Afficher les considérants du Règlement liés à l'article 38 keyboard_arrow_down
Cacher les considérants du Règlement liés à l'article 38 keyboard_arrow_up
(97) Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.
Afficher les considérants de la Directive 95/46 liés à l'article 38 keyboard_arrow_down
Cacher les considérants de la Directive 95/46 liés à l'article 38 keyboard_arrow_up
(49) considérant que, afin d'éviter des formalités administratives inadéquates, des exonérations ou des simplifications de la notification peuvent être prévues par les États membres pour les traitements de données qui ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées, à condition qu'ils soient conformes à un acte pris par l'État membre qui en précise les limites; que des exonérations ou simplifications peuvent pareillement être prévues par les États membres dès lors qu'une personne désignée par le responsable du traitement de données s'assure que les traitements effectués ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées; que la personne ainsi détachée à la protection des données, employée ou non du responsable du traitement de données, doit être en mesure d'exercer ses fonctions en toute indépendance;
(54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l'autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci; que, à la suite de cet examen préalable, l'autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données; qu'un tel examen peut également être effectué au cours de l'élaboration soit d'une mesure législative du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées;
Guidelines
Ici viendront les guidelines
Sommaire
Union Européenne
Belgique
France
Union Européenne
Comité européen de la protection des données
Designation and Position of Data Protection Officers (16 January 2024) - (english)
In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF) with a view to streamlining enforcement and cooperation among supervisory authorities, consistently with the EDPB 2021-2023 Strategy. A first CEF was conducted in 2021 on the Use of Cloud Services by Public Bodies. For the second CEF, the EDPB selected in September 2022 'the Designation and Position of Data Protection Officers' for its 2023 Coordinated Enforcement Action. Throughout 2023, 25 supervisory authorities (‘SAs’) across the EEA launched coordinated investigations into the role of Data Protection Officers (‘DPOs’). The CEF was implemented at national level in one or several of the following ways: (1) fact-finding exercise, (2) questionnaire to identify if a formal investigation is warranted, and/or (3) commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations. Between November 2022 and February 2023, these supervisory authorities discussed the aims and the means of their actions in the context of the CEF. In this context, the SAs drafted a questionnaire in a neutral way so that it would be possible for either the controller/processor or the DPO to fill it in. While doing this, they ensured that it would be possible for SAs to adjust the questionnaire or to draft their own, based on (or inspired by) the commonly drafted questionnaire.
The present report aggregates the findings of all the supervisory authorities participating in the CEF. Particular attention is paid to challenges identified by supervisory authorities and/or respondents during the CEF action. These include issues such as insufficient resources allocated to DPOs, insufficient expert knowledge and training of DPOs and risks of conflicts of interests. This report provides, among other things, a list of recommendations that organisations, DPOs and/or SAs may take into account to address the challenges identified, without prejudice to the provisions of the GDPR/EUDPR and the powers of supervisory authorities
Link
Retour au sommaire
Groupe 29
Lignes directrices concernant les délégués à la protection des données ("DPOs") - wp243rev.01 (5 april 2017)
(Endorsed by the EDPB)
The General Data Protection Regulation (‘GDPR’), due to come into effect on 25 May 2018, provides a modernised, accountability-based compliance framework for data protection in Europe. Data Protection Officers (‘DPO’s) will be at the heart of this new legal framework for many organisations, facilitating compliance with the provisions of the GDPR.
Under the GDPR, it is mandatory for certain controllers and processors to designate a DPO. This will be the case for all public authorities and bodies (irrespective of what data they process), and for other organisations that - as a core activity - monitor individuals systematically and on a large scale, or that process special categories of personal data on a large scale.
Even when the GDPR does not specifically require the appointment of a DPO, organisations may sometimes find it useful to designate a DPO on a voluntary basis. The Article 29 Data Protection Working Party (‘WP29’) encourages these voluntary efforts.
The concept of DPO is not new. Although Directive 95/46/EC did not require any organisation to appoint a DPO, the practice of appointing a DPO has nevertheless developed in several Member States over the years.
Before the adoption of the GDPR, the WP29 argued that the DPO is a cornerstone of accountability and that appointing a DPO can facilitate compliance and furthermore, become a competitive advantage for businesses. In addition to facilitating compliance through the implementation of accountability tools (such as facilitating data protection impact assessments and carrying out or facilitating audits), DPOs act as intermediaries between relevant stakeholders (e.g. supervisory authorities, data subjects, and business units within an organisation).
DPOs are not personally responsible in case of non-compliance with the GDPR. The GDPR makes it clear that it is the controller or the processor who is required to ensure and to be able to demonstrate that the processing is performed in accordance with its provisions (Article 24(1)). Data protection compliance is a responsibility of the controller or the processor.
The controller or the processor also has a crucial role in enabling the effective performance of the DPO’s tasks. Appointing a DPO is a first step but DPOs must also be given sufficient autonomy and resources to carry out their tasks effectively.
The GDPR recognises the DPO as a key player in the new data governance system and lays down conditions for his or her appointment, position and tasks. The aim of these guidelines is to clarify the relevant provisions in the GDPR in order to help controllers and processors to comply with the law, but also to assist DPOs in their role. The guidelines also provide best practice recommendations, building on the experience gained in some EU Member States. The WP29 will monitor the implementation of these guidelines and may complement them with further details as appropriate.
Read the Guidelines
Comité européen de la protection des données
Designation and Position of Data Protection Officers (16 January 2024) - (english)
In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF) with a view to streamlining enforcement and cooperation among supervisory authorities, consistently with the EDPB 2021-2023 Strategy. A first CEF was conducted in 2021 on the Use of Cloud Services by Public Bodies. For the second CEF, the EDPB selected in September 2022 'the Designation and Position of Data Protection Officers' for its 2023 Coordinated Enforcement Action. Throughout 2023, 25 supervisory authorities (‘SAs’) across the EEA launched coordinated investigations into the role of Data Protection Officers (‘DPOs’). The CEF was implemented at national level in one or several of the following ways: (1) fact-finding exercise, (2) questionnaire to identify if a formal investigation is warranted, and/or (3) commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations. Between November 2022 and February 2023, these supervisory authorities discussed the aims and the means of their actions in the context of the CEF. In this context, the SAs drafted a questionnaire in a neutral way so that it would be possible for either the controller/processor or the DPO to fill it in. While doing this, they ensured that it would be possible for SAs to adjust the questionnaire or to draft their own, based on (or inspired by) the commonly drafted questionnaire.
The present report aggregates the findings of all the supervisory authorities participating in the CEF. Particular attention is paid to challenges identified by supervisory authorities and/or respondents during the CEF action. These include issues such as insufficient resources allocated to DPOs, insufficient expert knowledge and training of DPOs and risks of conflicts of interests. This report provides, among other things, a list of recommendations that organisations, DPOs and/or SAs may take into account to address the challenges identified, without prejudice to the provisions of the GDPR/EUDPR and the powers of supervisory authorities
Link
Retour au sommaire
Belgique
Autorité de protection des données
Recommandation relative à la désignation d’un DPO conformément au RGPD - n° 04/2017 (24 mai 2017)
1. Le Règlement général sur la protection des données (ci-après RGPD) est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.
2. Dans le chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, la section IV est entièrement consacrée au délégué à la protection des données. Plus spécifiquement, l’article 37 détaille les cas dans lesquels la désignation du délégué à la protection des données est obligatoire ainsi que les modalités de cette désignation ; l’article 38 encadre la fonction même de délégué à la protection des données (statut) et l’article 39 décrit quelles sont ses missions. Quelques autres articles du RGPD viennent compléter l’encadrement de cette fonction nouvelle.
3. Immédiatement après l’adoption du RGPD, les autorités de protection des données ont identifié la question du délégué à la protection des données comme prioritaire. Elles ont incité les responsables de traitement et sous-traitants à vérifier rapidement si oui ou non ils sont juridiquement tenus de désigner un délégué à la protection des données en application de l’article 37.1. du RGPD ainsi qu’à procéder aux engagements ou à programmer les formations nécessaires. Réunies au sein du Groupe de l’Article 29, elles ont également encouragé la désignation volontaire de tels délégués et proposé des lignes directrices d’interprétation commune des articles pertinents du RGPD ainsi que formulé un certain nombre de recommandations (best practice).
4. Outre les questions récurrentes auxquelles elle a déjà répondu par la voie de FAQ sur son site Internet (et pour la réponse auxquelles elle s’appuie sur le travail d’interprétation commune du groupe de l’Article 29 déjà cité), la CPVP reçoit régulièrement la question de savoir si le « conseiller en sécurité » que doivent désigner certaines institutions, organismes et autres entités en application de différentes règlementations belges peut devenir le délégué à la protection des données - exigé pour toute autorité et organisme publics notamment (37.1. du RGPD). Peut-il exercer cumulativement les fonctions de conseiller en sécurité et de délégué à la protection des données et, le cas échéant, à quelles conditions ?
5. La présente recommandation a pour objectif de guider les responsable de traitement et les sous-traitants dans leur analyse et leur choix d’un délégué à la protection des données dans le respect du RGPD (voy. le point III). Compte tenu des nombreuses questions que la CPVP reçoit quant au cumul de cette fonction avec celle de « conseiller en sécurité », une attention particulière, mais non exclusive, sera accordée à cet aspect dans la présente recommandation.
Lien
France
La CNIL
Guide pratique: délégués à la protection des données
Lien
Référentiel: Certification des compétences du DPO (20 septembre 2018)
Lien
Référentiel: Certification des organismes de certification des compétences du DPO (20 septembre 2018)
Lien
Retour au sommaire
Sommaire
Union Européenne
Union Européenne
Jurisprudence de la CJUE
C-92/09 ; C-93/09 (9 novembre 2010)- Volker und Markus Schecke and Eifert
1. Les articles 42, point 8 ter, et 44 bis du règlement (CE) n° 1290/2005 du Conseil, du 21 juin 2005, relatif au financement de la politique agricole commune, tel que modifié par le règlement (CE) n° 1437/2007 du Conseil, du 26 novembre 2007, ainsi que le règlement (CE) n° 259/2008 de la Commission, du 18 mars 2008, portant modalités d’application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (Feader), sont invalides dans la mesure où, s’agissant des personnes physiques bénéficiaires d’aides du FEAGA et du Feader, ces dispositions imposent la publication de données à caractère personnel relatives à tout bénéficiaire, sans opérer de distinction selon des critères pertinents, tels que les périodes pendant lesquelles elles ont perçu de telles aides, la fréquence ou encore le type et l’importance de celles-ci.
2. L’invalidité des dispositions du droit de l’Union mentionnées au point 1 de ce dispositif ne permet pas de remettre en cause les effets de la publication des listes des bénéficiaires d’aides du FEAGA et du Feader effectuée par les autorités nationales, sur le fondement desdites dispositions, pendant la période antérieure à la date du prononcé du présent arrêt.
3. L’article 18, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne soumet pas le détaché à la protection des données à caractère personnel à une obligation de procéder à la tenue du registre prévue par cette disposition préalablement à la mise en œuvre d’un traitement de données à caractère personnel, tel que celui résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.
4) L’article 20 de la directive 95/46 doit être interprété en ce sens qu’il ne fait pas obligation aux États membres de soumettre aux contrôles préalables prévus par cette disposition la publication des informations résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.
Conclusions de l'Avocat général
Arrêt rendu
C‑534/20, Leistritz AG contre LH, (22 juin 2022)
L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.
Arret rendu
Conclusions de l'avocat général
C-453/21 (9 février 2023) - X-FAB Dresden
1) L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.
2) L’article 38, paragraphe 6, du règlement 2016/679 doit être interprété en ce sens qu’un « conflit d’intérêts », au sens de cette disposition, est susceptible d’exister lorsqu’un délégué à la protection des données se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu’il incombe au juge national de déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.
Arrêt rendu
C-560/21 (9 février 2023) - KISA
|
L'article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale prévoyant qu'un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n'est pas liée à l'exercice des missions de ce délégué, pour autant qu'une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.
Arret rendu
Retour au sommaire
France
C.E., n° 459454 (21 octobre 2022)
10. En deuxième lieu, il résulte des dispositions du paragraphe 3 de l'article 38 du RGPD citées au point 8, éclairées par la Cour de justice de l'Union européenne dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, qu'en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu'une telle décision serait en relation avec l'exercice de ses missions, ces dispositions visent essentiellement à préserver l'indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l'effectivité des dispositions du RGPD. En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément aux dispositions du RGPD. Il ressort également de cet arrêt que ces dispositions n'ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d'être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD. Il en résulte clairement que l'article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l'entreprise fasse l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.
11. Il ressort des pièces du dossier que, pour déterminer s'il y avait lieu de poursuivre la société ... en raison de manquements aux règles garantissant l'indépendance du délégué à la protection des données énoncées au paragraphe 3 de l'article 38 du RGPD, la CNIL a confronté les faits et griefs évoqués dans la plainte de Mme C... avec la réponse de la société. Celle-ci a réfuté avoir donné des instructions à l'intéressée en sa qualité de déléguée à la protection des données et a exposé que son licenciement résultait de défaillances dans l'exercice de ses fonctions, en mentionnant notamment, à ce titre, l'absence de production d'une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée, en sus du non-respect de processus internes à la société, consistant notamment à s'affranchir des chaînes hiérarchiques en s'adressant directement aux collaborateurs d'une équipe sans l'aval du chef de celle-ci ou à prendre des congés sans en avertir en temps utile sa hiérarchie. La société ... a, en outre, fait valoir que Mme C... n'avait jamais fait l'objet de sanctions directes ou indirectes, en soutenant que la circonstance qu'elle n'ait pas obtenu le taux maximum de sa prime de performance en mars 2019 tenait à ce qu'elle ne satisfaisait pas pleinement aux exigences liées à sa fonction. La CNIL a pris sa décision après avoir examiné l'ensemble des éléments en sa possession.
Lien
Retour au sommaire
Le GDPR
L’article 38 impose au responsable du traitement ou au sous-traitant une série d’obligations en vue de permettre à ce dernier d’assumer les missions prévues quant à elles, à l’article 39.
Ainsi, Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d'une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le délégué à exercer les missions visées à l'article 39 en lui fournissant les ressources nécessaires à leur exécution et l'accès aux données à caractère personnel et aux traitements, ainsi qu’en permettant au délégué d’entretenir ses compétences spécialisées.
Il incombe au responsable ou au sous-traitant de veiller à l’indépendance du délégué dans l’exercice de ses missions. Ils doivent notamment veiller à ce qu’il ne reçoive pas d’instruction en ce qui concerne l’accomplissement de ses missions. Le délégué ne saurait du reste être pénalisé ou licencié par le responsable du traitement ou le sous-traitant pour l'accomplissement de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé du responsable du traitement ou du sous-traitant (§3).
Le délégué doit être lié par le secret ou la confidentialité, en ce qui concerne l’accomplissement de ses tâches, conformément au droit de l’Union ou au droit d’un État membre (art. 38, paragraphe 5).
La dernière version du Règlement prévoit en outre que les personnes concernées peuvent contacter le délégué sur n’importe quelle problématique liée au traitement de leurs données et à l’exercice de leurs droits (cfr. art. 38, paragraphe 4).
Enfin, le délégué peut exécuter d'autres missions et tâches, à charge du responsable du traitement ou le sous-traitant de veiller à ce que ces missions et tâches n'entraînent pas de conflits d'intérêts (§ 6).
La Directive
La Directive était peu loquace quant aux fonctions du détaché à la protection des données : selon l’article 18, sa mission consistait à garantir que les activités de traitement ne portent pas atteinte aux droits et libertés des personnes concernées, en veillant, d’une manière indépendante, à la conformité du traitement aux dispositions nationales transposant la Directive.
En particulier, il lui incombait de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations qui font l’objet d’une notification à l’autorité de contrôle nationale compétente, conformément à l’article 21, § 2 de la Directive.
Belgique
En droit belge, l'article 17bis, alinéa 2 de la loi du 8 décembre 1992 dispose que le Roi peut déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la loi du 8 décembre 1992, ainsi que de ses mesures d'exécution. Toutefois, aucun texte réglementaire n’organise le statut et les fonctions du préposé en droit belge.
France
La définition des fonctions du détaché à la protection des données a été reprise par la loi Informatique et Libertés en son article 22, III aux termes duquel ce dernier est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues par la loi française.
Difficultés probables
Les fonctions du délégué et son statut devront faire l’objet d’une attention particulière dans les entreprises et responsables du traitement. Son indépendance devra être garantie, qu’il soit employé ou non. En interne, les règles de hiérarchies et les sanctions éventuelles en cas de mauvaise exécution des missions confiées par le responsable du traitement devront être revues afin de s’assurer du respect des nouvelles règles.
