Article
En savoir plus...
Jurisprudence
Actualités
Article 38 - Fonction du délégué à la protection des données
1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées.
3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.
4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement.
5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément au droit de l'Union ou au droit des États membres.
6. Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.
En savoir plus...
L'article 38 traite des responsabilités et de la position du délégué à la protection des données (DPO) au sein d'une organisation. L'article décrit le rôle et les tâches du DPO, en soulignant l'importance de son indépendance et de son expertise en matière de protection des données.Le paragraphe 1 garantit l'implication opportune et appropriée du DPO dans toute question relative à la protection des données. Le paragraphe 2 stipule que les responsables du traitement et les sous-traitants sont tenus de soutenir le DPO dans l'exécution de ses tâches en lui fournissant les ressources nécessaires. Le paragraphe 3 souligne la nature indépendante du rôle du DPO, en veillant à ce qu'il soit à l'abri de toute influence ou représailles de la part du responsable du traitement pour les questions relevant de sa fonction. Le paragraphe 4 garantit que les personnes concernées ont le droit de contacter le DPO pour toute question concernant le traitement de leurs données à caractère personnel et l'exercice de leurs droits en matière de protection des données. Enfin, les paragraphes 5 et 6 imposent une obligation de confidentialité au DPO et prévoient des règles concernant les conflits d'intérêts potentiels.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Data Protection officer]
97. Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.
97. Lorsque le traitement est réalisé par une autorité publique, à l'exception des juridictions ou des autorités judiciaires indépendantes agissant dans l'exercice de leur fonction juridictionnelle, lorsque, dans le secteur privé, il est effectué par un responsable du traitement dont les activités de base consistent en opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées, ou lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel et de données relatives à des condamnations pénales et à des infractions, une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement. Dans le secteur privé, les activités de base d'un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu'activité auxiliaire. Le niveau de connaissances spécialisées requis devrait être déterminé notamment en fonction des opérations de traitement de données effectuées et de la protection exigée pour les données à caractère personnel traitées par le responsable du traitement ou le sous-traitant. De tels délégués à la protection des données, qu'ils soient ou non des employés du responsable du traitement, devraient être en mesure d'exercer leurs fonctions et missions en toute indépendance.
Droit souple
Lignes directrices et recommandations
> WP29 - Lignes directrices - Délégué à la protection des données
WP243, 13 décembre 2016, modifiées le 05 avril 2017
Guides pratiques
> CNIL - Guide pratique - Délégué à la protection des données
06 avril 2022
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 39 - Missions du délégué à la protection des données
Cet article est cité par...
> Article 83 - Conditions générales pour imposer des amendes administratives
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-453/21 | X-FAB Dresden | 09/02/2023 | Législation nationale prévoyant la possibilité de licencier un DPO pour motif grave - Conventionnalité - Nécessité d'un lien avec ses missions de DPO - Absence | Lien | Indépendance | Cour de Justice de l'UE | 2023 | |
| C-453/21 | X-FAB Dresden | 09/02/2023 | Conflit d'intérêts - Tâches conduisant à définir les finalités et moyens d'un traitement - Susceptible d'exister | Lien | Conflit d'intérêts | Cour de Justice de l'UE | 2023 | |
| C-534/20 | Leistritz | 22/06/2022 | Législation nationale prévoyant la possibilité de licencier un DPO pour motif grave - Conventionnalité - Nécessité d'un lien avec ses missions de DPO - Absence | Lien | A classer | Travail | Cour de Justice de l'UE | 2022 |
Actualités
Profitez de nos actualités en lien avec cet article !Datatilsynet (autorité norvégienne)
15 mars 2025
345 000 euros d’amende pour manquements concernant le rôle du délégué à la protection des données et le contrôle interne.
Ce vendredi, l’autorité norvégienne a annoncé avoir imposé une amende de 4M de couronnes (soit environ 345 000 euros) à Telenor ASA en raison de l’absence d’indépendance de leur DPO.
L’autorité note, en particulier, que que:
* L’indépendance du DPO n&rs [...]
GPDP (autorité italienne)
28 février 2025
En Italie, une société de réaménagement de crédit condamnée à 70 000 euros d’amende : son gérant était également … le DPO
Dans sa newsletter du 28 février, l’autorité italienne a évoqué le cas d’une société de réaménagement de crédit, notamment condamnée pour avoir nommé son représentant légal en tant que DPO. Sur la base des éléments recueillis au cours de l’enquête menée par l’autor [...]
DPA (autorité grecque)
21 novembre 2024
Amende de 56 000 euros prononcée à l’encontre d’un club nautique traitant des données biométriques pour contrôler les accès
Dans un communiqué publié ce jour, l’autorité a imposé une amende totale de 56 000 euros à l’encontre du Nautical Club of Vouliagmeni (N.O.V.), notamment pour avoir traité des données biométriques sans base légale et sans avoir préalablement réalisé une analyse d’impa [...]
UODO (autorité polonaise)
19 novembre 2024
Absence de nomination écrite et suffisamment claire d’un DPO : l’autorité polonaise sanctionne une entité publique
Aujourd’hui, l’UODO a annoncé avoir imposé une amende administrative de 25 000 PLN (environ 5700 euros) contre l’inspecteur du contrôle des bâtiments du district de CzÄ™stochowa pour avoir omis de désigner un délégué à la protection des données et, par conséquent, pour avoir omi [...]
<< Retourner au menu