Qui désigner comme délégué ?

Cumul de fonctions dans le chef du délégué : une stricte indépendance et une absence totale de conflit d’intérêt sont de rigueur.


Quant au profil du délégué, il ou elle aura des connaissances spécialisées du droit et des pratiques en matière de protection des données ainsi qu’une capacité à accomplir les missions visées à l’article 39, ce qui dépasse la seule mise en œuvre d’une sécurité adéquate et les obligations relatives à la sécurité. De manière générale, son niveau de connaissances spécialisées doit être déterminé en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données traitées. Elle sera donc adaptée à la sensibilité, la complexité et le volume de données traitées, si les traitements impliquent des transferts réguliers ou occasionnels hors des frontières de l’Union etc. sans qu’un diplôme spécifique ne soit requis. Outre un niveau d’expertise en protection des données, la connaissance du secteur d’activité et de l’organisation du responsable du traitement ou du sous-traitant est essentielle.

Bien que le délégué puisse avoir d'autres fonctions, il ne peut se voir conférer d'autres missions et responsabilités que si celles-ci n'engendrent pas de conflit d'intérêt. Cela implique notamment que le délégué ne peut occuper une fonction au sein de l’organisme qui le conduit à déterminer les finalités et les moyens du traitement de données à caractère personnel. En règle générale, les fonctions/positions conflictuelles au sein d’une entreprise peuvent comprendre des postes de direction, mais peuvent également comprendre des fonctions se situant à un niveau inférieur de la structure organisationnelle. L’APD recommande aux responsables du traitement et aux sous-traitants concernés de documenter leur choix ainsi que la fonction de délégué. Les actions entreprises et les documents établis dans ce contexte devront par ailleurs être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

l’Autorité est régulièrement interrogée pour savoir si le "conseiller en sécurité", que certaines organisations doivent désigner, peut devenir le délégué à la protection des données. Le RGPD ne l'interdit en principe pas. Le responsable du traitement et le sous-traitant, qui souhaitent ou doivent désigner un délégué, doivent examiner la possibilité de cumul avec une autre fonction ou le passage d'une fonction à l'autre. Pour les accompagner dans cette analyse et dans le choix d'un délégué en conformité avec le RGPD, l’Autorité de protection des données a publié une recommandation.

Les coordonnées du délégué doivent être communiquées à l’autorité de contrôle.

Questions

Non. Aux termes du RGPD, l’autorité de protection des données n’a pas reçu la compétence de valider le choix du délégué à la protection des données par le responsable du traitement ou le sous-traitant. Le RGPD prévoit uniquement la communication des coordonnées du délégué à l'autorité de contrôle (article 37.7). Cette communication des coordonnées n’est en aucune façon à considérer comme une forme de demande d’accord ou de validation de l'autorité de contrôle sur cette désignation. Une telle approche serait contraire au principe de responsabilité.

Le RGPD permet les 2. Le délégué à la protection des données peut être un employé du responsable de traitement ou du sous-traitant concerné. Ces derniers peuvent également faire appel à un délégué externe via un contrat de service.  Dans ce dernier cas, un même délégué pourra travailler pour plusieurs entreprises ou autorités et organismes publics pour autant bien sûr, qu’il ait suffisamment de temps à consacrer à chacun de ses « clients » et que cela n’entraîne pas de conflit d’intérêt dans son chef.

Le RGPD indique que le délégué est désigné sur la base de ses qualités professionnelles, et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39. Aucun diplôme défini ni certification particulière ne sont requis.

Non. Cependant pour lui permettre d’effectuer correctement sa mission et de concrétiser l’exigence d’indépendance,  une certaine stabilité est souhaitable.

Non. Il n'est pas possible d'établir une liste exhaustive des incompatibilités. Le fait que certaines fonctions soient compatibles ou non dépend en définitive de la situation concrète.

Cela présente l'avantage de pouvoir interpréter les différents rôles et tâches au sein de chaque entité de manière flexible – dans les limites fixées par le RGPD. Le Groupe de travail Article 29 a rédigé des lignes directrices relatives à la désignation du délégué à la protection des données dans lesquelles il explique les conditions liées à l'indépendance ainsi qu'à l'interdiction de conflits d'intérêts.

En ce qui concerne spécifiquement le cumul du rôle de délégué à la protection des données avec d'autres fonctions, dont celle de conseiller en sécurité, la Commission vie privée à laquelle a succédé l’APD a émis la recommandation n° 04/2017.

L'APD recommande aux responsables du traitement et aux sous-traitants de documenter leur analyse et leur choix final.

Il convient d’anticiper l’absence d’un délégué en mettant en place une procédure en cas d'absence de celui-ci, laquelle peut en pratique, être de courte ou de longue durée ainsi que planifiée ou totalement imprévue. Il incombe  en effet au responsable de traitement /sous-traitant concernés de garantir la continuité de leurs obligations conformément aux RGPD et, dans le respect du principe de responsabilité, de pouvoir en apporter la démonstration à l'Autorité de protection des données (APD).

Les modalités concrètes de la gestion de cette absence et sa formalisation (note de service, accord, ...) relèvent du responsable de traitement/sous-traitant concernés, dans le respect des exigences liées à l'exercice de la fonction de délégué. La procédure devrait être régulièrement évaluée et mise à jour.

Sans pouvoir entrer dans la multiplicité des cas de figure qui pourraient se présenter, les principes ci-dessous doivent servir de guide:

  • En toute hypothèse, l'absence du délégué ne diminue en rien les obligations qui pèsent sur le responsable de traitement/sous-traitant concerné. Pour faire court, il faut que cela fonctionne: il faut dès lors notamment que les personnes concernées reçoivent une réponse à leurs questions, à leurs demandes d’exercice de leurs droits dans les délais impartis par le RGPD. De la même manière, les contacts avec l’APD doivent être garantis. L’objectif premier est que la fonction de délégué soit garantie. A cet effet, en l’absence du délégué, la fonction doit être assurée par une personne qui dispose des qualifications et du statut requis par le RGPD ou qui s'en rapprochent le plus, pour permettre précisément la continuité effective de la fonction.
  • Les modalités concrètes de la gestion de l’absence du délégué tiendront compte de paramètres tels que : la durée de l'absence, le type d'actes posés par le délégué et les délais applicables ou prévus, le degré de risque des traitements opérés par le responsable de traitement /sous-traitant concerné, la taille de la structure du responsable de traitement /sous-traitant, l'existence au sein de la structure d'autres délégués et tout autre paramètre contextuel pertinent etc. Il pourra en résulter soit une simple gestion de l’absence pour garantir l’exercice de la fonction par d’autres (en interne ou en faisant temporairement appel aux services d’un délégué externe par exemple), soit en un nécessaire remplacement du délégué, tout particulièrement en cas d’absence de longue durée.
  • Pendant l’absence du délégué, les règles relatives au respect de la confidentialité et de la protection des données  sur le lieu de travail sont d’application. A cet égard, l’existence d’une adresse de contact fonctionnelle (et non nominative) est un atout.
  • Pour rappel, les coordonnées du délégué doivent être communiquées à l’autorité de contrôle. A l’égard des personnes concernées, une adresse fonctionnelle non nominative peut être communiquée. A l’égard de l’autorité de contrôle, vous aurez lu dans le formulaire de communication des coordonnées du délégué désormais disponible sur le site de l’APD que les noms et prénoms du délégué sont à communiquer ainsi qu’une adresse de contact.

Des modalités concrètes de la gestion de l’absence dépendront les formalités à accomplir ou non auprès de l’APD. Si l’absence du délégué est gérée sans désignation d’un nouveau délégué et que l’adresse de contact communiquée à l’APD permet toujours de contacter la personne qui opère le suivi en l’absence du délégué, aucune nouvelle notification ne devra avoir lieu du fait de cette absence.

Si par contre ce n’est pas le cas ou si vous parvenez à la conclusion que votre délégué doit être remplacé par un nouveau délégué (par exemple compte tenu d’une absence de longue durée),  ce remplacement doit être notifié à l’APD. La case « Veuillez cocher cette case si la présente communication concerne une modification d'une précédente » doit alors être cochée.

Compte tenu de l’obligation pour les responsables de traitement et les sous-traitants de communiquer à l’autorité de contrôle les coordonnées de leur délégué, l'Autorité dispose d’une liste de délégués à la protection des données. Cette liste n’est pas destinée au public mais bien à permettre à l’autorité de contrôle de contacter le délégué dans l’exercice de ses missions, de contrôle notamment.