Sélectionner une page

L’article 37, paragraphe 5, du RGPD prévoit qu’un délégué à la protection des données « est désigné sur la base de ses qualités professionnelles et, en particulier, de sa connaissance approfondie du droit et des pratiques en matière de protection des données et de son aptitude à remplir les tâches visées à l’article 39« .

Le RGPD ne définit pas les qualités professionnelles requises ni ne prescrit la formation qu’un DPD doit suivre pour être qualifié afin d’assumer ce rôle. Cela permet aux organisations de décider des qualifications et de la formation de leur DPD en fonction du contexte du traitement des données de l’organisation.

Le niveau approprié de qualification et de connaissances spécialisées doit être déterminé en fonction des opérations de traitement des données à caractère personnel effectuées, de la complexité et de l’ampleur du traitement des données, de la sensibilité des données traitées et de la protection requise pour les données traitées.

Par exemple, lorsqu’une activité de traitement de données est particulièrement complexe, ou lorsqu’il s’agit d’un volume important ou de données sensibles (c’est-à-dire une société d’internet ou d’assurance), le DPD peut avoir besoin d’un niveau d’expertise et de soutien plus élevé.

Les compétences et l’expertise pertinentes pour les fonctions DPO sont notamment les suivantes :

  • une expertise dans les lois et pratiques nationales et européennes en matière de protection des données, y compris une compréhension approfondie du RGPD;
  • une compréhension des opérations de traitement effectuées ;
  • une compréhension des technologies de l’information et de la sécurité des données ;
  • la connaissance du secteur des entreprises et de l’organisation ;
  • la capacité à promouvoir une culture de la protection des données au sein de l’organisation.

Par exemple, un DPD peut avoir besoin d’un niveau de connaissances spécialisées dans certaines fonctions informatiques spécifiques, les transferts internationaux de données, ou d’une connaissance des pratiques de protection des données spécifiques à un secteur, telles que le traitement et le partage des données dans le secteur public, pour remplir correctement ses fonctions.

En tenant compte de l’ampleur, de la complexité et de la sensibilité de leurs opérations de traitement des données, les organisations devraient décider de manière proactive des qualifications et du niveau de formation requis pour leur DPD.

En procédant à une telle évaluation, les organisations doivent être conscientes qu’il existe différentes options de formation qui peuvent être suivies. Certaines formations sont des sessions d’une journée, tandis que d’autres sont uniquement en ligne, certaines débouchent sur des certificats académiques, tels que les diplômes des barreaux nationaux. Il existe également d’autres programmes de formation professionnelle qui sont reconnus au niveau international et qui offrent des qualifications professionnelles nécessitant un engagement continu en matière de formation afin de maintenir la qualification professionnelle.

La Commission de la protection des données recommande que la liste non exhaustive suivante de facteurs soit prise en considération lors de la sélection du programme de formation approprié pour les DPD :

  • le contenu et les moyens de la formation et de l’évaluation ;
  • la nécessité éventuelle d’une formation menant à une certification ;
  • le statut de l’organisme d’accréditation ; et
  • si la formation et la certification sont reconnues au niveau international.

En tout état de cause, un DPD doit avoir un niveau d’expertise approprié en matière de législation et de pratiques relatives à la protection des données pour lui permettre de remplir son rôle essentiel.