Obligation de nommer un Délégué à la protection des données

Obligation de nommer un Délégué à la protection des données

APDP | 23 janvier 2025

Obligatoire dans certains organismes et souvent recommandé dans d’autres, le Délégué à la protection des données (DPD) facilite le respect de la législation en matière de protection des données et agit à la fois comme l’interlocuteur privilégié pour toutes les questions relatives aux données personnelles, qu’elles soient internes ou bien qu’elles émanent d’une personne concernée, et comme le correspondant de l’Autorité de protection.

L’article 29 de la Loi prévoit qu’à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles, la désignation d’un DPD est obligatoire dans les cas suivants :

• le traitement de données est effectué par une personne morale de droit public ou une personne morale de droit privé investie d’une mission d’intérêt général ou concessionnaire de service public ;
• les activités de base du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

Exemple : le sous-traitant fournit des services d’analyse de sites Internet qui incluent le suivi de l’activité des Internautes. Lorsqu’il fournit ces services à un grand nombre de clients il devra nommer un DPD, alors que ses clients n’auront pas nécessairement à le faire

• les activités de base du sous-traitant consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales ou à des infractions.

Exemple : traitement des données de personnes physiques pour le compte de plusieurs compagnies d’assurance, dont des données de santé

 

 

Quelles sont les missions du Délégué à la protection des données ?

Les missions du Délégué à la protection des données sont au nombre de 5 :

• informer et conseiller l’organisme ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la législation en vigueur en Principauté ;
• contrôler le respect de la législation en matière de protection des données personnelles ainsi que les règles internes de l’organisme en matière de protection des données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant  ;
• dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données personnelles ;
• coopérer avec l’Autorité de protection et être son correspondant sur les questions relatives au traitement ;
• présenter à l’Autorité de protection les demandes d’avis lorsqu’elles portent sur les traitements suivants :
  • les traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
  • les traitements mis en œuvre par les autorités administratives et judiciaires, agissant dans le cadre de leurs prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

 

Quelles sont les qualifications requises pour être nommé Délégué à la protection des données ?

Le Délégué à la protection des données doit en particulier disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

Il doit également être désigné sur la base de sa capacité à accomplir ses missions. Ce niveau d’expertise doit être proportionné à la sensibilité, à la complexité et au volume des données traitées par l’organisme.

Il est important par ailleurs que le Délégué à la protection des données ait une bonne compréhension des opérations de traitement effectuées par l’organisme, des systèmes d’informations utilisés par ledit organisme et des besoins de celui-ci en matière de protection des données.

L’organisme doit également permettre au Délégué à la protection des données d’entretenir et compléter ses compétences et connaissances (formation continue, participation à des ateliers, …) pendant toute la durée de sa mission.

 

Quelle est la sanction encourue en cas de manquement à l’obligation de nommer un Délégué à la protection des données ?

L’article 53 de la Loi prévoit que le manquement à l’obligation de nommer un Délégué à la protection des données est puni d’une amende administrative ne pouvant excéder 5.000.000 euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.