Start-up

Données personnelles RGDP : quelques précisions

Données personnelles RGDP : quelques précisions

En matière de RGPD entré en vigueur le 4 août, vient de préciser l’obligation de désigner, un délégué à la protection de données (DPO).

En matière de règlement général sur la protection des données personnelles (RGPD), le décret du 1er août 2018, entré en vigueur le 4 août, vient de préciser l’obligation faite aux entreprises de désigner, dans certains cas, un délégué à la protection de données (DPO pour “Data protection officer”). Ce décret apporte deux précisions. D’une part, les responsables du traitement ou les sous-traitants peuvent désigner un seul DPO afin qu’il exerce sa mission pour le compte de plusieurs d’entre eux. Cette disposition se rattache à l’article 37, 2 du RGPD, selon lequel un groupe d’entreprises peut désigner un seul délégué, à condition qu’il soit “facilement joignable à partir de chaque lieu d’établissement”. D’autre part, alors que le RGPD exige que les coordonnées du DPO soient publiées et communiquées à l’autorité nationale de contrôle, c’est-à-dire à la CNIL, le décret de 2018 prévoit quatre dispositions supplémentaires :

– les éléments communiqués à la CNIL ne doivent pas seulement porter sur le nom, le prénom et les coordonnées professionnelles du DPO, mais aussi sur ceux du responsable du traitement ou du sous-traitant, ainsi que, le cas échéant, de son représentant ;

– si le DPO est une personne morale, les mêmes renseignements doivent concerner le préposé que cette personne morale a désigné pour exercer les missions de délégué ;

– ces éléments, ainsi que toute modification éventuelle, doivent être communiqués “sans délai” à la CNIL ;

– la dénomination et les coordonnées professionnelles de l’“organisme”, ainsi que les moyens de contacter le DPO, font l’objet d’une diffusion dans un format ouvert et aisément réutilisable par la CNIL.

Par ailleurs, la CNIL étant chargée de recevoir et d’examiner les plaintes relatives à la mise en œuvre des traitements de données personnelles, le décret d’août 2018 prévoit que si à l’issue d’un délai de trois mois la CNIL ne répond pas à une plainte, son silence vaut décision de rejet.

Partager cet article :

Suggestion d'articles :