Dans son rôle de conseiller au niveau de la protection des données au sein d'une organisation, le délégué à la protection des données (ou DPO) est dans un certain sens le gardien des données à caractère personnel des citoyens sur le terrain. Ce rôle est donc essentiel pour tendre vers une société où la vie privée est une réalité pour tous.

Le DPO est également un allié de l'APD. Pour l'APD, il est donc extrêmement important de soutenir le DPO dans sa mission, par exemple en mettant des instruments pratiques à sa disposition. En 2020, l'APD a consacré beaucoup de temps et a déployé des efforts considérables pour réaliser cet objectif.  


Boîte à outils

Une des priorités de l'APD est d'assister et de coacher les DPO. Un DPO doit assumer des tâches très diverses. Pour les petites organisations, il n'est certainement pas évident de mettre en pratique les obligations telles que décrites dans le Règlement général sur la protection des données. C'est pourquoi l'APD propose des documents et des "outils" afin d'aider les DPO mais aussi les responsables du traitement et les sous-traitants dans la mise en œuvre des obligations du RGPD. Le principe de responsabilité reste également important : les responsables du traitement et les sous-traitants doivent réaliser leurs traitements de données à caractère personnel en conformité avec le RGPD et doivent pouvoir le prouver. Les documents et les outils de l'APD peuvent les y aider.

Checklist et demande d’avis DPO

Il est important que le DPO émette un avis complet quant aux traitements de données à caractère personnel. Le document "demande d'avis du DPO" aide les organisations à communiquer au DPO des informations aussi complètes que possible au sujet d'un traitement. Ainsi, le DPO dispose de toutes les informations utiles afin de rendre le meilleur avis possible. Il peut en outre s'agir d'un moyen d'améliorer la coopération entre le DPO et l'organisation proprement dite. Le DPO peut lui-même utiliser la ‘checklist DPO’ pour émettre l'avis. Il n'omet ainsi aucun aspect du RGPD.

Présentation des principes du DPO

Une mission importante du DPO est d'informer toute personne au sein de l'organisation dans laquelle il est engagé quant aux obligations du RGPD. Donner des sessions d'information et organiser des actions de sensibilisation sont des missions indispensables dans l'ensemble des tâches du DPO. Le DPO peut utiliser la présentation sur les principes afin d'informer l'organisation et les collaborateurs quant aux principes du RGPD. Cette présentation contient un puzzle afin d'augmenter l'interaction avec les collaborateurs et accroître leur curiosité.

Les 10 règles de base concernant le délégué à la protection des données

L'expérience pratique de l'APD a permis de dégager 10 règles de base au sujet du DPO. Ces 10 règles de base ne portent pas préjudice aux articles 37 à 39 inclus du RGPD ni aux directives du Comité européen de la protection des données. Ces règles de base servent à soutenir les responsables du traitement et les sous-traitants dans l'accomplissement de la fonction de DPO.

DPO Connect

Fin 2020, la CE a sélectionné le projet DPO Connect pour un financement via les moyens de son programme Droits, Égalité, Citoyenneté pour les années 2020-2024. Le projet en question développera dès 2021 une plateforme de coopération pour les DPO sous la direction de l'APD et en collaboration avec les partenaires DPO-pro et la VUB.


Un point d’attention dans les dossiers de contrôle

De par son rôle essentiel, le DPO est également un important point d’attention pour le Service d’Inspection et la Chambre Contentieuse.

Ainsi, le Service d’Inspection pose systématiquement lors de ses enquêtes diverses questions, comme par exemple : est-ce que l’organisation dispose d’un DPO, si celui-ci a été impliqué lors du développement du traitement analysé, ou encore quelle est sa position au sein de l’organisation.

La Chambre Contentieuse a pu, au cours de ses décisions 2020, également éclaircir des aspects du concept de DPO, notamment en se prononçant sur les compétences nécessaires à la fonction (décision 15/2020) et l’importance de son indépendance au sein d’une organisation (décision 18/2020).

Dans sa décision 18/2020 du 28 avril 2020, la Chambre Contentieuse a en effet constaté, après une enquête préliminaire du Service d’Inspection, un conflit d’intérêt dans le chef d’un DPO, car celui-ci était également responsable de la gestion de la conformité et des risques et de l’audit interne pour son entreprise. Il ne pouvait donc pas donner son avis en toute impartialité sur des traitements de données pour lesquels il avait une responsabilité finale. Cette décision a suscité de nombreuses réactions et interrogations, en Belgique comme à l'étranger, concernant la possibilité de cumul des tâches de DPO avec d'autres fonctions au sein d'une organisation.