En cas de défaillance du Data Protection Officer ou DPO, l’Autorité de protection des données (APD) pointe clairement la responsabilité de la direction de l’entreprise. C’est ce qui ressort d’une décision récente de sa Chambre contentieuse.
La Chambre contentieuse de l’APD rappelle que le « responsable du traitement doit prendre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD »1.
C’est la direction de l’entreprise qui est responsable du traitement au sens du RGPD. Afin que le délégué à la protection des données (ou DPO) puisse efficacement exercer sa mission, elle est légalement tenue de lui fournir les ressources adéquates en fonction de la nature des traitements de données effectués et des risques associés. Et ce, dans le but de faciliter et de soutenir le rôle du DPO au sein de l’organisme. À défaut, elle engage sa propre responsabilité et non celle de son DPO, qui n’aurait pas été en mesure d’exercer correctement et efficacement sa mission.
7 recommandations… pour éviter la Chambre contentieuse
Pour respecter correctement ses obligations, le responsable de traitement − en l’occurrence la direction de l’entreprise − doit veiller à :
- associer le DPO ou, le cas échéant, son équipe, à toutes les questions relatives à la protection des données ;
- valoriser la fonction du DPO et la faire reconnaître au plus haut niveau de l’entreprise ;
- allouer le temps adéquat pour que le DPO puisse s’acquitter efficacement de ses tâches ;
- communiquer sur la désignation du DPO à l’ensemble du personnel ;
- mettre à disposition des ressources financières (y compris un budget pour des actions de sensibilisation ou le recrutement d’une équipe) et des infrastructures;
- donner accès à tous les documents impliquant le traitement de données personnelles, en ce compris les contrats avec des partenaires et sous-traitants;
- permettre au DPO de suivre une formation continue pour maintenir ses connaissances.
Il est évident que si le DPO commet une faute professionnelle, il devra en assumer les conséquences dans le cadre de son contrat de travail. Mais c’est la direction qui assume toute la responsabilité en cas de non-conformité au RGPD ainsi que des manquements liés à cette non-conformité.
Lire plus d'articles sur: