Regards croisés sur le délégué à la protection des données : une fonction clé pour l’entreprise

Résumé Fr En

L’autorité de protection des données luxembourgeoise, la Commission Nationale pour la Protection des Données Personnelles (la « CNPD »), a rendu en 2021 une série de décisions concernant la fonction de délégué à la protection des données (le « DPO »1 ). Ces décisions s’inscrivent dans le cadre d’une campagne diligentée par la CNPD au cours de l’automne 2018 durant laquelle l’autorité a initié des enquêtes dites « proactives », ayant pris la forme d’audits thématiques pour évaluer le niveau de conformité des organismes au RGPD. Si l’initiative de la CNPD sur la fonction du DPO n’a pas connu pour le moment d’équivalent chez nos voisins français et belge, il n’en demeure pas moins que chaque autorité de protection des données contrôle le respect du RGPD sur son territoire. L’Autorité belge de Protection des données (l’« APD ») a elle aussi déjà sanctionné des entreprises pour des manquements relatifs à l’exercice de la fonction du DPO. Ces décisions mettent en évidence la caractéristique essentielle de la fonction de DPO et sanctionnent des entreprises au niveau de l’indépendance du DPO dans l’entreprise. L’Autorité française, la Commission Nationale Informatique et Libertés (« CNIL »), a quant à elle récemment publié un guide pratique à l’attention des Délégués à la protection des données2 dans lequel elle donne de nombreuses recommandations pratiques à mettre en œuvre. Il est donc intéressant de confronter au travers des trois contributions qui suivront les attentes et les critères des différentes autorités de protection des données sur la fonction du DPO en ce qui concerne sa désignation et ses compétences, sa fonction et l’exercice de ses missions sous l’angle luxembourgeois, belge et français.

Luxembourg’s data protection authority, the Commission Nationale pour la Protection des Données Personnelles (the “CNPD”), issued a series of decisions in 2021 regarding the function of data protection officer (the “DPO”). These decisions are part of a campaign initiated by the CNPD during the fall of 2018 during which the authority initiated so-called “proactive” surveys, having taken the form of thematic audits to assess the level of compliance of organizations with the GDPR. While the CNPD’s initiative on the function of the DPO has not yet had an equivalent among our French and Belgian neighbors, the fact remains that each data protection authority monitors compliance with the RGPD on its territory. The Belgian Data Protection Authority (the “DPA”) has also already sanctioned companies for breaches relating to the exercise of the DPO’s function. These decisions highlight the essential characteristic of the DPO function and sanction companies for the independence of the DPO within the company. The French authority, the Commission Nationale Informatique et Libertés (“CNIL”), has recently published a practical guide for Data Protection Officers in which it gives numerous practical recommendations to be implemented. It is therefore interesting to compare the expectations and criteria of the different data protection authorities regarding the function of the DPO in terms of his appointment and competences, its function, and the exercise of its missions from the Luxembourg, Belgian and French perspectives.