Le G 29 a adopté les lignes directrices concernant les délégués à la protection des données (abréviation française DPD, anglaise DPO).
L’objectif de ces lignes directrices
L’objectif de ce document est :
- D’aider et d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué à la protection des données ;
- De seconder les délégués à la protection des données dans la réalisation de leur mission.
Désigner un DPD
Il a rappelé les cas dans lesquels la désignation d’un DPD est obligatoire. Il a précisé toutes les conditions de nomination obligatoire du DPD.
Néanmoins, il a souligné qu’en dehors de ces hypothèses où la nomination d’un DPD est obligatoire, il peut être opportun de désigner volontairement un DPD. Dans ce cas, les mêmes obligations doivent être appliquées.
Il a conseillé aux responsables de traitement et aux sous-traitants de formaliser par écrit le raisonnement qu’ils ont suivi pour conclure à la désignation ou non d’un DPD, afin de prouver que tous les éléments importants ont été pris en considération.
Le G 29 a explicitement spécifié que le responsable de traitement ou le sous-traitent peut choisir de nommer un DPD interne ou externe. Toutefois, toutes les conditions de nomination notamment le savoir-faire, les compétences, l’indépendance et l’absence de conflit d’intérêt doivent être respectés.
Fonctions et missions du DPD
Il a aussi précisé la portée de la fonction de DPD, telle que prévue par l’article 38 du RGPD. Il a notamment apporté des précisions concernant la mise en œuvre de l’obligation d’associer le DPD à toutes les questions relatives à la protection des données à caractère personnel, la condition d’indépendance et d’absence de conflit.
Il a aussi énuméré les missions du DPD.