Les entreprises et organismes publics doivent assurer une protection optimale des données à caractère personnel (données personnelles). Pour piloter la gouvernance des données personnelles de l’entreprise, un délégué à la protection des données (DPO) doit être, selon les cas, désigné.

Le DPO est mis en place afin de prévenir des risques inhérents au traitement des données personnelles. Il doit être désigné sur la base de ses qualités professionnelles. Il n’existe pas de profil type de DPO qui peut être une personne issue du domaine technique, juridique ou autre.

Le DPO doit être désigné :

• sur base de ses qualifications professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et ;
• de sa capacité à accomplir ses missions.

Toute personne dont les données personnelles sont traitées peut prendre contact avec le DPO concerné pour toutes les questions relatives à ce traitement et à l'exercice de ses droits.

Les responsables du traitement des données à caractère personnel et les sous-traitants doivent communiquer les coordonnées du DPO à la Commission nationale pour la protection des données (CNPD).

Personnes concernées

La désignation d’un DPO est obligatoire pour:

• les organismes publics et autorités publiques ;
• une entreprise dont les activités de base, du fait de leur nature, de leur portée et/ou de leurs finalités, l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• une entreprise dont les activités de base l’amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et à des infractions.

Ne sont pas concernées les juridictions agissant dans l’exercice de leur fonction juridictionnelle.

Cependant, la désignation d’un DPO est encouragée pour toutes les entreprises alors qu’elle permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles.

Conditions préalables

Le DPO doit détenir les compétences requises pour assurer ses fonctions, à savoir :

• l’aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance ;
• une expertise en matière de législations et pratiques en matière de protection des données. Le niveau d’expertise doit être adapté à l’activité de l’organisme et à la sensibilité des traitements mis en œuvre ;
• une bonne connaissance du secteur d’activité et de l’organisation de l’organisme et en particulier :
  • des opérations de traitement ;
  • des systèmes d’information ;
  • des besoins de l’organisme en matière de protection et de sécurité des données.
• un positionnement efficace en interne pour être en capacité :
  • de faire directement rapport au niveau le plus élevé de l’organisme ;
  • d’animer un réseau de relais au sein des filiales d’un groupe par exemple et/ou une équipe d’experts en interne (expert informatique, juriste, expert en communication, traducteur, etc.).

Coûts

Les déclarations du DPO auprès de la CNPD sont gratuites.

Modalités pratiques

Dépôt de la déclaration du DPO

Le formulaire de déclaration du DPO dûment rempli et signé est à renvoyer par courriel à l’adresse suivante: declarationDPO@cnpd.lu.

Rôle du DPO

Le DPO est principalement chargé de :

• informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
• veiller à la conformité des traitements de données du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel avec le Règlement Général sur la Protection des Données (RGPD) et le droit national en matière de protection des données. Notamment, en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ; 
• réaliser l’inventaire des traitements de données de son entreprise/organisme ;
• conseiller les responsables du traitement sur la réalisation d’analyses d'impact relatives à la protection des données et d’en vérifier l’exécution ;
• concevoir des actions de sensibilisation ;
• coopérer avec la CNPD et être le point de contact de celle-ci. Le DPO doit notamment faciliter l’accès de la CNPD à des documents et/ou informations dans le cadre de l’instruction d’une réclamation ou en cas de besoin de précision sur un projet en cours, etc. ;
• évaluer les risques liés au manque de protection dans les traitements des données mis en place. Le DPO tient compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement eu égard à la nature, la portée, le contexte et les finalités du traitement.

Moyens d’actions du DPO

Le DPO doit bénéficier du soutien de l’organisme qui le désigne.

Le responsable du traitement ou le sous-traitant doit :

• s’assurer de l’implication du DPO dans toutes les questions relatives à la protection des données (exemple : communication interne et externe sur sa désignation) ;
• lui fournir les ressources nécessaires à la réalisation de ses tâches (formation, temps nécessaire, ressources financières, équipe, etc.). Le responsable du traitement ou le sous-traitant doit notamment donner la possibilité au DPO de maintenir ses connaissances à jour en ce qui concerne les évolutions dans le domaine de la protection des données ;
• lui permettre d’agir de manière indépendante (positionnement hiérarchique adéquat, absence de sanction pour l’exercice de ses missions) ;
• lui faciliter l’accès aux données et aux opérations de traitement (accès facilité aux autres services de l’organisme) ;
• veiller à l’absence de conflit d’intérêts (le DPO ne peut occuper des fonctions, au sein de l’organisme, qui le conduisent à déterminer les finalités et les moyens d’un traitement. Il ne peut pas être juge et partie).

Par exemple, les fonctions suivantes peuvent donner lieu à un conflit d’intérêts : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique.

Un conflit d’intérêt peut également exister, par exemple, si un DPO, sur la base d’un contrat de service, représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère personnel.

Le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

Mode de désignation du DPO

Un groupe d'entreprises peut désigner un seul DPO à condition qu'il soit facilement joignable à partir de chaque lieu d'établissement. Il doit en effet être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul DPO peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

Le DPO peut :

• être un membre du personnel du responsable du traitement ou du sous-traitant (DPO interne);
• exercer ses missions sur la base d'un contrat de service (DPO externe) (tel qu’un avocat).

Obligations

Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.

Le DPO peut exécuter d'autres missions et tâches, à condition qu’elles n’entraînent pas de conflit d’intérêts.

La fonction de DPO peut être exercée à temps plein ou à temps partiel.

Le responsable du traitement ou le sous-traitant publient les coordonnées du DPO et les communiquent à la CNPD.

Sanctions

Le DPO doit agir d’une manière indépendante et bénéficier d’une protection suffisante dans l’exercice de ses missions.

Remarque : le DPO n’est pas un salarié protégé au sens du code du travail. Il peut être licencié légitimement, comme tout autre employé, pour des motifs autres que l’exercice de ses missions de DPO. 

Le DPO n’est pas responsable en cas de non-respect du RGDP. En effet, seul le responsable du traitement ou le sous-traitant est tenu de s’assurer et d'être en mesure de démontrer que le traitement des données personnelles est effectué en conformité avec le RGPD.

Services en ligne / Formulaires

Organismes de contact