Le Cabinet Alain Bensoussan Avocats a publié un article suite au contrôle de la fonction de DPO, d’une société d’assurance par l’Autorité luxembourgeoise de protection des données. Sanction 13 200 euros.
Retenons de cette sanction :
- Un DPO doit systématique participer aux réunions pertinentes (article 38.1 du RGPD). Ici, aucune règle ou fréquence n’avait été définie quant à la participation du DPO aux comités de direction, ou à sa présence dans les comités de lancement d’un nouveau produit.
- Quand la sensibilité des données l’exige, on doit établir un plan de contrôle interne ; la seule tenue d’un registre des traitements pris isolément ne suffit pas à démontrer la bonne exécution de la mission de contrôle.
- On doit s’assurer que le DPO à des compétences proportionné à la sensibilité, à la complexité et au volume des données traitées par un organisme. C’est souvent ce qui détermine le salaire ou le tarif de prestation d’un DPO.
- On doit donner à son DPO les moyens d’exercer sa fonction. Si nécessaire, le DPO doit travailler à temps plein. Dans tous les cas, il doit avoir un accès et le support d’autres services (juridique, informatique, sécurité, etc.) (Art. 38.3 du RGPD).
Le DPO pour les petits est une assurance tranquillité, pour les grands, c’est une nécessité !