27/06/2018

Engager un pro de la protection des données ?

Devez-vous désigner un délégué à la protection des données ?

 

Avec l’instauration du RGPD, le règlement général européen sur la protection des données, une nouvelle fonction a fait son apparition dans les entreprises : le délégué à la protection des données. Mais est-il obligatoire d’en avoir un ? Dans 3 cas, la réponse est oui !

 

Le RGPD est entré en vigueur le 25 mai dernier. Désormais, la collecte des données et leur utilisation par les entreprises et les marques seront fondées sur 6 bases légales :

1. L’intérêt vital de la personne

2. L’intérêt public

3. La nécessité contractuelle

4. Le respect d’obligations légales

5. Le consentement non ambigu de la personne

6. L’intérêt légitime du responsable de traitement

Pour s’assurer que toutes les règles sont respectées, désigner un délégué à la protection des données, interne ou externe, peut être bien utile, voire obligatoire.

 

Pour qui le délégué est-il obligatoire ?

Selon l’article 29 du RGPD, un délégué est obligatoire dans 3 cas : pour les autorités publiques ou organismes publics ; en cas de suivi régulier et systématique à grande échelle des personnes concernées par les données ; en cas de traitement à grande échelle de données particulières (données « sensibles ») ou de données relatives à des infractions ou condamnations. Dans les autres cas, libre à vous d’en désigner un, ou pas.

 

Qui désigner… ou pas

Le profil du parfait délégué à la protection des données ? Posséder une expertise en droit national et européen sur la protection des données et le RGPD est une évidence. Mais aucune formation n’est vraiment requise. Il peut être un employé de l’entreprise, ou un externe.

Attention toutefois : le délégué ne peut pas être en position de conflit d’intérêt ! Ainsi, le règlement stipule que le délégué ne peut être ni le directeur financier, ni le directeur du marketing, ni le directeur des ressources humaines ni le directeur du département IT ! Si c’est le cas, l’entreprise pourrait se voir infliger une amende de 10 millions d’euros ou correspondant à 2 % de son chiffre d’affaires mondial ! Et cela, même si votre entreprise n’était pas obligée de désigner un délégué à la protection des données… ! Un argument qui plaide pour la désignation d’une personne extérieure à la société.