DPD - Externalisation de la fonction de délégué à la protection des données personnelles

La notion de Délégué à la Protection des Données est issue de l’article 18 de la Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il est notamment chargé d'assurer, d'une manière indépendante, l'application interne des dispositions nationales prises en matière de protection des données, de tenir un registre des traitements effectués par le responsable du traitement, et de garantir que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. En France, il s’agit du Correspondant Informatique et Libertés (CIL).

La désignation du CIL est jusque là facultative.  Lorsque moins de 50 personnes participent à la mise en œuvre du traitement ou y ont accès, l’organisme est libre de désigner un CIL externe.

Le projet de règlement européen relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données dédie une section complète au délégué à la protection des données.

Le responsable du traitement (et le sous-traitant) doit désigner un délégué à la protection des données si un des critères suivant est atteint :

  • le traitement est effectué par une autorité ou un organisme public ;
  • le traitement est effectué par une entreprise employant plus de 250 personnes ;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Le règlement précise les diverses missions du délégué à la protection des données qui endosse un rôle de contrôle et de vérification au regard de la bonne application du règlement.