RGPD 2022 E-Book

© Corporate Copyright s.a.

Tous droits réservés pour tous les pays.

Toute copie, reproduction et/ou publication faite par impression, photocopie, microfilm ou par quelque procédé que ce soit sans le consentement écrit de l’auteur est interdite.

Le présent ouvrage ne peut être vendu qu’avec l’accord écrit de l’auteur et de l’éditeur.

La rédaction veille à la qualité et à la fiabilité des informations lesquelles ne pourraient en aucun cas engager sa responsabilité.

ISBN : 978-2-87435-299-7

EAN : 9782874352997

Dépôt légal: D/2022/6601/397

Bruxelles, avril 2022

1éreédition

Corporate © Copyright s.a.

Rue Jourdan148 • 1060 Bruxelles • Tél : 32/2/537 26 16

[email protected] • www.corporate.

RGPD 2022

Traitement des données personnelles dans les organisations

Jacques Folon

Préface

Didier Reynders, Commissaire Européen à la Justice

Le Règlement Européen sur la Protection des Données (RGPD) est une avancée importante pour la protection des données personnelles et la vie privée des citoyens européens.

Cet instrument renforce la transparence et confère aux individus des droits opposables, tels que les droits d’accès, de rectification et d’ef-facement, le droit d’opposition et le droit à la portabilité des données. Il ajoute une protection supplémentaire pour les consommateurs et les citoyens qu’ils soient face aux pouvoirs publics, aux entreprises com-merciales, aux travailleurs indépendants voire aux associations.

Si le RGPD a atteint une bonne partie de ses objectifs, et devient même une référence, à travers le monde pour les pays qui souhaitent accorder à leurs citoyens un niveau élevé de protection, il n’en reste pas moins que certains progrès devront être réalisés, notamment en renforçant les autorités nationales chargées de la protection des données. La Commission souhaite également aider les entreprises à mieux appli-quer le RGPD. De nombreuses PME se sont montrées critiques envers le règlement, qu’elles jugent difficile à appliquer.

Néanmoins, le bilan est bon, trois ans après son entrée en vigueur, le RGPD a atteint la plupart de ses objectifs, garantissant aux citoyens européens de nouveaux droits concernant la protection de leurs don-nées privées. Il facilite aussi la vie des entreprises qui commercent au sein de l’Union Européenne et ne sont plus confrontées à une myriade de règlements nationaux. Le RGPD est aussi «un pilier» sur lequel l’Union peut s’appuyer lorsqu’elle s’attelle à développer sa stratégie des don-nées ou sa politique dans le domaine de l’intelligence artificielle.

5

Aujourd’hui plus des deux-tiers des Européens de plus de 16 ans connaissent le RGPD. Tout n’est pas simple pour autant. À titre d’exemple, de guerre lasse, les internautes peuvent avoir tendance à accepter les cookies (qui collectent leurs données) quand ils visitent un site, «pour avoir accès à l’information».

Il est donc important de rendre le RGPD pratique et accessible à tous : citoyens, entreprises, PME, travailleurs indépendants, associations qui tous doivent désormais en tenir compte.

L’ouvrage du Professeur Jacques Folon arrive à point nommé après trois ans d’existence du RGPD. Avec sa longue expérience académique et sa connaissance approfondie du terrain de la protection des don-nées personnelles, tant dans le secteur public que dans le secteur privé, il propose dans cet ouvrage des conseils pratiques et concrets destinés à tous les acteurs concernés.

De nombreuses questions se posent encore quant à l’application pratique du RGPD, et bon nombre de ces questions sont abordées dans ce livre de manière simple et dans un vocabulaire accessible à tous. Cet ouvrage sera un soutien pour les organisations et les entreprises, pour leurs data privacy officers, métier complexe et important s’il en est, pour les ONG, confrontées à la gestion des données de leurs membres et donateurs, pour les professions libérales, médecins, avocats, comptables, … et bien entendu, s’ils le souhaitent, pour les citoyens européens dont le RGPD a pour but de protéger les données.

Ce livre permettra de participer à l’implémentation du RGPD, et de ce fait à apporter sa pierre à la protection des données personnelles des citoyens européens et à aider les organisations confrontées à cette nouvelle réglementation.

Bonne lecture.

Didier Reynders

6

Liminaire

Alexandra Jaspar, ancienne directrice à l’Autorité belge de Protection des Données

La fonction de Délégué à la protection des données (DPO) est proba-blement l’une des plus difficiles à exercer. De plus, la majorité des insti-tutions ne perçoivent ni la rationalité de la règle qui impose à certaines entités de disposer d’un DPO, ni la complexité de sa mission.

Le DPO est, en substance, le bras de l’autorité de contrôle au sein de l’entité qui traite des données à caractère personnel. Il a pour mission première de faire en sorte que ladite entité tienne compte des règles de protection des données et les applique. Ce côté « œil de Moscou » fait du DPO un acteur très particulier. Il se distingue notamment d’autres conseillers dont la fonction est également d’éclairer l’entité quant à certaines règles et à certains risques mais qui peuvent partici-per à la mise en place, en collaboration avec le direction, d’une solution qui ne répond pas toujours au prescrit légal mais dont les risques sont acceptés par le management. On pense notamment à certains juristes d’entreprise.

Le DPO, lui, n’est pas là pour négocier, transiger, dégager des com-promis et les mettre en œuvre. Il informe la direction quant aux règles et risques, quant aux éventuelles options et à leurs conditions d’ap-plication, rend des avis quant à la légalité de certains traitements de données envisagés mais son rôle n’est pas de valider, d’accepter ni de participer à la mise en œuvre d’une décision qu’il considérerait comme non conforme au cadre légal mais avec laquelle on lui demanderait si malgré son illégalité, il « pourrait vivre » selon une formule répandue.

Il a également un rôle de contrôle qu’il doit exercer en toute indépen-dance par rapport à la direction et aux services opérationnels.

7

RGPD 2022 - Guide de survie du DPO

Il ne lui appartient pas non plus de décider, au contraire de ce qu’en pensent certains dirigeants. Et il n’est pas plus en charge de l’implé-mentation des traitements de données, que de l’exercice de fonctions opérationnelles.

J’ai pourtant été témoin de situations dans lesquelles il était demandé au DPO de négocier des contrats de sous-traitance avec des fournis-seurs, de supprimer des données dans des systèmes ICT, d’écrire et de décider seul du contenu de clauses d’information, sans implication des responsables internes des traitements concernés, de mener seuls des analyses d’impact ou encore de remédier à des manquements qu’ils avaient constatés « avec leurs ressources et sur leur propre budget », aucune ressource financière ni humaine n’étant prévue pour cela au sein du service concerné. Budgets et ressources généralement inexis-tants au sein même du service du DPO.

Le DPO est par ailleurs souvent isolé, l’entité qui l’emploie ayant déjà régulièrement rechigné à se doter d’un DPO qu’elle perçoit comme une charge, un créateur d’obstacles voire un révélateur de risques, plutôt que comme une aide à la mise en conformité et par conséquent un bou-clier contre les sanctions et une image écornée.

Il cumule parfois d’autres fonctions, ce qui permet à l’entité qui l’em-ploie de se conformer à son obligation de nomination d’un DPO sans devoir investir, quitte à ce que l’heureux élu ne dispose ni des compé-tences ni de la formation nécessaires.

Dans d’autres cas, il est fait appel à un DPO externe, ce qui présente certains avantages. Il subit souvent moins de pression, est moins enclin à subir l’influence de collègues ayant des objectifs contradictoires, craint moins son évaluation, connait la matière, dispose généralement des compétences requises et de bons outils et modèles pratiques, a accès à des sources d’information adéquates, ainsi qu’à l’expertise de collègues, partagée dans des forums de DPO, etc. La formule peut cependant s’avérer inappropriée dans des structures peu matures et/ou dans lesquelles les travailleurs sont peu familiers avec la matière et avec le rôle du DPO, de sorte qu’il est essentiel que le DPO soit en contact direct avec les acteurs du terrain, sans quoi il ne sera pas averti ni en mesure de se saisir des projets de traitements de données qui ne seront pas portés à sa connaissance.

8

Préface

En pratique, il est requis du DPO qu’il dispose de tous les atouts et com-pétences suivants (les 10 « P’s ») :

Le DPO doit être un Professionnelde la protection des données. Il doit être formé aux règles applicables en la matière, être doté d’une expérience sérieuse et avoir la possibilité de parfaire sa formation. Croire qu’il suffit de mettre une casquette de DPO sur la tête, d’un conseiller en sécurité, d’un juriste, d’un informaticien ou d’un audi-teur non spécialisé est une erreur fréquente mais grossière

Le DPO doit être Partout dans l’entité et accessible à tous. Il doit être en mesure de capter ce qui s’y trame en termes de traitements de données. Son accessibilité doit être maximisée.

Le DPO doit être Psychologue.Il apporte en effet rarement de bonnes nouvelles et son intervention donne souvent lieu à la néces-sité de mettre en œuvre des mesures additionnelles, voire de moda-liser ou cesser des traitements de données. Le message passera mieux s’il sait faire preuve de tact, utiliser un ton neutre et profes-sionnel, écouter ses collègues, faire preuve de compréhension et d’ouverture d’esprit.

Le DPO doit être Proche de la directionde manière à être écouté et à être en mesure de les alerter si ses avis ne sont pas suivis par des membres de l’organisation ou par exemple s’il est contacté par l’Autorité en lien avec une possible infraction.

Le DPO doit être Proactifet pratique et ainsi préparer des outils, modèles et réponses types afin de traiter certaines questions et problématiques de façon standardisée de manière à se réserver du temps pour les dossiers stratégiques

Le DPO doit être Pédagoguepuisqu’il est attendu de lui qu’il assure la formation nécessaire de ses collègues. Il doit par ailleurs être en mesure d’expliquer des règles et concepts juridiques à des non juristes et de leur faire comprendre que le RGPD n’est globalement pas un texte qui autorise ou interdit mais qui impose la réalisation d’analyses, de garanties et d’équilibres qui ne lui permettent pas de rendre des avis « noirs ou blancs »

9

RGPD 2022 - Guide de survie du DPO

Le DPO doit être Pragmatique.S’il émet des considérations pure-ment théoriques, détachées de la réalité de l’entité pour laquelle il officie, il ne sera pas suivi ni impliqué. Il doit faire preuve de créati-vité et d’adaptation.

Le DPO doit être apte à Partagerson expérience, ses doutes et ses idées avec d’autres DPO et se rendre compte que des discussions avec ses pairs peuvent constituer une aide considérable.

Le DPO doit être Polyglotedans la mesure où il est souvent seul et doit être capable de rendre des avis, lire et écrire des documents, converser, répondre à l’Autorité et donner des formations dans plu-sieurs langues s’il travaille dans un univers multilingue.

Le DPO doit être Prêt à encaisser, donc robuste, une grande partie des DPO’s faisant l’objet de pressions, de critiques et de dénigre-ment au simple motif qu’ils effectuent leur travail

Un manuel tel que le guide de survie du DPO constitue un outil indis-pensable au vu de la complexité, de la variété et de la charge de tra-vail généralement colossale des DPO. Ce manuel, basé sur l’expérience incontestable de l’auteur, permet aux DPO non seulement de gagner du temps précieux et de passer le temps ainsi récupéré sur des dossiers critiques mais également de travailler avec des outils préparés et vali-dés par leurs pairs, ce qui leur offre un gage de confiance inestimable.

10

Introduction

Depuis le 25 mai 2018, date d’entrée en vigueur du règlement géné-ral pour la protection des données personnelles (RGPD), dans le cadre des formations que nous avons créées et que nous donnons, des webi-naires auxquels nous avons participés, et des missions d’accompagne-ment d’entreprises et d’organisation tant dans le secteur public que dans le secteur privé, nous avons passé des milliers d’heures avec de nombreux intervenants participant à la mise en conformité de leurs organisations face au RGPD.

Durant plus de quatre ans, après l’entrée en vigueur du RGPD, nous avons eu l’occasion d’entrer en contact avec de nombreux Data Privacy Officers(DPO), chefs de projet RGPD, correspondants RGPD au sein des départements opérationnels et nous ne pouvons que constater que ce sont souvent les mêmes questions pratiques qui se posent.

Pour des raisons de facilité, j’inclurai dans la notion de DPO toutes les personnes tant au sein des organisations publiques et privées qu’en dehors de celles-ci, les collaborateurs des organisations, les DPO externes (avocats, consultants), les responsables de sécurité de l’in-formation, …

L’ensemble de ces personnes sont toutes confrontées aux mêmes problèmes et cherchent des solutions pratiques à des questions dont la solution ne se trouve généralement ni dans le RGPD, ni dans ses « considérants », ni dans les multiples décisions, recommandations et avis des autorités nationales de contrôle. De plus, il n’existe pas de point d’information central, et donc beaucoup, partout en Europe, réinventent la roue car les solutions ne sont pas partagées.

Nous avons pris le parti, pour des raisons de facilité rédactionnelles, de mettre au masculin le DPO, en considérant cette fonction comme neutre en terme de genre. Il est bien entendu que cette fonction est et peut être exercée quel que soit le genre du délégué.

11

RGPD 2022 - Guide de survie du DPO

Le but de ce guide est de compiler les questions que se posent les DPO, et d’y apporter une réponse pratique. Les solutions se baseront sur les questions que nous avons eues lors des formations que nous avons données, lors de contacts avec d’autres DPO, ou avec des représen-tants des autorités, que ce soit au niveau national ou européen.

Ce guide est un ouvrage pratique, répondant aux questions concrètes que se posent celles et ceux qui s’intéressent au RGPD, et qui souvent sont confrontés à des questions sans réponses. Ce n’est donc ni un ouvrage de droit, ni de sécurité de l’information, mais un guide pratique dont le but est d’aider les praticiens à avancer dans la mise en confor-mité de leurs organisations.

Ce guide sera suivi et adapté chaque année, afin de constituer un guide pratique toujours actualisé compilant l’ensemble des questions pra-tiques qui se posent aux praticiens. Nous prévoyons donc, avec opti-misme, une version adaptée chaque année car le RGPD est une matière mouvante et en évolution constante.

Le guide sera composé d’une série de questions concrètes qui vous permettront de mettre en place des solutions pratiques et concrètes.

Vous trouverez à de nombreuses reprises, parmi les questions qui se posent des phrases commençant par NOTRE CONSEIL, qui repren-dront ce que nous vous recommandons en nous basant sur la pratique.

Nous espérons que vous trouverez des réponses à vos questions et si vous voulez enrichir la version 2023, n’hésitez pas à nous envoyer un email à [email protected]

12

Sommaire

Préface. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Liminaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Le RGPD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1. Le RGPD c’est quoi ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2. Quelques définitions de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

3. Qu’est-ce que le profilage ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

4. Qu’est-ce que la pseudonymisation des données ?. . . . . . . . . . . . . . . . . . . . . . . . .24

5. Qu’est-ce qu’une donnée génétique ou biométrique ?. . . . . . . . . . . . . . . . . . . . . .25

6. Quand devons-nous être en ordre par rapport au RGPD ?. . . . . . . . . . . . . . . . . . .25

7. Qui doit se soucier du RGPD et se mettre en ordre ?. . . . . . . . . . . . . . . . . . . . . . . .26

8. Qui peut m’aider à me mettre en ordre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

9. Y a-t-il des traitement de données personnelles qui ne sont pas concernés par le RGPD ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

10. Le RGPD s’applique-t-il uniquement en Europe ?. . . . . . . . . . . . . . . . . . . . . . . . . . .28

11. Quelle autorité est en charge de faire respecter le RGPD ?. . . . . . . . . . . . . . . . . .29

Le dossier RGPD : le but à atteindre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

1. Quelle est la table des matières du dossier RGPD ?. . . . . . . . . . . . . . . . . . . . . . . . . .32

2. Quand sera-t-on certain que le dossier RGPD est définitivement complet ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

Les bases légales des traitements de données. . . . . . . . . . . . . . . . . . . . . . . . . 35

1. Quelles sont les bases légales pour effectuer un traitement de données ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

2. Comment gérer le consentement ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

3. Comment gérer les traitements de données personnelles collectées sur la base d’un contrat ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

4. Comment gérer les données personnelles collectées sur la base d’une obligation légale ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

5. Comment gérer les traitements de données personnelles basés sur la sauvegarde de l’intérêt vital ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

6. Comment gérer les traitements basés sur l’intérêt légitime ?. . . . . . . . . . . . . . .46

7. Comment gérer les traitements de données personnelles basés sur la mission d’intérêt public ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

13

RGPD 2022 - Guide de survie du DPO

Quelles sont les règles qui encadrent l’utilisation des données personnelles ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

1. Y a-t-il des limites à la collecte des données ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

2. Comment être certain que le traitement est licite loyal et transparent ?. . . . .52

3. Que veut dire l’expression « finalités déterminées explicites et légitimes » ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

4. Comment gérer les traitements ultérieurs ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53

5. Comment être certain que les données sont adéquates, pertinentes et limitées à ce qui est nécessaire ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . .54

6. Comment être certain que les données conservées sont exactes et mises à jour ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

7. Comment gérer la durée de conservation des données ?. . . . . . . . . . . . . . . . . . . .55

8. Comment vérifier si la sécurité des données est « appropriée » ?. . . . . . . . . .56

9. Les données personnelles d’une personne décédée sont-elles soumises au RGPD ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

10. Qu’est-ce que la finalité du traitement ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

11. Quel est le lien entre finalité et base légale ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

Le Data Privacy Officer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

1. Qu’est-ce qu’un DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

2. Un DPO est-il responsable personnellement du respect du RGPD ?. . . . . . . . .62

3. Le DPO interne peut-il se voir infliger des sanctions ?. . . . . . . . . . . . . . . . . . . . . . .63

4. Le DPO externe peut-il voir sa responsabilité engagée ?. . . . . . . . . . . . . . . . . . . .64

5. Le DPO ou le responsable de traitement peuvent-ils souscrire des polices d’assurance en responsabilité ?. . . . . . . . . . . . . . . . . . . . . . .64

6. Dans quels cas une organisation doit-elle nommer un DPO ?. . . . . . . . . . . . . . . .65

7. Que sont les « autorités publiques ou organismes publics » qui doivent nommer un DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65

8. Dans quels cas une organisation doit-elle considérer que « ses activités de base consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » et donc nommer obligatoirement un DPO ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70

Comment formaliser la décision de nommer ou de ne pas nommer un DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

1. Quel modèle de texte utiliser pour décider de ne pas désigner de DPO ?. . . .82

2. Quel modèle de texte utiliser pour décider qu’un DPO est nécessaire ?. . . . . .83

3. Quel modèle de texte utiliser pour formaliser la décision motivée de nomination du DPO choisi ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84

4. Quelle publicité doit-on donner à la nomination du DPO ?. . . . . . . . . . . . . . . . . .88

5. Peut-on désigner un DPO uniquement pour une partie de la mission ?. . . . . .89

6. Peut-on nommer plusieurs DPO au sein d’une organisation ?. . . . . . . . . . . . . . .89

14

Sommaire

7. Quelles sont les sanctions en cas de non-respect des règles liées à la nomination du DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89

8. L’autorité doit-elle valider la nomination des DPO ?. . . . . . . . . . . . . . . . . . . . . . . . .90

9. Quel modèle de texte utiliser pour informer les collaborateurs de l’existence, de la mission et des fonctions du DPO ?. . . . . . . . . . . . . . . . . . . . . . 91

Comment choisir le DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

1. Quelles sont les compétences nécessaires pour être DPO ?. . . . . . . . . . . . . . . . .95

2. Faut-il être universitaire ou détenir un diplôme spécifique pour être DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98

3. Quel est le profil d’un DPO en général ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

4. Quelles sont les qualités professionnelles nécessaires pour être DPO ?. . . . .99

5. Un avocat peut-il être DPO ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

6. Un élu local peut-il être DPO de l’orgnaisation publique pour laquelle il est élu ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102

7. Quelles sont les qualité humaines nécessaires pour être DPO ?. . . . . . . . . . . .102

8. Les qualités nécessaires pour être DPO sont-elles identiques pour toutes les organisations ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106

9. Existe-t-il des DPO « certifiés » ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107

10. Le DPO est le contact privilégié de l’autorité nationale de protection des données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109

11. Comment éviter les conflits d’intérêts lors de la nomination d’un DPO interne ou externe ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109

12. Vaut-il mieux choisir un DPO interne ou externe, à temps plein ou à temps partiel ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

13. Le DPO d’une autorité publique est-il nécessairement le DPO des entités gérées ou contrôlées par cette autorité ?. . . . . . . . . . . . . . . . . . . . . . . 121

14. Interdiction de licenciement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123

15. Comment gérer la confusion quant aux titres : DPO, chef de projet, consultant,… ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124

16. Peut-on nommer le même DPO pour un groupe d’organisations privées ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125

17. Peut-on nommer le même DPO pour plusieurs organisations publiques ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

18. Y-a-t-il une limite au nombre d’organisations pour lesquelles le même DPO est responsable ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . .128

Comment formaliser la relation avec le DPO ? . . . . . . . . . . . . . . . . . . . . . . . . . .131

1. La nomination du DPO est-elle à durée déterminée ?. . . . . . . . . . . . . . . . . . . . . . 131

2. Quelle est la position hiérarchique du DPO interne ?. . . . . . . . . . . . . . . . . . . . . . .132

3. Quelles coordonnées du DPO doit-on communiquer publiquement ?. . . . . .132

4. Le DPO est-il soumis à un secret professionnel ?. . . . . . . . . . . . . . . . . . . . . . . . . . .134

15

RGPD 2022 - Guide de survie du DPO

Quelles sont les droits et obligations de la direction par rapport au DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

1. Quelles sont les ressources nécessaires que doit apporter l’organisation au DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135

2. Les courriers adressés au DPO sont ils confidentiels ?. . . . . . . . . . . . . . . . . . . . . .136

3. Quand la direction doit-elle consulter le DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . .136

4. Comment le DPO doit-il être associé aux questions relatives aux données personnelles ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138

5. Quels soutiens et ressources la direction doit-elle fournir au DPO ? . . . . . . . . 141

6. La direction peut-elle décider de ce que le DPO va faire dans le cadre de sa mission ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142

7. Que se passe-t-il en cas de désaccord entre le DPO et la direction ?. . . . . . . .143

8. Que faire si un département refuse qu’un DPO effectue un contrôle ?. . . . . .145

9. La direction peut-elle licencier le DPO du fait de sa mission ?. . . . . . . . . . . . . .146

10. Qui est le responsable hiérarchique du DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

11. Le DPO peut-il imposer des décisions à la direction de l’organisation ?. . . . .148

12. Que doit faire le DPO si la direction ne suit pas un de ses conseils ?. . . . . . . . .149

13. Que peut faire le DPO s’il n’est pas associé de façon appropriée et en temps utile aux décisions relatives aux données personnelles ?. . . . . .150

Quelle est la fonction du DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151

1. Quelles sont les différentes missions du DPO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . .152

2. Que signifie l’approche fondée sur les risques pour la mission du DPO ?. . . .153

3. Que signifie réellement le rôle de conseil du DPO ?. . . . . . . . . . . . . . . . . . . . . . . . .154

4. En quoi consiste le rôle d’information et de sensibilisation du DPO ?. . . . . . .157

5. Quel est la mission du DPO face au principe de responsabilisation ?. . . . . . . .160

Qu’est-ce qu’un sous-traitant ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161

1. Comment identifier qui est sous-traitant au sens du RGPD ?. . . . . . . . . . . . . . .162

2. Que faire avec les sous-traitants identifiés ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162

3. Que faire si un sous-traitant existant refuse de signer un contrat ?. . . . . . . . .162

4. Que faire pour de futurs sous-traitants ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163

5. Quelle est la mission du DPO face aux sous-traitants ?. . . . . . . . . . . . . . . . . . . . .164

6. Comment gérer les aspects de confidentialité chez le sous-traitant ?. . . . . . 167

7. Comment identifier si un nouveau fournisseur est un sous-traitant ?. . . . . . .169

8. Que comprend un contrat de sous-traitance ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

9. Les contrats de sous-traitance sont-ils négociables ?. . . . . . . . . . . . . . . . . . . . . .170

10. À quelle périodicité doit-on analyser les contrats de sous-traitance ?. . . . . . 172

11. Qui doit conserver la copie des contrats de sous-traitance ?. . . . . . . . . . . . . . . 172

12. Que faire avec les sous-traitants non européens et en particulier les sous-traitants américains ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

16