Documentation DPO

Cette page a pour but de fournir une liste de jurisprudence concernant le délégué à la protection des données, ainsi que des sites utiles sur la législation, la jurisprudence et les pratiques en matière de protection des données.

Jurisprudence concernant le délégué à la protection des données

Le délégué à la protection des données (DPO) est parfois explicitement mentionné dans la jurisprudence. Dans le tableau ci-dessous vous trouverez un aperçu non-limitatif d’arrêts et de décisions concernant la désignation, la fonction et les missions du DPO.

Sujet	Source	Commentaire succint
L’indépendance fonctionnelle du DPO est essentielle (= application de l’article 38 RGPD).	Cour de Justice, arrêt dans l’affaire C‑453/21 du 9 février 2023	L’indépendance fonctionnelle du DPO est essentielle et doit être garantie par son employeur ou client. Les paragraphes 3, 5 et 6 de l’article 38 RGPD y contribuent. Il y a un conflit d’intérêt dans le chef du DPO au sens de l’article 38.6 RGPD lorsque le DPD se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.
Le DPO est protégé contre licenciement et sanctions pour l’exercice de ses missions (= application de l’article 38.3 RGPD).	Cour de Justice, arrêt dans l’affaire C-534/20 du 22 juin 2022	Le DPO peut être licencié par son employeur ou client s’il ne possède plus les qualités professionnelles requises pour exercer ses missions ou s’il ne s’acquitte pas de ses missions conformément aux dispositions du Règlement général sur la protection des données.
Le DPO fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant (= application de l’article 38.3 RGPD).	Autorité de protection des données, Décision quant au fond n° 136/2023 du 28 septembre 2023 concernant le traitement de données à caractère personnel dans le cadre d'une enquête sur la fraude	Ce type de rapportage permet de s'assurer que la direction (par exemple le conseil d'administration) a connaissance des avis et des recommandations formulés par le DPO dans le cadre de sa mission d'information et de conseil auprès du responsable du traitement ou du sous-traitant.
Le DPO doit être associé de manière appropriée et en temps utile (= application de l’article 38.1 RGPD). Le DPO doit conseiller et contrôler (= application de l’article 39.1 RGPD).	Autorité de protection des données, Décision quant au fond n° 162/2022 du 16 novembre 2022 concernant le partage de données relatives aux hébergements via la plateforme Airbnb Autorité de protection des données, Décision quant au fond n° 45/2022 du 30 mars 2022 concernant les délais d'expiration de la base de données SIDIS SUITE	Le DPO doit être associé à toutes les questions relatives à la protection des données à caractère personnel. Il n’est pas suffisant de n’impliquer le DPO qu’au moment où l’Autorité de protection des données prend contact. Les règles concernant le DPO aident le DPO à effectuer ses missions.
L’organisation doit activement aider son DPO (= application de l’article 38.2 RGPD).	Autorité de protection des données, Décision quant au fond n° 41/2020 du 29 juillet 2020 concernant Droit d’accès auprès de l'ancien employeur Autorité de protection des données, Décision quant au fond n° 45/2022 du 30 mars 2022 concernant les délais d'expiration de la base de données SIDIS SUITE	Les aspects suivants doivent être pris en considération : Un soutien actif de la fonction du DPO par l’encadrement supérieur ; Un temps suffisant pour que le DPO puisse accomplir ses tâches ; Un soutien adéquat du point de vue des ressources financières, des infrastructures (locaux, installations, équipements) et du personnel, le cas échéant; Une communication officielle de la désignation du DPO à l’ensemble du personnel ; Un accès nécessaire à d’autres services, tels que les ressources humaines, le service juridique, l’informatique, la sécurité, etc. ; Une formation continue ; Compte tenu de la taille et de la structure de l’organisme, il est possible qu’il faille mettre en place une équipe de DPO (un DPO et son personnel).
Un conflit d’intérêt dans le chef du DPO est interdit (= application de l’article 38.6 RGPD).	Autorité de protection des données, Décision quant au fond n° 18/2020 du 28 avril 2020 concernant la responsabilité des fuites de données et la position du délégué à la protection des données Autorité de protection des données, Décision quant au fond n° 141/2021 du 16 décembre 2021 concernant L'exercice des droits de la personne concernée à l’égard des systèmes d'information d'une banque Autorité de protection des données, Décision quant au fond n° 56/2021 du 26 avril 2021 concernant la consultation illicite des données personnelles et refus de droit d'accès	Le DPO d’une organisation ne peut pas en même temps être directeur de cette organisation. Le cumul de fonctions de DPO et CISO (ce qui est une abréviation pour Chief Information Security Officer) n’entraine pas de conflit d’intérêt si le DPO ou CISO n’est pas responsable d’un département opérationnel.
Les exigences de qualité pour le DPO doivent être respectées (= application de l’article 37.5 RGPD).	Autorité de protection des données, Décision quant au fond n° 15/2020 du 15 avril 2020 concernant le traitement par une commune de données à caractère personnel de locataires au moyen de la déclaration fiscale Autorité de protection des données, Décision quant au fond n° 73/2020 du 13 novembre 2020 concernant le non-respect de plusieurs principes du traitement de données, dont ceux de licéité et de transparence	Une connaissance approfondie des systèmes informatiques internes et une connaissance de tous les processus d'entreprise peuvent représenter une plus-value pour l'exercice de la fonction de DPO. Une connaissance de la législation en matière de protection des données est toutefois requise, surtout en vue de l'exercice des missions du DPO. Le responsable du traitement et le sous-traitant doit justifier son choix pour son DPO. En effet le responsable du traitement et le sous-traitant a l'obligation de satisfaire à l'article 37.5 du RGPD qui prévoit que le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données

Sites Internet utiles pour le délégué à la protection des données

En tant que délégué à la protection des données (DPO) il est important de rester informé de la législation, de la jurisprudence et des pratiques en matière de protection des données. Dans le tableau ci-dessous vous trouverez un aperçu non-limitatif de sites internet gratuits contenant des informations sur la protection des données.

Site	Commentaire succint
Commission européenne	Ce site internet offre des informations sur la législation européenne en matière de protection des données.
Cour de Justice de l'Union européenne	Ce site internet permet l’accès aux arrêts de la Cour de Justice en matière de protection des données.
Comité européen de la protection des données (European Data protection Board, en abrégé « EDPB »)	L’EDPB veille à ce que le règlement général sur la protection des données et la directive Police-Justice soient appliqués de manière cohérente et veille à la coopération européenne, notamment en matière répressive. Les lignes directrices, recommandations et bonnes pratiques de l’EDPB contiennent des analyses et commentaires très utiles. Par exemple les Guidelines on Data Protection Officers ('DPO'), WP243 rev.01 contiennent des recommandations et commentaires concrets concernant le DPO.
Contrôleur européen de la protection des données (European Data Protection Supervisor, en abrégé « EDPS »)	L’une des tâches principales de l’ EDPS consiste à superviser les institutions de l’UE afin de les aider à être exemplaires concernant le traitement de données à caractère personnel. En pratique, il s’agit notamment de publier des lignes directrices, d’enquêter sur les réclamations, de répondre aux consultations des institutions de l’UE et de mener des audits sur la protection des données.

Sources académiques	Commentaire succint
CiTip blog	Ce blog contient de textes académiques concernant la protection des données.
CRIDS Privacy & Data Protection	Cette page internet contient de textes académiques concernant la protection des données.