Skip to Main Content

Protection des données

Références

CHARLET, François. Le Data Protection Officer dans le secteur privé suisse. In Jusletter, 18 juin 2018 [en ligne] [Consulté le 25.01.2019]

CNIL. Guide pratique RGPD - Délégués à la protection des données [en ligne] [Consulté le 23.12.2021].

EHRENSTROEM, Philippe. Le contrat de travail du Data Protection Officer (DPO). In Le droit du travail et de la protection des données en Suisse, 13 juillet 2021 [en ligne] [Consulté le 20.07.2023]

EHRENSTROEM, Philippe. Le Data Protection Officer (DPO) en droit suisse. In Le droit du travail et de la protection des données en Suisse, 11 juillet 2021 [en ligne] [Consulté le 20.07.2023]

EHRENSTROEM, Philippe. Les conflits d'intérêts du Data Protection Officer (RGPD). In Le droit du travail et de la protection des données en Suisse, 25 octobre 2022 [en ligne] [Consulté le 20.07.2023]

GROUPE DE TRAVAIL « ARTICLE 29 » SUR LA PROTECTION DES DONNEES. Lignes directrices concernant les délégués à la protection des données (DPD), adoptées le 13 décembre 2016, version révisée et adoptée le 5 avril 2017. 16/FR, WP243 rév. 01 [en ligne] [Consulté le 25.01.2019]

Le Data Protection Officer : une nouvelle fonction dans l'entreprise. Frédéric Forster, Hind Chenaoui, Virginie Bensoussan-Brulé et al. Bruxelles : Bruylant Edition, 2020. 218 p.

LECLERE, Fabrice. Intégrer le RGPD à la politique de l'établissement et travailler en réseau : le rôle du délégué à la protection des données à l'Université. A.D.B.S "I2D - Information, données et documents", 2019/1, pp. 51-54 [en ligne] [Consulté le 24.01.2024]

PFPDT. Conseiller  à la protection des données [en ligne] [Consulté le 19.07.2023]

RASLE, Bruno. Il faut sauver le soldat DPO ! Paris, le 5 mail 2023. [en ligne] [Consulté le 25.01.2024]

Le conseiller à la protection des données (nLPD)

Nomination et responsabilités

  • Le conseiller à la protection des données (art. 10 nLPD) peut être nommé par un responsable du traitement privé (pas d'obligation).
  • Il exerce sa fonction de manière indépendante par rapport au responsable du traitement et ne reçoit pas d'instruction de celui-ci. Il ne mpeut pas non plus exercer des tâches incompatibles avec ses tâches de conseiller à la protection des données.
  • Selon l'art. 23 OPDo (Ordonnance sur la protection des données), le responsable du traitement met les ressources nécessaires à dispositions du Conseiller à la protection des données, lui donne accès à tous les renseignements et documents dont il a besoin pour accomplir ses tâches et lui donne le droit d'informer l'instance dirigeante dans les cas importants.
  • C'est au responsable du traitment qu'il incombe de veiller à ce que les données personnelles soient traitées conformément à la législation applicable.

Tâches

  • Il forme et conseille le responsable du traitement privé dans le domaine de la protection des données
  • Il participe à l'adoption et à la mise en oeuvre des conditions d'utilisation et des règles de protection des données.
  • Il concourt à l'application des prescriptions relatives à la protection des données
  • Il permet au responsable du traitement privé de ne pas consulter au préalable le PFPDT lorsqu'une analyse d'impact révèle que malgré les mesures prévues par le responsable du traitement, le traitement envisagé présente encore un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.

Notification au PFPDT

  • Au-delà de son rôle à l'interne, le conseiller à la protection des données est le premier interlocuteur du PFPDT et des autres autorités qui en Suisse sont compétentes en matière de protection des données.
  • Le PFPDT a mis en ligne un portail de notification des conseillers à la protection des données, afin que les responsables du traitement puissent satisfaire à l'art. 10, al. 3 let. d (nLPD)

Le conseiller à la protection des données (LPD)

Le conseiller interne à la protection des données (art. 11a al. 5 let. e LPD) est une fonction qui est apparue en 2008 lors de la modification de la Loi sur la protection des données mais qui fait juste l'objet d'une mention dans la loi.

Sa désignation, ses tâches et son statut sont régis par les art. 12a et 12 b OLPD.

Le conseiller est chargé de tenir un inventaire des traitements et de veiller à la bonne application de la règlementation sur la protection des données personnelles. Il n'est cependant pas obligatoire dans le secteur privé mais il participe à la mise en place d'un principe de responsabilité de l'entreprise.

Le terme "conseiller à la protection des données" désigne une fonction ce qui veut dire qu'elle peut être exercée par plusieurs personnes.

Cette fonction implique par contre une indépendance formelle et matérielle et une interdiction des conflits d'intérêts. 

La nomination d'un conseiller à la protection des données doit être déclarée au Préposé fédéral (nom, prénom, tel, adresse, mail)

Les missions du conseiller sont:

  • le contrôle de la conformité des traitements : il est chargé d'assurer l'application interne des dispositions relatives à la protection des données
  • la proposition de mesures en cas de traitements non conformes ou avant la mise en place de nouveaux traitements
  • la réalisation d'un inventaire des traitements sensibles
  • il permet au maître du fichier de ne pas être soumis à la déclaration des fichiers.

 

Le délégué à la protection des données (RGPD)

Le délégué à la protection des données est prévu à l'art. 37 ss. du RGPD. Il est chargé d'assurer le respect du droit de la protection des données au sein de l'entreprise, notamment en ce qui concerne les obligations du responsable du traitement.

Fonction (art. 38 RGPD)

  • Le DPO a une fonction complètement indépendante afin d'éviter les conflits d'intérêts. Il ne reçoit pas d'instruction, ne peut être sanctionné dans le cadre de l'exercice de ses missions et il doit rapporter directement au niveau le plus élevé de l'entreprise.
  • Le DPO ne traite pas les données. Par contre il doit être tenu au courant de toutes les questions relatives à la protection des données, de tous les nouveaux traitements et des nouveaux projets mis en place.
  • Il a un accès facilité aux données et aux traitements en cours.
  • Il est disponible et peut être contacté par tous les employés de l'entreprise

Missions (art. 39 RGPD)

  • Le DPO est le chef d’orchestre de la conformité en matière de protection des données.
  • Il est principalement chargé :
  1. de contrôler le respect du RGPD
  2. d’informer et de conseiller le responsable du traitement ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent
  3. de conseiller la réalisation des études d’impact relatives aux traitements à risque et d’en vérifier la bonne exécution
  4. d'établir des procédures pour répondre aux demandes ou des procédures d'alertes
  5. de s'assurer que la sécurité des données est bien prise en compte
  6. de s'assurer de la tenue de la documentation relative aux traitements (Registre)
  7. de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci

Responsabilité

  • Le DPO n’est pas responsable en cas de non-respect du RGPD au sein de l’organisme.
  • Le respect de la protection des données relève de la responsabilité du Responsable du traitement (RT) ou du sous-traitant (ST).
  • C’est le RT ou le ST qui est tenu de s’assurer que le traitement est effectué conformément au RGPD et qui doit être en mesure de le démontrer par la bonne tenue d'un Registre.