2022
Cairn
Frédéric Forster et al., « Regards croisés sur le délégué à la protection des données : une fonction clé pour l’entreprise », Pin Code, ID : 10670/1.yru995
L’autorité de protection des données luxembourgeoise, la Commission Nationale pour la Protection des Données Personnelles (la « CNPD »), a rendu en 2021 une série de décisions concernant la fonction de délégué à la protection des données (le « DPO »1 ). Ces décisions s’inscrivent dans le cadre d’une campagne diligentée par la CNPD au cours de l’automne 2018 durant laquelle l’autorité a initié des enquêtes dites « proactives », ayant pris la forme d’audits thématiques pour évaluer le niveau de conformité des organismes au RGPD. Si l’initiative de la CNPD sur la fonction du DPO n’a pas connu pour le moment d’équivalent chez nos voisins français et belge, il n’en demeure pas moins que chaque autorité de protection des données contrôle le respect du RGPD sur son territoire. L’Autorité belge de Protection des données (l’« APD ») a elle aussi déjà sanctionné des entreprises pour des manquements relatifs à l’exercice de la fonction du DPO. Ces décisions mettent en évidence la caractéristique essentielle de la fonction de DPO et sanctionnent des entreprises au niveau de l’indépendance du DPO dans l’entreprise. L’Autorité française, la Commission Nationale Informatique et Libertés (« CNIL »), a quant à elle récemment publié un guide pratique à l’attention des Délégués à la protection des données2 dans lequel elle donne de nombreuses recommandations pratiques à mettre en œuvre. Il est donc intéressant de confronter au travers des trois contributions qui suivront les attentes et les critères des différentes autorités de protection des données sur la fonction du DPO en ce qui concerne sa désignation et ses compétences, sa fonction et l’exercice de ses missions sous l’angle luxembourgeois, belge et français.