Il est essentiel de trouver un DPD qualifié, car celui-ci est impliqué dans l’ensemble des aspects du cadre de protection des données d’une organisation et requiert une grande variété de compétences en plus de celles requises par le RGPD, telles qu’une expertise en matière de protection des données et de gestion des risques liés aux données.
En général, il y a deux options à prendre en compte lors du choix d’un DPD. Vous pouvez embaucher une personne à temps plein au sein de votre organisation, ou faire appel à un contractuel externe. Quoi qu’il en soit, il est important de s’appliquer dans le choix d’un DPD, car il sera responsable d’un large éventail d’activités.
C’est pourquoi nous avons préparer cette checklist pour vous aider à comprendre les éléments essentiels lors du choix et de l’embauche d’un délégué à la protection des données pour votre entreprise.
🚀 Passer à L’essentiel lors du choix d’un DPD (basé sur les exigences du RGPD) →
Dans le cadre du RGPD, le délégué à la protection des données (DPD) aide le responsable du traitement ou le sous-traitant à mettre en place, appliquer et piloter une stratégie de protection des données conforme aux exigences légales.
Le DPD doit également avoir des connaissances en matière de gestion des processus informatiques, de sécurité des données et d’autres préoccupations essentielles liées au traitement des données personnelles et sensibles.
Le travail du DPD comporte de nombreuses responsabilités, notamment celle d’être le point de contact entre l’organisation et les agences de surveillance, de sensibiliser les employés aux obligations de conformité et de former le personnel chargé du traitement des données.
En outre, le DPD effectue des audits de sécurité de routine et apporte des recommandations pour encourager le respect des lois et des normes de l’industrie.
L’obligation de désigner un DPD est énoncée à l’article 37 du Règlement général sur la protection des données (RGPD). De manière générale, il s’agit d’une exigence à laquelle doivent se conformer toutes les entreprises pour lesquelles le RGPD s’applique, et qui traitent un nombre important de données personnelles, que ce soit en qualité de responsable du traitement ou de sous-traitant.
Le RGPD exige la *désignation d’un DPD* dans les circonstances suivantes :
👉 Lorsqu’il existe un suivi régulier et systématique des utilisateurs à grande échelle (par exemple, traitement avec des systèmes de vidéosurveillance) ;La désignation d’un DPD dépend non seulement du nombre réel d’employés mais aussi de la nature de l’activité de traitement des données. Si votre organisation n’entre pas dans l’une de ces catégories, vous n’êtes pas tenu de désigner un DPD.
Crédibilité
Expertise juridique
Expertise informatique
Bonne capacité à communiquer clairement
Esprit d’initiative
Leadership
Expertise globale
En vertu du RGPD, votre DPD est tenu de :
✅ être impartial et d’éviter les conflits d’intérêt.
Les DPD ne doivent pas agir en fonction de commissions versées par les prestataires de services, sinon la nature de cette relation relèvera du principe d’un conflit d’intérêt.
C’est important, car cela permet de s’assurer que vous recevez les meilleurs conseils en fonction des besoins de votre entreprise plutôt que des intérêts personnels.
✅ être investi, qu’il fasse partie de votre organisation à plein temps ou en tant que contractant externe.
Le DPD n’a droit qu’à un seul rôle au sein de votre organisation. Par exemple, un DPD qui supervise la sécurité des informations sera en conflit si ses évaluations des risques et ses stratégies de prévention sont évaluées dans le contexte de sa fonction de DPD. Si votre DPD est externe à l’organisation, assurez-vous qu’il a le temps de se consacrer à votre organisation.
🗣 Le RGPD précise que les DPD sont autorisés à effectuer d’autres tâches pour autant que :
ces tâches et fonctions n’entraînent pas de conflits d’intérêt.
En vertu du RGPD, vos DPD sont tenus de :
✅ posséder un niveau de compétence en matière de droit de la protection des données en fonction du type de traitement effectué.
Cela signifie que les DPD doivent être des avocats certifiés et informés de toutes les lois relatives à la confidentialité et des lois connexes dans chaque pays où leur organisation mène des activités ou sous-traite des activités.
🗣 Le RGPD précise :
« une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données » pour aider le responsable du traitement ou le sous-traitant, et être « tenu au secret ou à la confidentialité », et « en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données ».
En vertu du RGPD, votre DPD est tenu de :
✅ fournir des conseils sur les évaluations des risques, les contre-mesures et les analyses des effets de la protection des données ;
✅ disposer d’une expertise pratique solide en matière d’évaluations et de certifications relatives à la confidentialité ;
✅ avoir des certifications relatives aux normes de sécurité de l’information ; et
✅ avoir une connaissance approfondie des meilleures pratiques relatives à la confidentialité, l’évaluation des risques et la prévention.
Ces compétences doivent être fondées sur des audits IS, une infrastructure informatique et une expertise en programmation.
En vertu du RGPD, votre DPD est tenu de :
✅ posséder des compétences en matière de leadership et de gestion de projet afin de pouvoir solliciter, organiser et diriger les ressources nécessaires à leurs responsabilités ;
✅ évaluer de manière critique leurs connaissances pour identifier les lacunes, puis demander une formation dans ces domaines ; et
✅ posséder un large éventail de connaissances en commerce et connaître les secteurs relatifs au responsable du traitement et au sous-traitant afin de s’intégrer parfaitement à la manière dont chaque entreprise développe, commercialise et génère des revenus grâce à ses produits et services.
🗣 Le RGPD précise :
Le responsable du traitement et le sous-traitant soutiennent le DPD en lui fournissant les ressources nécessaires à l’exécution de ces tâches et à l’accès aux données à caractère personnel et aux opérations de traitement, ainsi qu’au maintien de ses connaissances spécialisées.
En vertu du RGPD, votre DPD est tenu de :
✅ être autonome, avoir les connaissances et les capacités nécessaires pour accomplir les tâches qui lui sont confiées sans supervision et être capable de trouver les informations dont ils ont besoin ;
✅ être présent au conseil d’administration et avoir la capacité de communiquer avec des professionnels de l’entreprise qui peuvent ne pas connaître les fonctions de DPD.
🗣 Le RGPD précise :
Le responsable du traitement et le sous-traitant veillent à ce que le DPD ne reçoive aucune instruction concernant l’exercice de ces tâches. Le DPD est lié directement à la direction la plus élevée du responsable du traitement ou du sous-traitant.
En vertu du RGPD, votre DPD est tenu de :
✅ traiter les demandes et les réclamations des personnes concernées en termes clairs, sans jargon juridique ni technique ;
✅ posséder des compétences en matière de formation juridique et de sensibilisation afin de s’assurer que toutes les personnes concernées connaissent leurs droits et obligations, et de contribuer à la formation d’autres personnes pour aider les personnes concernées à formuler des demandes spécifiques.
🗣 Le RGPD précise que les personnes concernées sont autorisées à contacter le DPD :
en ce qui concerne toutes les questions liées au traitement de leurs données personnelles et à l’exercice de leurs droits.
Votre DPD est tenu de :
✅ s’engager avec des sous-traitants et des responsables du traitement de divers cultures et pays ;
✅ gérer différentes façons de penser et d’exercer des activités, et posséder une capacité d’adaptation nécessaire pour orienter ces variations vers une bonne conclusion.
En définitive, la décision de choisir un DPD qualifié possédant ces compétences requises revient à chaque organisation.
Jetez un œil aux autres étapes ici 👉
5 choses à faire dès maintenant pour se conformer au RGPD