Le Délégué à la Protection des Données doit être une personne compétente et ne doit pas avoir de conflits d’intérêts. La personne peut être interne ou externe à l’entreprise, du moment qu’elle est impliquée et réalise ses obligations.

Si le responsable de traitement de données personnelles nomme, par souhait ou par obligation[1], un Délégué à la Protection des Données (DPD), le RGPD demande que cette personne soit « désigné[e] sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection ». Le niveau de compétences de cette personne devrait, par ailleurs, être proportionnel à la quantité et la sensibilité des données traitées.

« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39. »

— RGPD, article 37-7, désignation du délégué à la protection des données

La personne nommée Délégué à la Protection des Données peut avoir, en plus de son rôle de DPD, un autre rôle au sein de l’entreprise, mais le RGPD demande que les activités parallèles « n’entraînent pas de conflit d’intérêts ». Un directeur de l’entreprise qui interviendrait dans la définition des finalités ou des moyens d’un traitement ne pourrait ainsi, par exemple, pas avoir ce rôle.

« Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »

— RGPD, article 37-7, désignation du délégué à la protection des données

Le Délégué à la Protection des Données n’a pas l’obligation d’être un salarié de l’entreprise. Il peut très bien être externe à l’entreprise, du moment qu’il est suffisamment impliqué et qu’il est en mesure de réaliser ses missions[2].

Le fait de nommer un Délégué à la Protection des Données qui ne présentent pas les qualités requises peut être sanctionnée par l’autorité de contrôle. De nombreuses entreprises ont d’ailleurs déjà été rappelés à l’ordre, notamment par l’autorité luxembourgeoise, qui a réalisé de nombreux contrôles sur ce thème. Par exemple :

  • une entreprise a été rappelée à l’ordre, car son Délégué à la Protection des Données avait également les rôles de « Responsable de la conformité » et de « Directeur des signalements sur le blanchiment d’argent »[3] ;
  • une entreprise a été sanctionnée, car son Délégué à la Protection des Données intervenait uniquement de façon ponctuelle et ne s’assurait pas du respect de la règlementation[4] ;

Notes et références

  1. Un Délégué à la Protection des Données doit être obligatoirement nommé uniquement dans certains cas (source : RGPD, article 37-1). Voir « Faut-il obligatoirement nommer un Délégué à la Protection des Données ? ».
  2. Un Délégué à la Protection des Données intervient dans toutes les phases de la réalisation d’un traitement de données personnelles. Ses missions précises sont détaillées dans l’article « Qu’est ce qu’un Délégué à la Protection des Données et quelles sont ses missions ? ».
  3. Une entreprise a été rappelée à l’ordre par l’autorité luxembourgeoise, car son DPD avait également les rôles de « Responsable de la conformité » et de « Directeur des signalements sur le blanchiment d’argent » (source : CNPD, 37FR/2021, 13 octobre 2021). Voir « Une société rappelée à l’ordre pour le conflit d’intérêts de son Délégué à la Protection des Données ».
  4. Une entreprise a été rappelée à l’ordre par l’autorité luxembourgeoise, car son Délégué à la Protection des Données intervenait uniquement de façon ponctuelle et ne s’assurait pas du respect de la règlementation (source : CNPD, 41FR/2021, 27 octobre 2021). Voir « Une société sanctionnée car son Délégué à la Protection des Données n’était pas en mesure de contrôler le respect du RGPD ».