DPO, un rôle clé pour la protection des données personnelles avec l’entrée en vigueur de la nLPD en Suisse
En Suisse, la loi sur la protection des données (nLPD) ancre la fonction de délégué à la protection des données (DPO) dans la législation.
Avec l’entrée en vigueur de la nouvelle loi le 1er Septembre 2023 ; l’obligation de désigner un DPO en vertu de la nLPD ne s’applique pas à toutes les entreprises, mais seulement à celles qui traitent régulièrement des données à grande échelle ou des données sensibles telles que les données de santé ou les données génétiques.
De plus, même pour les entreprises qui ne sont pas obligées de désigner un DPO, il est fortement recommandé de le faire afin de garantir une bonne gestion des données personnelles et de se conformer aux meilleures pratiques en matière de protection des données.
DPO, un rôle clé pour les organisations traitant des données à caractère personnel
Le Délégué à la Protection des Données ou Data Protection Officer (DPO) est une personne chargée de veiller à la conformité des organisations avec les lois et règlements relatifs à la protection des données personnelles.
Il conseille et accompagne les organismes dans la gestion des données, et s’assure que les personnes concernées peuvent exercer leurs droits en matière de protection des données. Le DPO est également chargé de coopérer avec l’autorité de contrôle et de rendre compte de la conformité de l’organisation aux réglementations en matière de protection des données. Le rôle du DPO est essentiel pour assurer la confidentialité et la sécurité des données personnelles.
La nLPD n’oblige pas toutes les organisations à nommer un DPO, sauf dans certains cas spécifiques qui sont énumérés dans la réglementation. Toutefois, même si votre entreprise ne fait pas partie de ces cas, il est conseillé d’avoir un DPO ou une personne experte en protection des données si vous traitez un volume important de données, avez un certain nombre d’employés ou êtes soumis à des règles de conformité en matière de protection des données.
Quelles sont les missions du délégué à la protection des données ?
Le délégué à la protection des données (DPO) est un acteur clé de la conformité en matière de protection des données personnelles au sein d’une organisation. Le DPO a plusieurs missions importantes à remplir :
-
Superviser la gestion des données personnelles
Il doit s’assurer que l’organisation respecte les réglementations sur la protection des données personnelles, en particulier avec la nouvelle loi de protection des données en Suisse (nLPD). Le DPO doit ainsi veiller à la collecte, au traitement et à la conservation des données personnelles de manière que cela se fasse dans le respect de la réglementation.
-
Fournir des conseils à l'organisation sur les obligations liées à la protection des données
Il doit aider l’organisation à mettre en place des mesures pour garantir la sécurité et la confidentialité des données personnelles. Pour cela, il doit être en mesure d’identifier les risques et de proposer des mesures correctives.
-
Sensibiliser les collaborateurs de l'organisation aux réglementations en matière de protection des données personnelles
Il doit leur expliquer les bonnes pratiques à adopter et leur donner des formations pour qu’ils soient en mesure de gérer les données personnelles de manière responsable.
-
S’assurer la conformité de l'organisation aux réglementations en matière de protection des données personnelles
Le DPO doit ainsi s’assurer que l’organisation met en place des procédures adaptées pour respecter les exigences du RGPD et des autres réglementations applicables.
-
Être le point de contact de l'organisation avec l'autorité de contrôle en matière de protection des données
Il doit donc coopérer avec cette autorité en cas de contrôle ou d’incident de sécurité. En cas de violation de la sécurité et des données, c’est à lui de s’adresser au Préposé fédéral à la protection des données et à la transparence (PFPDT) pour informer de la violation.
Le DPO n'est pas responsable du non-respect de la nLPD : les lignes directrices du CEPD
Les lignes directrices du Comité Européen de Protection des Données (CEPD) précisent que le délégué à la protection des données (DPO) n’est pas responsable du non-respect du règlement sur la protection des données.
Cette responsabilité incombe plutôt au responsable du traitement (RT) ou au sous-traitant (ST) qui doivent s’assurer et être en mesure de prouver que le traitement des données est conforme à la réglementation. La protection des données est donc la responsabilité du RT ou du ST et ne peut pas être transférée au DPO par délégation de pouvoir.
Cela est considéré comme un conflit d’intérêts car cela conférerait au DPO un pouvoir décisionnel sur la finalité et les moyens du traitement.
Les qualités et formations requises pour devenir un DPO
Le DPO est un professionnel qui doit posséder plusieurs compétences pour mener à bien ses missions. Bien qu’il n’existe pas de formation spécifique pour devenir DPO, ce dernier est choisi sur la base de ses compétences professionnelles. Cependant, la Commission nationale de l’informatique et des libertés (CNIL) a mis en place une certification pour les DPO, afin d’être de se former aux métiers et valider les connaissances nécessaires ; elle n’est cependant pas obligatoire.
Concernant les qualités requises pour devenir DPO au sein d’une entreprise, il faut que la personne désignée soit en mesure de communiquer de manière claire, être indépendant dans l’exercice de ses missions et avoir une bonne connaissance du droit des données à caractère personnel, ainsi que de la réglementation en matière de protection des données (notamment la nLPD).
- Il doit donc avoir une bonne connaissance du secteur d’activité de l’entreprise pour laquelle il travaille,
- Et avoir une expertise technique en matière de sécurité de l’information.
Le DPO doit être capable de réaliser l’inventaire et la documentation des traitements, ainsi que d’évaluer les risques des traitements de données personnelles du point de vue de la nLPD.
- Il doit être hiérarchiquement positionné à un endroit lui permettant de rendre des comptes à la direction de manière régulière et de s’adresser directement à elle en cas de notification de violation des données, sans attendre un délai trop long.
- Il doit être à même de conseiller la Direction de l’entreprise et les responsables de traitement sur les mesures à mettre en place pour respecter la nLPD
- Pouvoir former et informer les collaborateurs aux exigences de la réglementation en matière de protection des données.
Le DPO doit également être en mesure d’assister et de simplifier les tâches des organes de révision, ainsi que de réaliser des analyses d’impact.
Conclusion
Avec l’entrée en vigueur de la nouvelle loi suisse sur la protection des données (nLPD) le 1er septembre 2023, l’obligation de désigner un délégué à la protection des données (DPO) ne s’applique qu’aux entreprises traitant régulièrement des données à grande échelle ou des données sensibles telles que les données de santé ou les données génétiques.
Cependant, il est recommandé aux entreprises qui ne sont pas concernées de nommer un DPO pour garantir une bonne gestion des données personnelles et se conformer aux meilleures pratiques.
Le DPO est un acteur clé de la conformité en matière de protection des données personnelles au sein d’une organisation, chargé de superviser la gestion des données personnelles, de fournir des conseils sur les obligations liées à la protection des données, de sensibiliser les collaborateurs de l’organisation, d’assurer la conformité de l’organisation aux réglementations en matière de protection des données personnelles, et d’être le point de contact de l’organisation avec l’autorité de contrôle en matière de protection des données.
Il est important de noter que le DPO n’est pas responsable du non-respect de la nLPD et que la responsabilité incombe plutôt au responsable du traitement ou au sous-traitant.
Les qualités et formations requises pour devenir un DPO incluent une bonne connaissance de la réglementation sur la protection des données, des compétences en gestion de projet et en communication, ainsi qu’une formation continue pour rester à jour avec les dernières tendances et développements.
