Les missions (minimales) du.de la délégué.e sont les suivantes :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la réglementation en matière de protection des données personnelles;
- contrôler le respect de la réglementation en la matière et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;
- dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;
- coopérer avec l’autorité de contrôle;
- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36 (lorsque le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque), et mener des consultations, le cas échéant, sur tout autre sujet.
Le DPO doit accomplir ses missions en tenant compte du risque associé aux opérations de traitement de données compte tenu de la nature, de la portée, du contexte et des finalités du traitement. Ainsi, le délégué doit établir des priorités dans ses activités et concentrer ses efforts sur les questions qui représentent un risque élevé en matière de protection des données.
Ces missions du délégué couvrent la protection des données dans tous ses aspects juridiques, techniques, organisationnels, etc. :
- principes de licéité, finalité, proportionnalité et sécurité ;
- droits des personnes concernées ;
- protection des données dès la conception et par défaut ;
- registre des activités de traitement ;
- encadrement des flux transfrontières ;
- sécurité des traitements et de l’information ;
- notification des violations de données ;
- …
L’APD souligne l’importance de cette approche holistique de la protection des données et de la sécurité de l’information. Elle nécessitera le plus souvent que le.la DPO s’entoure de collaborateurs, de personnes ressources aux profils variés et expertise dans l’un ou l’autre aspect plus pointu.