Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

Article 37
Désignation du délégué à la protection des données

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 37 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 37 keyboard_arrow_up

(97) Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.

Afficher les considérants de la Directive 95/46 liés à l'article 37 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 37 keyboard_arrow_up

(49) considérant que, afin d'éviter des formalités administratives inadéquates, des exonérations ou des simplifications de la notification peuvent être prévues par les États membres pour les traitements de données qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, à condition qu'ils soient conformes à un acte pris par l'État membre qui en précise les limites; que des exonérations ou simplifications peuvent pareillement être prévues par les États membres dès lors qu'une personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées; que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance;

(54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l'autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci; que, à la suite de cet examen préalable, l'autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données; qu'un tel examen peut également être effectué au cours de l'élaboration soit d'une mesure législative du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées;

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Belgique

France

Union Européenne

Comité européen de la protection des données

Designation and Position of Data Protection Officers (16 January 2024) - (english)

In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF) with a view to streamlining enforcement and cooperation among supervisory authorities, consistently with the EDPB 2021-2023 Strategy. A first CEF was conducted in 2021 on the Use of Cloud Services by Public Bodies. For the second CEF, the EDPB selected in September 2022 'the Designation and Position of Data Protection Officers' for its 2023 Coordinated Enforcement Action. Throughout 2023, 25 supervisory authorities (‘SAs’) across the EEA launched coordinated investigations into the role of Data Protection Officers (‘DPOs’). The CEF was implemented at national level in one or several of the following ways: (1) fact-finding exercise, (2) questionnaire to identify if a formal investigation is warranted, and/or (3) commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations. Between November 2022 and February 2023, these supervisory authorities discussed the aims and the means of their actions in the context of the CEF. In this context, the SAs drafted a questionnaire in a neutral way so that it would be possible for either the controller/processor or the DPO to fill it in. While doing this, they ensured that it would be possible for SAs to adjust the questionnaire or to draft their own, based on (or inspired by) the commonly drafted questionnaire.

The present report aggregates the findings of all the supervisory authorities participating in the CEF. Particular attention is paid to challenges identified by supervisory authorities and/or respondents during the CEF action. These include issues such as insufficient resources allocated to DPOs, insufficient expert knowledge and training of DPOs and risks of conflicts of interests. This report provides, among other things, a list of recommendations that organisations, DPOs and/or SAs may take into account to address the challenges identified, without prejudice to the provisions of the GDPR/EUDPR and the powers of supervisory authorities

Link

Retour au sommaire

Groupe 29

Lignes directrices concernant les délégués à la protection des données (DPD ou DPO) - wp243rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD), qui devrait prendre effet le 25 mai 2018, fournit un cadre de conformité modernisé, fondé sur la responsabilité, en matière de protection des données en Europe. Les délégués à la protection des données (DPD) seront au coeur de ce nouveau cadre juridique pour de nombreux organismes, pour faciliter la conformité avec les dispositions du RGPD.

En vertu du RGPD, certains responsables du traitement et sous-traitants ont l’obligation de désigner un DPD. Cette obligation s’appliquera à l’ensemble des autorités et organismes publics (indépendamment de la nature des données qu’ils traitent), ainsi qu’à d’autres organismes dont les activités de base consistent en un suivi systématique à grande échelle de personnes ou en un traitement à grande échelle de catégories particulières de données à caractère personnel.

Même lorsque le RGPD n’exige pas spécifiquement la désignation d’un DPD, les organismes peuvent parfois juger utile d’en désigner un sur une base volontaire. Le groupe de travail «Article 29» sur la protection des données («G29») encourage ces efforts déployés sur une base volontaire.

La notion de DPD n’est pas nouvelle. Bien que la directive 95/46/CE ne contraigne aucun organisme à désigner un DPD, la pratique consistant à désigner un DPD s’est néanmoins installée dans plusieurs États membres au fil des ans.

Avant l’adoption du RGPD, le G29 avait fait valoir que le DPD était l’une des pierres angulaires du régime de responsabilité et que la désignation d’un DPD pouvait faciliter le respect des règles et, en outre, devenir un avantage concurrentiel pour les entreprises. Outre qu’ils favorisent le respect des règles grâce à la mise en oeuvre d’outils de responsabilité (comme la facilitation d’analyses d’impact relatives à la protection des données et la facilitation ou la réalisation d’audits relatifs à la protection des données), les DPD agissent comme intermédiaires entre les acteurs concernés (par exemple, les autorités de contrôle, les personnes concernées et les entités économiques au sein d’un organisme).

Les DPD ne sont pas personnellement responsables en cas de non-respect du RGPD. Ce dernier établit clairement que c’est le responsable du traitement ou le sous-traitant qui est tenu de s’assurer et d’être en mesure de démontrer que le traitement est effectué conformément à ses dispositions (article 24, paragraphe 1). Le respect de la protection des données relève de la responsabilité du responsable du traitement ou du sous-traitant.

Le responsable du traitement ou le sous-traitant jouent également un rôle essentiel pour permettre l’exécution efficace des missions du DPD. La désignation d’un DPD est une première étape, mais celui-ci doit aussi disposer d’une autonomie et de ressources suffisantes pour s’acquitter efficacement de ses missions.

Le RGPD reconnaît le DPD en tant qu’acteur clé dans le nouveau système de gouvernance des données et établit les conditions relatives à sa désignation, à sa fonction et à ses missions. L’objectif des présentes lignes directrices est de préciser les dispositions pertinentes du RGPD afin d’aider les responsables du traitement et les sous-traitants à respecter la législation, mais aussi d’assister les DPD dans leur rôle. Les présentes lignes directrices formulent également des recommandations en matière de bonnes pratiques, en s’appuyant sur l’expérience acquise dans certains États membres de l’Union. Le G29 assurera le suivi de la mise en oeuvre des présentes lignes directrices et pourrait les compléter avec des précisions supplémentaires si nécessaire.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative à la désignation d’un DPO conformément au RGPD - n° 04/2017 (24 mai 2017)

1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

2. Dans le chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, la section IV est entièrement consacrée au délégué à la protection des données. Plus spécifiquement, l’article 37 détaille les cas dans lesquels la désignation du délégué à la protection des données est obligatoire ainsi que les modalités de cette désignation ; l’article 38 encadre la fonction même de délégué à la protection des données (statut) et l’article 39 décrit quelles sont ses missions. Quelques autres articles du RGPD viennent compléter l’encadrement de cette fonction nouvelle.

3. Immédiatement après l’adoption du RGPD, les autorités de protection des données ont identifié la question du délégué à la protection des données comme prioritaire. Elles ont incité les responsables de traitement et sous-traitants à vérifier rapidement si oui ou non ils sont juridiquement tenus de désigner un délégué à la protection des données en application de l’article 37.1. du RGPD ainsi qu’à procéder aux engagements ou à programmer les formations nécessaires. Réunies au sein du Groupe de l’Article 29, elles ont également encouragé la désignation volontaire de tels délégués et proposé des lignes directrices d’interprétation commune des articles pertinents du RGPD ainsi que formulé un certain nombre de recommandations (best practice).

4. Outre les questions récurrentes auxquelles elle a déjà répondu par la voie de FAQ sur son site Internet (et pour la réponse auxquelles elle s’appuie sur le travail d’interprétation commune du groupe de l’Article 29 déjà cité), la CPVP reçoit régulièrement la question de savoir si le « conseiller en sécurité » que doivent désigner certaines institutions, organismes et autres entités en application de différentes règlementations belges peut devenir le délégué à la protection des données - exigé pour toute autorité et organisme publics notamment (37.1. du RGPD). Peut-il exercer cumulativement les fonctions de conseiller en sécurité et de délégué à la protection des données et, le cas échéant, à quelles conditions ?

5. La présente recommandation a pour objectif de guider les responsable de traitement et les sous-traitants dans leur analyse et leur choix d’un délégué à la protection des données dans le respect du RGPD (voy. le point III). Compte tenu des nombreuses questions que la CPVP reçoit quant au cumul de cette fonction avec celle de « conseiller en sécurité », une attention particulière, mais non exclusive, sera accordée à cet aspect dans la présente recommandation.

Lien

Recommandation relative au délégué à la protection des données dans le cadre de l’application du Règlement Général sur la Protection des Données - n°04/2016 (19 décembre 2016)

Lien


France

La CNIL

Guide pratique: délégués à la protection des données

Lien

Référentiel: Certification des compétences du DPO (20 septembre 2018)

Lien

Référentiel: Certification des organismes de certification des compétences du DPO (20 septembre 2018)

Lien

Retour au sommaire

Sommaire

Union Européenne

Union Européenne

Jurisprudence de la CJUE

C-92/09 ; C-93/09 (9 novembre 2010) - Volker und Markus Schecke et Eifert

1)      Les articles 42, point 8 ter, et 44 bis du règlement (CE) n° 1290/2005 du Conseil, du 21 juin 2005, relatif au financement de la politique agricole commune, tel que modifié par le règlement (CE) n° 1437/2007 du Conseil, du 26 novembre 2007, ainsi que le règlement (CE) n° 259/2008 de la Commission, du 18 mars 2008, portant modalités d’application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (Feader), sont invalides dans la mesure où, s’agissant des personnes physiques bénéficiaires d’aides du FEAGA et du Feader, ces dispositions imposent la publication de données à caractère personnel relatives à tout bénéficiaire, sans opérer de distinction selon des critères pertinents, tels que les périodes pendant lesquelles elles ont perçu de telles aides, la fréquence ou encore le type et l’importance de celles-ci.

2)      L’invalidité des dispositions du droit de l’Union mentionnées au point 1 de ce dispositif ne permet pas de remettre en cause les effets de la publication des listes des bénéficiaires d’aides du FEAGA et du Feader effectuée par les autorités nationales, sur le fondement desdites dispositions, pendant la période antérieure à la date du prononcé du présent arrêt.

3)      L’article 18, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne soumet pas le détaché à la protection des données à caractère personnel à une obligation de procéder à la tenue du registre prévue par cette disposition préalablement à la mise en œuvre d’un traitement de données à caractère personnel, tel que celui résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.

4)      L’article 20 de la directive 95/46 doit être interprété en ce sens qu’il ne fait pas obligation aux États membres de soumettre aux contrôles préalables prévus par cette disposition la publication des informations résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Le GDPR

Le moins que l’on puisse dire, c’est que les États membres ont eu du mal à s’accorder sur les hypothèses dans lesquelles la désignation d’un délégué à la protection des données s’imposait.

Initialement, l’article 37 de la proposition de Règlement déterminait les conditions dans lesquelles un délégué à la protection des données devait être désigné tant pour le secteur public, que pour le secteur privé, en fonction soit du nombre d’employés soit du fait que le traitement supposait un suivi régulier et systématique des personnes concernées, du fait de sa nature, de la portée ou de l’objet de ses finalités.

En lieu et place du paragraphe 1er de l’article 37, la seconde proposition de Règlement énonçait de manière lapidaire que le responsable peut ou doit désigner un délégué à la protection des données si le droit de l’Union ou le droit d’un État membre l’exige…

La version finale du Règlement a finalement réintroduit trois cas dans lesquels la désignation d’un délégué est obligatoire :

- lorsque le traitement est effectué par une autorité ou un organisme public, à l’exclusion des juridictions agissant dans le cadre de leur compétence judiciaire (art. 37, paragraphe 1, a)) ;

- lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées (art. 37, paragraphe 1, b)) ;

- lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements à grande échelle de données sensibles au sens de l’article 9 du Règlement ou de données relatives à des condamnations et infractions pénales (art. 37, paragraphe 1, c)).

Le Règlement prévoit alors qu’un groupe d’entreprise peut également nommer un délégué unique. La possibilité existe aussi pour les autorités et entités publiques, tenant compte de la structure de leur organisation et de leur taille (§ 3). La notion de groupe d’entreprises doit être entendue « comme une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle » (art. 4, 19)).

Dans tous les cas, le responsable ou le sous-traitant disposent de la faculté de désigner un délégué à la protection des données. Il en va de même des associations ou autres organismes qui représentent des catégories de responsables ou de sous-traitants; ce délégué à la protection des données pourra alors agir pour ces associations ou ces organismes représentant les responsables ou sous-traitants. Le paragraphe 4 précise que le droit de l’Union ou le droit d’un Etat membre peut également exiger une désignation d’un délégué dans d’autres cas que ceux visés au §1er.

Le paragraphe 5 détermine les qualités auxquelles doit répondre le délégué à la protection des données :

- il doit être doté de connaissances spécialisées de la législation et des pratiques en matière de protection des données ;

- être capable d’accomplir les tâches qui lui sont confiées par l'article 39 (dont notamment la sensibilisation des travailleurs à la protection des données, contrôle de la conformité du traitement, correspondance avec l’autorité nationale de contrôle….).

Le délégué peut être un membre du personnel du responsable du traitement ou du sous-traitant ou accomplir ses missions sur la base d'un contrat de service (§ 6).

Le Règlement oblige également le responsable du traitement -ou le cas échéant, le sous-traitant- à publier les coordonnées relatives au délégué et à les communiquer à l’autorité de contrôle (§ 7).

La Directive

La Directive, en son article 18, avait introduit la possibilité pour le responsable du traitement de désigner un détaché à la protection des données à caractère personnel. La désignation du délégué conditionne alors une simplification, voire une dérogation à l’obligation de notification auprès de l’autorité nationale de contrôle.

Le considérant 49 précisait qu'afin d'éviter des formalités administratives inadéquates, des exonérations ou des simplifications de la notification peuvent être prévues dès lors qu'une "personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. La personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance".

Belgique

Le Législateur belge s’est limité à investir le roi d’un pouvoir d’exécution l’autorisant à déterminer les cas dans lesquels le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la loi du 8 décembre 1992, ainsi que de ses mesures d'exécution. A l’heure actuelle, aucune mesure d’exécution n’a été arrêtée. Le rapport au Roi de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel indique à cet égard que l'idée d'instituer un préposé à la protection des données n'a jamais rencontré beaucoup d'écho en Belgique.

France

En droit français, la loi Internet et Libertés a créé le statut de Correspondant Informatique et Libertés chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans par la loi. Son statut et ses fonctions sont fixés par la loi Informatique et Libertés, ainsi que par les articles 42 à 55 du décret n° 2005 1309 du 20 octobre 2005, pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce dernier doit notamment bénéficier des qualifications requises pour exercer ses missions.

Difficultés probables

Le texte final de cette disposition est le fruit d’un compromis. On a clairement voulu éviter une charge administrative et organisationnelle trop lourde pour des petites ou moyennes structures d’entreprise. On a du reste reporté sur les Etats membre la possibilité d’étendre les cas de désignation.

Néanmoins, pour gérer correctement les devoirs issus du Règlement, toute entreprise devra nécessairement désigner un responsable interne qui ne bénéficiera pas d’un statut particulier, ce qui pourra poser difficulté, notamment quant à sa neutralité ou à sa capacité à imposer les mesures nécessaires pour assurer la mise en conformité des traitements.

Les cas de désignations obligatoires devront faire l’objet d’une interprétation du texte qui ne sera pas toujours simple en pratique.

Règlement
1e 2e

Art. 37

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

2. Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner ou, si le droit de l'Union ou le droit d'un État membre l'exige, sont tenus de désigner un délégué à la protection des données.

Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 39.

6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service.

7. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle.

 

 

Proposition 1 close

1. Le responsable du traitement et le sous-traitant désignent systématiquement un délégué à la protection des données lorsque:

a) le traitement est effectué par une autorité ou un organisme publics;

ou b) le traitement est effectué par une entreprise employant 250 personnes ou plus;

ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

2. Dans le cas visé au paragraphe 1, point b), un groupe d'entreprises peut désigner un délégué à la protection des données unique.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme publics, le délégué à la protection des données peut être désigné pour plusieurs de ses entités, compte tenu de la structure organisationnelle de l'autorité ou de l'organisme publics.

4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données.

5. Le responsable du traitement ou le sous-traitant désignent le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l’article 37. Le niveau de connaissances spécialisées requis est déterminé notamment en fonction du traitement des données effectué et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant.

6. Le responsable du traitement ou le sous-traitant veillent à ce que d'éventuelles autres fonctions professionnelles du délégué à la protection des données soient compatibles avec les tâches et fonctions de cette personne en qualité de délégué à la protection des données et n'entraînent pas de conflit d'intérêts.

7. Le responsable du traitement ou le sous-traitant désignent un délégué à la protection des données pour une durée minimale de deux ans. Le mandat du délégué à la protection des données est reconductible. Durant son mandat, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour l'exercice de celles-ci.

8. Le délégué à la protection des données peut être un salarié du responsable du traitement ou du sous-traitant, ou accomplir ses tâches sur la base d'un contrat de service.

9. Le responsable du traitement ou le sous-traitant communiquent le nom et les coordonnées du délégué à la protection des données à l’autorité de contrôle et au public.

10. Les personnes concernées ont le droit de prendre contact avec le délégué à la protection des données au sujet de toutes questions relatives au traitement de données les concernant et de demander à exercer les droits que leur confère le présent règlement.

11. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux activités de base du responsable du traitement ou du sous-traitant, visées au paragraphe 1, point c), ainsi que les critères applicables aux qualités professionnelles du délégué à la protection des données visées au paragraphe 5.

Proposition 2 close

1. Le responsable du traitement ou le sous-traitant peuvent ou doivent, si le droit de l'Union ou le droit d'un État membre l'exigent, désigner un délégué à la protection des données (…).

2. Un groupe d'entreprises peut désigner un délégué à la protection des données unique.

3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

4. (…)

5. Le (…) délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir les tâches énumérées à l'article 37, notamment l'absence de tout conflit d'intérêts. (…)

6. (…)

7. (…) Durant son mandat, sauf motifs graves au regard de la législation de l'État membre concerné justifiant le licenciement d'un employé ou d'un fonctionnaire, le délégué à la protection des données ne peut être démis de ses fonctions que s'il ne remplit plus les conditions requises pour exercer les missions qui lui incombent en vertu de l'article 37.

 8. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou accomplir ses missions sur la base d'un contrat de service.

9. Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'autorité de contrôle

10. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de données les concernant et à l'exercice des droits que leur confère le présent règlement.

11. (…)

Directive close

Art. 18 

(...)

2. Les États membres ne peuvent prévoir de simplification de la notification ou de dérogation à cette obligation que dans les cas et aux conditions suivants:

et/ou

- lorsque le responsable du traitement désigne, conformément au droit national auquel il est soumis, un détaché à la protection des données à caractère personnel chargé notamment:

- d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en application de la présente directive,

- de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l'article 21 paragraphe 2,

et garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte faux droits et libertés des personnes concernées.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 57

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

En application de l'article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi.

Le responsable du traitement et, le cas échéant, son représentant tiennent le registre des activités de traitement dans les conditions prévues à l'article 30 de ce règlement. Ils désignent un délégué à la protection des données dans les conditions prévues par la section 4 du chapitre IV du même règlement.

Ancienne loi
en France
close

Art. 22 (cfr. également les articles 42 à 55 du décret n° 2005 1309 du 20 octobre 2005, pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés).

 

III. - Les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans la présente loi sont dispensés des formalités prévues aux articles 23 et 24, sauf lorsqu'un transfert de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne est envisagé.

La désignation du correspondant est notifiée à la Commission nationale de l'informatique et des libertés. Elle est portée à la connaissance des instances représentatives du personnel.

Le correspondant est une personne bénéficiant des qualifications requises pour exercer ses missions. Il tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande et ne peut faire l'objet d'aucune sanction de la part de l'employeur du fait de l'accomplissement de ses missions. Il peut saisir la Commission nationale de l'informatique et des libertés des difficultés qu'il rencontre dans l'exercice de ses missions.

En cas de non-respect des dispositions de la loi, le responsable du traitement est enjoint par la Commission nationale de l'informatique et des libertés de procéder aux formalités prévues aux articles 23 et 24. En cas de manquement constaté à ses devoirs, le correspondant est déchargé de ses fonctions sur demande, ou après consultation, de la Commission nationale de l'informatique et des libertés.

 

 

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 21

En exécution de l’article 37.4 du Règlement, un organisme privé qui traite des données à caractère personnel pour le compte d ’une autorité publique fédérale ou à qui une autorité publique fédérale a transféré des données à caractère personnel désignent un délégué à la protection des données lorsque le traitement de ces données peut engendrer un risque élevé tel que visé à l’article 35 du Règlement.

En exécution de l’article 35.10 du Règlement, une analyse d’impact spécifique de protection des données est effectuée avant l’activité de traitement, même si une analyse d’impact générale relative à la protection des données a déjà été réalisée dans le cadre de l’adoption de la base légale.

Ancienne loi
en Belgique
close

Art. 17bis

Le Roi détermine, après avis de la Commission de la protection de la vie privée, les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées, et fixe, également sur proposition de la Commission de la protection de la vie privée, des conditions particulières pour garantir les droits et libertés des personnes concernées.

Il peut en particulier déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la présente loi ainsi que de ses mesures d'exécution.

Le Roi détermine par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, le statut du préposé à la protection des données.

 

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK