Le règlement général sur la protection des données (RGPD) prévoit que le Délégué à la protection des données (DPO), obligatoire ou volontaire, soit le « Chef d’orchestre » de la conformité.
Comme le Médiateur, le DPO est soumis à une obligation de confidentialité et de loyauté et doit agir en toute indépendance dans le cadre de ses missions. L’objectif de cette commission est d’utiliser les outils de médiation dans le cadre des différentes missions du DPO. Pour faciliter la conformité, le DPO agit en tant qu’intermédiaire (ou Médiateur) entre les différentes parties prenantes concernées avec :
- Le responsable de traitement (ou le sous-traitant)
Le DPO devra interagir comme médiateur avec le responsable de traitement (ou le sous-traitant) pour l’informer, le conseiller mais aussi pouvoir lui rendre une opinion dissidente (même si finalement le responsable de traitement prend la responsabilité de mettre en œuvre le traitement malgré ses recommandations) notamment concernant :
– Le contrôle de la conformité de l’entité au RGPD à l’aide d’un audit le cas échéant ;
– L’utilité, en cas de risques élevés pour les droits et libertés des personnes concernées de réaliser une analyse d’impact (AIPD) relative à la protection des données ;
– La rédaction du rapport annuel qui rend compte de son action en faisant état dans le cadre de ses missions de DPO, de ses difficultés rencontrées au cours de l’année.
- L’autorité de contrôle
Le DPO est un point de contact pour faciliter l’accès de l’autorité de contrôle aux documents et informations de l’entité ;
le DPO doit coopérer avec elle.
A ce titre, il aura le rôle de « facilitateur » ou médiateur entre le responsable de traitement et l’autorité de contrôle.
- Avec les personnes concernées
Le DPO doit s’assurer de la bonne gestion des demandes d’exercice de droit et des réclamations des personnes concernées par les traitements pour lesquels il a été désigné ; il veille au respect du droit des personnes en traitant les réclamations avec l’impartialité et la diligence d’un médiateur.
- Avec les opérationnels de l’entité
Le DPO doit informer et conseiller les employés qui procèdent au traitement sur les obligations qui leur incombent ; il doit les sensibiliser et les former à la culture « Informatique et libertés » afin d’être nécessairement consulté avant la mise en œuvre de tout nouveau traitement ou en cas de manquements constatés afin d’ y remédier.
L’écoute active du médiateur sera un outil précieux pour le DPO dans le cadre de ces missions.
- Entre acteurs du traitement
Plusieurs acteurs peuvent intervenir dans la mise en œuvre d’un traitement de données à caractère personnel, entre responsables de traitement ou entre un responsable de traitement et son sous-traitant. Dans un contexte d’aléa judiciaire probable à l’aune de l’application du RGPD, la médiation peut être un outil innovant pour définir les rôles et les responsabilités de chacun afin d’éviter une coresponsabilité au regard du montant des sanctions administratives.
- Document