécialisées dans le domaine de la protection des données.

Indépendance du DPO

Le DPO doit pouvoir travailler de manière indépendante :

• Il ne doit pas recevoir d’instructions quant à la manière d’exercer ses missions.
• Il ne peut pas être sanctionné ou licencié pour avoir exercé ses fonctions de manière indépendante, même si ses recommandations sont contraignantes pour l’organisation.
• Le DPO doit rendre directement compte à la plus haute direction de l’organisation, ce qui garantit que ses recommandations sont prises en compte à un niveau décisionnel élevé.

Contact direct avec les personnes concernées

Les personnes concernées (comme les employés ou les clients) peuvent contacter le DPO pour toute question liée au traitement de leurs données personnelles et à l’exercice de leurs droits en vertu du RGPD (comme le droit d’accès ou de rectification).

Confidentialité et secret professionnel

Le DPO est soumis à une obligation de confidentialité ou de secret professionnel dans l’exercice de ses fonctions. Cela signifie qu’il doit protéger les informations sensibles dont il a connaissance dans le cadre de ses missions.

Autres missions et conflit d’intérêts

Le DPO peut se voir confier d’autres tâches au sein de l’organisation, mais il est important que ces tâches ne créent pas de conflit d’intérêts. Par exemple, un DPO ne peut pas être en charge des décisions sur le traitement des données personnelles, car cela compromettrait son impartialité.

Article 38 du RGPD – Exemples concrets

• Exemple 1 : Consultation du DPO lors de la mise en place d’un nouveau traitement
  Lorsqu’une entreprise prévoit de lancer un nouveau service en ligne impliquant la collecte de données personnelles, elle doit associer le DPO à ce projet dès le début pour qu’il puisse évaluer les risques en matière de protection des données et recommander des mesures de sécurité adéquates.
• Exemple 2 : Accès aux ressources
  Si une entreprise stocke des données dans des centres de données externes, le DPO doit avoir accès à ces installations ou aux rapports de sécurité pour s’assurer que les données sont protégées correctement.
• Exemple 3 : Autres tâches du DPO
  Un DPO peut également être responsable de la gestion de la sécurité informatique dans une entreprise. Toutefois, si ces responsabilités entrent en conflit avec ses obligations de contrôle en matière de protection des données (comme l’audit des politiques de sécurité), l’organisation doit réévaluer son rôle pour éviter tout conflit d’intérêts.