Permettre au délégué d’exercer ses missions en toute indépendance
Le RGPD exige que l'organisation aide son délégué en lui fournissant l'accès aux données à caractère personnel et aux opérations de traitement ainsi qu'en mettant à sa disposition les ressources nécessaires pour exercer ses missions, et en lui permettant d’entretenir ses connaissances spécialisées.
Plus les traitements sont complexes et/ou sensibles, plus il convient d'offrir des ressources au délégué. À cet égard, il convient notamment de prévoir ce qui suit :
- Soutien actif de la fonction du délégué par le management supérieur (par ex. au niveau de la direction) ;
- Temps suffisant pour le délégué afin de remplir ses missions ;
- Soutien suffisant en termes de moyens financiers, d'infrastructure (site, installations, équipement) et, si nécessaire, de personnel ;
- Communication officielle sur la désignation du délégué à l'ensemble des collaborateurs ;
- L'accès requis aux autres services au sein de l'organisation de sorte que le délégué de reçoive de ces autres départements, le soutien, la contribution et les informations indispensables à l’exercice complet de ses missions.
Le délégué doit pouvoir exercer sa fonction en toute indépendance. Le RGPD reprend différentes garanties pour que cette exigence soit une réalité sur le terrain.
- Le délégué ne reçoit aucune instructions sur la manière d'exécuter ses missions en tant que délégué ;
- Le délégué ne peut pas être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions ;
- Il ne peut y avoir de conflit d'intérêts entre les missions de délégué et les éventuelles autres missions ou fonctions du délégué.
Questions
Le délégué à la protection des données ne peut pas être licencié pour des motifs liés à l’exercice de sa fonction de délégué. Ceci ne signifie pas que le délégué soit « intouchable ». Il peut être licencié dans le respect des dispositions légales nationales applicables en droit des contrats, en droit du travail ou de droit pénal par exemple. Il pourrait être mis fin à la fonction du délégué pour des motifs légitimes, en cas de vol, harcèlement ou faute grave similaire). Mais il ne peut y être mis fin en raison d’un conseil qu’il aurait donné en matière de protection des données, en raison de la détection et du signalement d’un manquement du responsable de traitement ou du sous-traitant à l’une de leurs obligations en matière de protection des données ou de sa coopération avec l’autorité de contrôle par exemple.
Le délégué ne peut pas non plus être pénalisé en raison de l’exercice de sa fonction. Il ne peut par exemple être pénalisé dans son parcours de carrière dans l’entreprise pour des motifs liés à l’exercice de sa fonction, voir son avancement retardé ou se voir refuser des avantages que d’autres employés reçoivent. La simple menace de telles sanctions suffit sans qu’il soit besoin qu’elles soient effectivement mises en œuvre.
Non. Il peut exercer sa fonction de délégué en complément d’autres activités pour l’organisme (en interne) ou pour d’autres clients par exemple (en externe). Il ne peut toutefois être sujet à un conflit d’intérêt en raison de ce cumul. Pour plus de détails voy. la recommandation 04/2017.