Programmes de protection des données réussis et délégués à la protection de la vie privée/des données personnelles
Un délégué à la protection de la vie privée ou des données (DPD) efficace est nécessaire à la réussite d’un programme de protection de la vie privée ou des données personnelles. Certaines lois sur la protection de la vie privée et des données personnelles imposent à toutes les autorités publiques et aux entreprises privées, dans certaines circonstances, de désigner officiellement un DPD. Même dans les cas où la loi ne l’exige pas, une bonne pratique consiste à confier à un employé la responsabilité de superviser la mise en œuvre du programme de protection de la vie privée et des données personnelles. Il ne s’agit pas nécessairement d’un poste autonome et il n’est pas nécessaire de lui donner un titre officiel. Ce qui est conseillé, c’est d’identifier une personne ayant une connaissance suffisante des bonnes pratiques en matière de protection des données et des opérations de l’organisation et de s’assurer que tous les employés savent qui elle est. Le rôle de cette personne est de diriger, de conseiller et de coordonner l’élaboration et la mise en œuvre de politiques, de procédures et de pratiques qui favorisent les bonnes pratiques de protection des données au sein de l’organisation. Cette personne sera également le point de contact du public ou l’autorité de contrôle en cas de plainte ou de signalement d’une violation des données personnelles.
Communication
La fonction première du DPD est de communiquer. Il doit également posséder un niveau d’expertise suffisant en matière de protection des données et connaître l’organisation. Il doit évaluer ce que l’organisation doit faire pour assurer la conformité avec les lois sur la protection de la vie privée/des données. Ils doivent communiquer cela à l’exécutif de l’organisation. Ils doivent veiller à ce que l’organisation mette en œuvre les directives du dirigeant et lui rendre compte des progrès réalisés par l’organisation. Ils doivent contribuer à garantir que tous les employés reçoivent un niveau de formation à la protection des données proportionnel au type et à la sensibilité des données personnelles avec lesquelles ils travaillent.
Ils sont également l’expert résident en matière de protection des données et le point de contact pour le monde extérieur. Les employés qui ont des questions ou des préoccupations concernant le traitement des données personnelles doivent pouvoir contacter le DPD pour obtenir des conseils. Lorsque des personnes souhaitent formuler des demandes d’accès ou se plaindre du traitement de leurs données personnelles, elles doivent avoir accès aux coordonnées du DPD. Ils sont également le premier point de contact pour notre bureau dans le cas où nous recevrions une plainte concernant leur organisation ou entendrions parler d’une violation.
Sous-traitance
Certaines organisations ont choisi de passer un contrat avec un DPD professionnel ou une entreprise qui fournit des services de DPD. Si cette solution peut s’avérer efficace pour les petites organisations dont le traitement des données et les ressources disponibles sont limités, un DPD interne présente des avantages concrets. Il est important que le DPD connaisse bien les structures, les opérations et les fonds de données de l’organisation. Il est difficile pour un DPD externe d’obtenir cette connaissance. En outre, il est essentiel que la direction et les employés d’une organisation développent une relation solide avec le DPD, basée sur la confiance. Pour qu’un programme de protection des données fonctionne efficacement, le DPD doit avoir accès à des informations confidentielles. Les dirigeants et les employés doivent être à l’aise pour divulguer des informations sensibles et demander des conseils. Ils doivent pouvoir croire que lorsque le DPD leur dit que certaines mesures de protection des données sont nécessaires, elles le sont vraiment. Travailler ensemble au quotidien permet d’entretenir le bon type de relation. L’exécutif doit savoir que la loyauté première du DPD est envers l’organisation, et qu’une relation de travail est le meilleur moyen d’y parvenir. La loi stipule également que si une organisation décide de sous-traiter la fonction de DPD, elle doit être certaine que le DPD est en mesure de lui apporter le soutien dont elle a besoin, au moment où elle en a besoin. N’oubliez pas que tant que le rôle est sous-traité, les responsabilités et obligations en matière de protection des données restent fermement internes.
Indépendance opérationnelle
Certaines lois sur la protection de la vie privée/des données personnelles exigent que le DPD bénéficie d’une indépendance opérationnelle, mais cela n’exclut pas la loyauté envers l’organisation. Le DPD doit disposer de l’expertise et de l’indépendance nécessaires pour mener des enquêtes et des recherches sur les questions de protection des données personnelles et pour donner des conseils d’expert valables et fiables aux dirigeants et aux employés. Personne ne doit limiter sa capacité à remplir ces fonctions. Cela ne signifie pas pour autant qu’il doit avoir l’autorité ultime pour prendre toutes les décisions. Il est juste et approprié que l’exécutif prenne les décisions finales sur des questions telles que les ressources, les changements de pratique et le contenu des déclarations publiques relatives à la protection des données. Le DPD doit être en mesure de conseiller l’exécutif sur la manière dont la loi s’applique et sur les options viables. Le DPD ne doit pas agir comme une taupe au nom de l’autorité de protection des données personelles. Le DPD doit avoir un lien direct avec le conseil d’administration et bénéficier du soutien de ce dernier. Dans les cas où la loi exige que l’organisation notifie à l’autorité de contrôle une violation de données personnel, le DPD doit donner son avis sur le contenu de la notification, mais ne doit pas communiquer sans l’approbation ou la délégation de pouvoir de l’exécutif.
Fonction de DPD
Outre les autorités publiques, les organisations qui surveillent le comportement des personnes ou traitent des données de catégorie spéciale à grande échelle doivent désigner un DPD officiel. Les autres organisations doivent déléguer les responsabilités d’un DPD à l’un de leurs employés et s’assurer qu’il dispose de la formation, des ressources et du soutien exécutif nécessaires pour pouvoir aider efficacement l’organisation à se conformer à la loi sur la protection des données personnelles. Les organisations ont toute latitude pour déterminer la meilleure façon de mettre en œuvre cette fonction, en fonction de leurs ressources et de la nature et de la quantité de données personnelles qu’elles traitent. La mise en œuvre d’un programme efficace de protection des données est dans l’intérêt de tous.