|
Résumé :
|
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (GDPR) a introduit le concept de « Délégué à la protection des Données » (DPO). Avant l’adoption du GDPR, la Belgique disposait déjà d’une réglementation relative à la protection de la vie privée avec la loi du 8 décembre 1992 modifiée en 1998 pour transposer en droit belge la Directive de 1995. Dans le Rapport au Roi précédant l’Arrêté royal du 13 février 2001, il a été évoqué la possibilité – comme le permettait la Directive – d’instaurer la fonction de « délégué à la protection des données », possibilité rejetée par les auteurs dudit Arrêté royal. La Belgique a donc continué à vivre avec la fonction informelle de « Privacy Officer » considérée comme une Best Practice mais ne disposant d’aucun statut particulier, donc aucun positionnement hiérarchique suggéré, aucune protection contre des sanctions quelconques ni missions clairement définies. L’un des points saillants du GDPR a été d’instaurer un nouveau paradigme reposant sur l’introduction d’un rôle clé, celui joué par un nouvel intervenant qu’est le DPO. L’Autorité de Protection des données (APD) le considère comme la grande nouveauté du GDPR, chargé du pilotage de la mise en conformité des entités qui le désignent. La CNIL y voit le « Chef d’orchestre de la conformité en matière de protection des données au sein de son organisme ». Il en ressort clairement que le rôle du DPO n’est pas d’être un exécutant mais bien un contrôleur. L’importance de cette fonction fait qu’elle est obligatoire dans certains cas et vivement recommandée dans d’autres. Les Lignes Directrices émises par le Groupe 29 dès avant l’entrée en vigueur du GDPR précisent les règles d’interprétation quant aux critères applicables. Afin de démontrer les exigences de la mission de DPO, la présente contribution abordera tout d’abord les moyens d’action et le statut du DPO en insistant sur les concepts d’indépendance et d’absence de conflits d’intérêts à analyser au cas par cas. Nous examinerons aussi la responsabilité du respect du GDPR au sein de l’entité. Repose-t-elle sur les épaules du DPO ? Par ailleurs, le DPO est-il protégé au niveau de sa fonction lorsqu’il exerce ses missions ou pourrait-il subir des sanctions ? Par la suite, nous examinerons les missions du DPO et le rôle qu’il exerce, c’est-àdire le plus souvent un rôle de contrôleur de deuxième ligne de défense. La question du choix du DPO sous l’angle des critères positifs et des critères négatifs sera aussi évoquée. Pour finir, nous exposerons notre vision de l’évolution et des perspectives de la fonction de DPO, ainsi que les principaux enseignements de l’enquête menée par l’European Data Protection Board sur la fonction en question. (extrait de Bulletin des assurances, dossier 28, p.97)
|
