Avant de comprendre qui doit être désigné comme Responsable de la Protection des Renseignements Personnels (RPRP) ou Délégué à la protection des données (DPD), il est nécessaire de comprendre ce que ces postes signifient réellement.
Selon les différentes juridictions, les organisations ont des obligations spécifiques en matière de respect de la législation sur la vie privée et la protection des données personnelles. Certaines exigent un professionnel appelé Délégué à la protection des données (DPD, ou en anglais Data Protection Officer – DPO), dans d'autres la nomination d'un responsable interne est suffisante.
Il existe pourtant d'autres réglementations où il n'y a pas d'obligation spécifique de nommer une personne en particulier pour remplir ce rôle, tant que l'entreprise respecte les règles générales de protection de la vie privée. Sur cette base, il existe différents rôles qui peuvent contribuer à la conformité en matière de protection de la vie privée, qu'ils soient expressément mentionnés dans la législation ou non.
Le Délégué à la protection des données est l'un des rôles les plus populaires dans le domaine de la protection de la vie privée, prévu dans les législations comme le RGPD (Union Européenne) et le LGPD (Brésil). Dans le cadre du RGPD, par exemple, il existe certaines exigences spécifiques à sa désignation, telles que l'indépendance du DPD vis-à-vis du Responsable de traitement pour effectuer son travail. En outre, ces personnes doivent être officiellement désignées auprès d’une Autorité de Protection des Données dans la juridiction compétente.
D'autre part, au Canada, en vertu de la LPRPDE, de la PIPA de l'Alberta, de la PIPA de la Colombie-Britannique et, à compter du 22 septembre 2023, de la Loi sur la protection des renseignements personnels du Québec récemment modifiée, les organisations sont tenues de nommer une personne responsable du respect des obligations en matière de protection des renseignements personnels. Par exemple, selon la nouvelle règle au Québec, si personne n'est nommé, le PDG est considéré comme responsable de la protection de la vie privée par défaut. Dans les législations canadiennes, ce rôle s'apparente plutôt à un « Responsable » qu'au sens de « DPD » prévu par le RGPD.
Indépendamment du titre du poste et des spécificités apportées par chaque législation dans le monde, il est important de respecter certains principes lors de la nomination de la personne en charge de votre programme de protection de la vie privée.
Si vous devez nommer un DPD, un RPRP ou un rôle équivalent, assurez-vous de choisir une personne qui correspond bien à vos besoins, en considérant que cette personne :
Une organisation devrait toujours avoir des lignes de responsabilité claires pour ces rôles et faire en sorte que la personne désignée soit identifiée par tous les collaborateurs à l’interne et pour le public à l’externe comme la référence en matière de vie privée et de données personnelles pour l'organisation.
Enfin, il est également important de se rappeler que ce rôle ne doit pas nécessairement être attitré à un employé interne, mais peut être confié à une personne ou une entreprise spécialisée qui dispose des ressources et de l'expertise nécessaires pour mener à bien ces activités de conformité en matière de protection de la vie privée et des données personnelles.
Pour en savoir plus sur la façon dont Systèmes de Sécurité Hitachi peut vous aider dans cette exigence de conformité, veuillez consulter notre Brochure Délégué à la protection des données externalisé.
Contactez nous pour en savoir plus sur nos services de confidentialité !
