Données personnelles : le représentant local, un acteur clé pour la conformité internationale

Si vous êtes situé en dehors de l’Afrique du Sud et que vous traitez des données à caractère personnel dans ce pays, vous avez l’obligation de désigner un représentant en Afrique du Sud.

Traitez-vous des données à caractère personnel en Afrique du Sud ?

Si vous traitez des données à caractère personnel en Afrique du Sud et, plus précisément, si votre organisation utilise des moyens ou des équipements situés en Afrique du Sud pour procéder au traitement de données à caractère personnel, alors la loi sur la protection des données personnelles (POPIA) (1) s’applique, et vous devez vous y conformer. Sont, notamment, considérés comme de tels moyens ou équipements :

• un ordinateur personnel (PC ou MacBook) d’un utilisateur,
• un téléphone fixe ou mobile,
• tout équipement d’enregistrement (par exemple, un enregistreur),
• tout matériel ou logiciel informatique,
• des caméras,
• des livres, des capteurs,
• des terminaux, serveurs ou centres de données.

Le champ d’application est donc très large. Par exemple, si votre site web est accessible par une personne en Afrique du Sud sur son ordinateur ou son téléphone mobile, et que vous collectez ses données personnelles, vous réalisez alors le traitement de ces données en Afrique du Sud, et devez donc respecter la POPIA. Il est donc faux de croire que les organisations domiciliées en dehors de l’Afrique du Sud ne sont pas concernées par la POPIA, ou que les dispositions de cette loi ne peuvent être appliquées à leur encontre.

En effet, si vous « utilisez » des moyens ou équipements situés en Afrique du Sud pour traiter des données personnelles, vous devez vous conformer à POPIA, même si vous êtes domicilié à l’étranger.

Il existe, toutefois, une exception : la POPIA ne s’applique pas si vous utilisez des équipements (comme un câble à fibre optique) uniquement pour transmettre des données via l’Afrique du Sud.

Rappel : aux termes de la POPIA, le terme « traitement » désigne aussi bien les traitements réalisés par le responsable du traitement (responsible party) que ceux réalisés par un sous-traitant (operator) pour le compte du responsable du traitement. Par conséquent, si votre sous-traitant utilise des équipements situés en Afrique du Sud pour traiter des données personnelles pour votre compte, vous êtes bien soumis au respect de la POPIA.

Il convient de noter que la POPIA utilise le terme « utilise » (makes use of), et non les termes « possède » ou « contrôle ». Ainsi, même si vous utilisez l’équipement de quelqu’un d’autre en Afrique du Sud pour traiter des données, vous devez vous conformer à cette réglementation.

Le représentant POPIA en Afrique du Sud

Compte tenu de la nature extraterritoriale de nombreuses lois sur la protection des données, telles que le RGPD, la plupart entreprises sont déjà familiarisées avec l’obligation de désigner un délégué à la protection des données (DPO) ou un mandataire dans certains pays.

En Afrique du Sud, la loi sur la protection des données personnelles, la POPIA, contient elle aussi des obligations similaires et impose aux entreprises non-résidentes qui traitent des données personnelles de citoyens sud-africains qu’elles désignent un représentant établi dans ce pays.

Vous n’avez pas de présence physique en Afrique du Sud ?

Si vous êtes soumis à la POPIA mais n’est pas êtes établi en Afrique du Sud, le représentant local pourra s’occuper de l’enregistrement de votre organisation et de son responsable de l’information par défaut (généralement le PDG ou le directeur général) auprès de l’autorité sud-africaine de régulation de l’information (Information Regulator) (2). Le représentant agira en tant que point de contact pour toutes les communications réglementaires requises, en les transmettant à l’interlocuteur que vous aurez désigné, et ne prendra aucune autre mesure en votre nom. De cette manière, votre organisation s’assure de garder l’entier contrôle de toutes les décisions relatives à sa conformité, tout en satisfaisant à son obligation de disposer d’un représentant local.

Quelles sont les missions d’un représentant POPIA en Afrique du Sud ?

Un représentant POPIA en Afrique du Sud est en grande partie l’équivalent d’un représentant RGPD dans l’UE. Il s’agit d’un représentant en matière de protection des données, basé en Afrique du Sud, spécifiquement pour les organisations qui ne sont pas établies dans le pays, et qui permet à l’autorité de contrôle nationale (Information Regulator) de communiquer avec elles.

Le représentant POPIA ne doit pas être confondu avec le responsable de l’information (« Information Officer ») (3): le représentant soutient ce dernier dans ses fonctions en servant d’intermédiaire entre l’autorité de contrôle et le responsable de l’information. Par exemple, si l’autorité de contrôle sud-africaine a besoin de contacter un responsable du traitement établi en dehors de l’Afrique du Sud, elle s’adressera au représentant POPIA en Afrique du Sud, qui transmettra ensuite la demande au responsable du traitement concerné.

Pour en savoir plus

• https://www.michalsons.com/focus-areas/privacy-and-data-protection/do-you-need-a-south-africa-representative
• https://us02web.zoom.us/clips/share/8pmEeeDgRfyPpYal6FNDPw
• https://lexing.network/appoint-a-south-africa-dpo-representative/

*****

(1) https://popia.co.za/

(2) https://inforegulator.org.za/

(3) https://www.michalsons.com/focus-areas/privacy-and-data-protection/information-officer-popi-paia

JOHN GILES

southafrica@lexing.network

L’avènement des cadres réglementaires de protection des données dits « de seconde génération » en Amérique latine a conduit à la création de nouvelles obligations dans la région.

Le concept de « représentant légal » dans le pays où les données sont collectées a vu le jour compte tenu de l’application extraterritoriale des réglementations en matière de données personnelles. Cette exigence, apparue pour la première fois dans le Règlement général sur la protection des données (RGPD) de l’Union européenne, a été reprise par les réglementations ultérieures.

En Amérique latine, il existe un large éventail de réglementations relatives aux données personnelles, que l’on peut classer en lois de première génération et lois de seconde génération. De manière générale, les réglementations de première génération sont antérieures au RGPD et ne prévoient pas ce que l’on appelle les « nouvelles obligations », notamment la désignation d’un représentant. À l’inverse, les réglementations de seconde génération, post-RGPD, principalement inspirées du modèle européen, intègrent bien ces nouvelles exigences.

Récemment, le Réseau ibéro-américain de protection des données a publié une lettre ouverte à l’attention des entreprises qui traitent des données personnelles à grande échelle sur le territoire de ses États membres, et s’adressant en particulier à celles qui ne sont pas domiciliées dans ces pays. Cette lettre encourage ces entreprises à désigner un représentant auprès de l’autorité locale dotée des pouvoirs juridiques et administratifs nécessaires pour agir en matière de protection des données.

Par cette lettre, et alors que la désignation d’un représentant local n’est pas obligatoire dans la plupart de ses États membres, le Réseau ibéro-américain de protection des données formule une recommandation importante aux entreprises et vise à inciter les autorités de protection des données à intégrer cette exigence dans leurs réglementations nationales.

Le présent article offre un tour d’horizon des pays d’Amérique latine en matière de désignation d’un représentant local ou d’un délégué à la protection des données (DPO) pour faire office de point de contact.

Existence d’obligations concernant les représentants

• Représentant dans le pays

La fonction de représentant d’un responsable du traitement ou d’un sous-traitant dans le pays n’a, de manière générale, pas été intégrée dans les différentes réglementations régionales en Amérique latine, indépendamment de la date d’adoption des réglementations locales, qu’elles soient de première ou de seconde génération.

Par exemple, les Normes ibéro-américaines, qui sont un document de droit souple créé par le Réseau ibéro-américain des autorités de protection des données, ne prévoient pas d’obligation de désigner un représentant local. Pas plus que la Convention 108+, qui n’impose pas à ses membres la mise en œuvre de cette obligation.

Cette exigence ne se retrouve que dans les lois sur la protection des données de l’Équateur et de la Jamaïque. En Jamaïque, la loi impose au seul responsable du traitement de nommer un représentant local, contrairement à l’Équateur et au RGPD, qui imposent cette obligation tant aux responsables du traitement qu’aux sous-traitants.

Par ailleurs, en Uruguay, l’autorité de protection des données a publié le décret 64/2020, qui prévoit la possibilité pour les responsables du traitement et les sous-traitants non établis en Uruguay de désigner un représentant dans le pays. Il s’agit toutefois uniquement d’une bonne pratique et cette désignation n’est pas obligatoire.

• Délégué à la protection des données (DPO)

Bien que les fonctions, missions et responsabilités du représentant prévu par le RGPD soit différentes de celles du DPO, en Amérique latine, le DPO joue souvent un rôle central et sert de point de contact local.

En pratique, dans les pays où les réglementations exigent la désignation d’un DPO mais où l’entreprise concernée n’a pas d’établissement, la personne désignée comme DPO est souvent également considérée comme représentant local, ce qui facilite la communication avec les autorités et les personnes concernées.

En général, les lois de seconde génération ont introduit des dispositions spécifiques concernant le DPO. Quelques lois de première génération intègrent désormais cette obligation, via des résolutions émanant des autorités nationales de protection des données.

Les pays d’Amérique latine qui imposent la désignation d’un DPO sont le Brésil, l’Équateur, la Jamaïque et l’Uruguay. En outre, la nouvelle loi sur la protection des données, qui entrera en vigueur au Chili en décembre 2026, encadre également le rôle du DPO.

Absence d’obligation concernant les représentants

Dans d’autres pays d’Amérique latine, tels que l’Argentine, la Colombie, le Costa Rica, le Mexique, le Nicaragua, le Panama ou encore le Pérou, aucune obligation spécifique de désigner un représentant ou un DPO n’est prévue par les lois en vigueur.

Dans ces cas, lorsqu’une entreprise est présente dans plusieurs pays de la région, ou est soumise à des réglementations plus strictes (soit en Amérique latine, soit dans le pays du siège social), il est courant de désigner un DPO régional ou de mettre en place des canaux de communication spécifiques avec l’autorité et les personnes concernées, selon les besoins.

Tableau récapitulatif

PABLO. A PALAZZI
&
MERCEDES ELASKAR

argentina@lexing.network

En vertu de l’article 27 du Règlement général sur la protection des données (RGPD), la désignation d’un représentant RGPD en Espagne est obligatoire pour les responsables du traitement et les sous-traitants non établis dans l’Union européenne qui traitent des données personnelles de personnes situées en Espagne.

Champ d’application

Cette obligation s’applique aux entreprises non européennes qui :

• offrent des biens ou des services à des personnes en Espagne, ou
• suivent le comportement de personnes en Espagne, par exemple par l’utilisation de technologies de suivi ou de profilage comportemental.

Cette exigence s’applique même si l’entreprise n’a pas de présence physique au sein de l’UE. L’autorité espagnole de protection des données (AEPD) adopte une interprétation stricte de ce champ d’application. Il existe des exceptions limitées, mais elles sont interprétées de manière restrictive. C’est le cas des traitements occasionnels à faible risque, peu susceptible d’affecter les droits et libertés des personnes. En outre, les autorités publiques étrangères sont exemptées, comme le prévoit l’article 27§2 du RGPD.

Missions du représentant

Le représentant de l’UE agit en tant que point de contact officiel dans l’UE pour les personnes concernées et les autorités de contrôle, et est autorisé à recevoir des communications juridiques et administratives au nom du responsable du traitement ou du sous-traitant.

A ce titre, il a pour mission :

• d’agir pour le compte de l’entreprise non membre de l’UE dans le cadre de ses obligations RGPD (1);
• de recevoir et de répondre aux demandes des personnes concernées, ainsi qu’aux avis et communications juridiques ;
• de coopérer avec les autorités de contrôle dans le cadre d’enquêtes ou d’audits ;
• de tenir à jour la documentation sur la conformité à la protection des données, y compris les registres des activités de traitement, et la preuve du recueil du consentement (2).

Il est important de noter que le RGPD exige que l’identité et les coordonnées du représentant de l’UE soient clairement indiquées dans la politique de confidentialité fournie aux personnes concernées) (3). L’absence de ces informations peut constituer une violation des obligations de transparence du RGPD.

Le représentant de l’UE ne doit pas être confondu avec le délégué à la protection des données (DPO). Alors que le DPO conseille l’organisation en interne sur ses obligations en matière de protection des données et en contrôle le respect, le représentant est, quant à lui, un point de contact externe qui agit dans le cadre d’un mandat et n’exerce pas de fonction de surveillance ou de conseil indépendante.

Exigences spécifiques en Espagne

En Espagne, la désignation du représentant RGPD est une affaire interne entre le responsable du traitement ou le sous-traitant et le représentant désigné. Il n’est pas nécessaire de notifier ou d’enregistrer officiellement ce mandat auprès de l’AEPD.

Toutefois, le représentant doit être en mesure de produire la preuve écrite de son mandat à la demande de l’AEPD, notamment dans le cadre d’une enquête ou d’une mesure d’application de la loi. C’est pourquoi ce mandat doit être dûment signé, daté et conservé par les deux parties afin de pouvoir démontrer le respect de l’article 27 du RGPD.

Bien qu’aucun enregistrement officiel ne soit requis, le représentant doit avoir :

• une présence réelle et opérationnelle en Espagne (surtout si l’entreprise cible des résidents espagnols) ;
• la capacité de gérer les communications en espagnol avec les autorités et les personnes concernées ;
• des ressources techniques et humaines suffisantes pour traiter, dans la pratique, les demandes de protection des données.

Sanctions

La loi organique espagnole 3/2018 sur la protection des données considère que l’absence de désignation d’un représentant lorsque cela est nécessaire constitue une infraction grave.

Une telle violation peut entraîner :

• une amende administrative pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’entreprise, et
• une amende pouvant aller jusqu’à 10 millions d’euros pour avoir fourni des informations incomplètes ou trompeuses à l’AEPD.

*****

(1) Article 27 GDPR

(2) Articles 27.4 and 30 GDPR

(3) Articles 13(1)(a) and 14(1)(a) GDPR

MARC GALLARDO

marc.gallardo@lexing.es

De nombreuses entreprises opérant à l’international sont soumises aux obligations du Règlement général sur la protection des données (RGPD) sans pour autant être établies au sein de l’Union européenne. En vertu de l’article 3, paragraphe 2, du RGPD, tout organisme privé qui offre des biens ou des services à des personnes situées dans l’UE ou qui suit leur comportement lorsqu’elles sont sur le territoire de l’Union doit respecter les exigences du règlement, même s’il n’a aucune implantation physique en Europe.

Cette situation entraîne une obligation clé : la désignation d’un représentant dans l’Union européenne, conformément à l’article 27 du RGPD.

Traitez-vous des données européennes sans être établi dans l’Union ?

Si vous traitez des données européennes sans être établi dans l’UE, vous devez vous mettre en conformité avec cette obligation légale en désignant un représentant auprès des autorités européennes.

Le rôle du représentant consiste notamment à être le relai de votre organisation pour tous les traitements de données personnelles ayant lieu au sein de l’Union et ainsi fournir toutes les informations nécessaires concernant vos traitements de données à caractère personnel effectué auprès des autorités de protection et des personnes concernées.

Il est conseillé de désigner un représentant qui possède une expertise européenne en droit de la protection des données personnelles, en droit du numérique, afin de disposer d’une solution fiable et conforme aux exigences du RGPD. En choisissant le bon représentant, vous bénéficiez d’un accompagnement juridique rigoureux et d’une présence locale adaptée à vos besoins, vous permettant d’opérer en toute sérénité sur le marché européen.

Exceptions à la désignation d’un représentant

La désignation d’un représentant au sein de l’Union n’est pas obligatoire si :

• vos traitements concernant l’Union sont occasionnels et à petite échelle ou relatifs à des condamnations pénales et non susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques ;
• vous êtes une autorité publique ou un organisme public.

FREDERIC FORSTER

france@lexing.network

En Inde, la loi sur la protection des données personnelles numériques (« Digital Personal Data Protection Act, 2023 », ou « loi DPDP») et les projets de règles élaborés dans ce cadre ( « projets de règles DPDP »), qui forment ensemble le « cadre DPDP ») (« DPDP Framework ») s’appliquent au traitement des données personnelles numériques effectué sur le territoire national, ou en dehors de celui-ci, dès lors que ce traitement est lié à l’offre de biens ou services à des personnes concernées situées en Inde. (1)

Le cadre DPDP impose la désignation d’un représentant à la protection des données, dont le rôle dépend de la catégorie du responsable du traitement. Ces représentants servent non seulement d’interface locale pour les personnes concernées et les autorités de régulation, mais agissent également en tant qu’agents désignés en matière de conformité pour les entreprises qu’ils représentent.

Le présent article aborde également les représentants prévus par les règles applicables aux intermédiaires et le code d’éthique des médias numériques, 2021, établies en vertu de la loi sur les technologies de l’information de 2000, dans lesquelles certaines obligations de désignation de représentants sont également prévues.

Représentants prévus par le Cadre DPDP

Deux types de représentants peuvent être nommés : un délégué à la protection des données (Data Protection Officer, ou DPO) ou un point de contact pour la protection des données (Data Protection Contact Point).

Le délégué à la protection des données (DPO)

Selon le cadre DPDP, les responsables du traitement (« Data Fiduciaries ») sont les personnes (physiques et morales) qui déterminent les finalités et les moyens du traitement des données (2) et les personnes concernées (« Data Principals ») sont les personnes physiques auxquels les données personnelles se rapportent. (3)

Certains responsables du traitement peuvent être qualifiés de « responsables du traitement importants » (4) par le gouvernement central, en fonction de plusieurs critères : le volume et la sensibilité des données traitées, le risque pour les droits des personnes concernées, l’impact potentiel sur la souveraineté et l’intégrité de l’Inde, le risque pour la démocratie électorale, la sécurité de l’État et l’ordre public. Ces responsables du traitement importants ont l’obligation de désigner un DPO. (5)

Le DPO agit en tant que représentant du responsable du traitement important, conformément aux dispositions de la loi DPDP, et doit être établi en Inde. Il constitue également le point de contact pour le mécanisme de gestion des réclamations prévu par la loi. Le DPO rend compte directement au conseil d’administration ou à l’organe de gouvernance équivalent du responsable du traitement, soulignant ainsi l’importance stratégique de ce rôle. (6)

Les coordonnées du DPO doivent être publiées par le responsable du traitement important afin de permettre aux personnes concernées de poser des questions concernant le traitement de leurs données personnelles. (7)

Le point de contact pour la protection des données

En l’absence de DPO, les projets de règles DPDP exigent des responsables du traitement la communication, de manière visible, sur leur site internet ou leur application, ainsi que dans toutes les réponses aux communications relatives à l’exercice des droits des personnes concernées, des coordonnées d’une personne pouvant répondre aux questions des personnes concernées. (8)

Contrairement au DPO, les projets de règles DPDP ne précisent aucune exigence spécifique concernant le point de contact. Toutefois, celui-ci doit être en mesure de répondre aux questions relatives au traitement des données personnelles au nom du responsable du traitement.

Représentants en vertu des règles sur les technologies de l’information (lignes directrices applicables aux intermédiaires et code d’éthique des médias numériques) 2021

En Inde, selon les ces règles applicables aux intermédiaires (Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules, 2021)(, les entités qualifiées d’ « intermédiaires de réseaux sociaux significatifs » (9) ainsi que les intermédiaires de jeux en ligne permettant l’accès à des jeux d’argent en ligne autorisés, sont tenus de désigner plusieurs représentants pour garantir la responsabilité et la réactivité de leurs services. (10)

Directeur de la conformité (Chief Compliance Officer – CCO)

Le directeur de la conformité (CCO) doit être un employé de l’intermédiaire, résider en Inde, et occuper un poste de direction ou un poste clé au sein de l’entreprise. (11)

Il est responsable de la conformité de l’intermédiaire aux dispositions de la loi sur les technologies de l’information (Information Technology Act) et aux règles y afférentes. Le CCO peut être tenu juridiquement responsable dans toute procédure liée aux contenus, données ou liens hébergés ou rendus accessibles par l’intermédiaire, s’il n’a pas veillé au respect des obligations de diligence de celui-ci en vertu de la loi sur les technologies de l’information. (12)

Personne de contact de référence (Nodal Contact Person)

Cette personne, qui doit résider en Inde, est désignée en plus du directeur de la conformité. Elle est responsable d’assurer la coordination avec les autorités en charge de l’application de la loi, et doit être disponible à tout moment à cet effet. (13)

Responsable des réclamations (Grievance Officer)

Tous les intermédiaires soumis aux règles applicables aux intermédiaires doivent nommer un responsable des réclamations, chargé d’accuser réception des plaintes formulées par les utilisateurs dans un délai de 24 heures, et de les traiter sous 15 jours. (14)

Pour les intermédiaires de réseaux sociaux significatifs et les intermédiaires de jeux en ligne, cette personne doit résider en Inde. (15)

Conclusion

La réglementation indienne impose donc explicitement la désignation de représentants locaux en vertu de plusieurs lois. Cette désignation a pour but d’assurer une responsabilité locale et une réactivité rapide de la part des entreprises.

Bien comprendre les cas où la désignation d’un ou plusieurs représentants est nécessaire, ainsi que les qualifications et exigences associées à chaque type de représentant, permet de mettre en place une stratégie globale et coordonnée en matière de conformité.

*****

(1) Section 3, DPDP Act

(2) Section 2(i), DPDP Act

(3) Section 2(j), DPDP Act

(4) Section 2(z), DPDP Act

(5) Section 10(2)(a), DPDP Act

(6) Ibid.

(7) Draft Rule 9, draft DPDP Rules

(8) Ibid.

(9) Rule 2(1)(v), Intermediary Rules

(10) Rule 4(1), Intermediary Rules

(11) Explanation to Rule 4(1)(a), Intermediary Rules

(12) Rule 4(1)(a), Intermediary Rules

(13) Rule 4(1)(b), Intermediary Rules

(14) Rule 3(2), Intermediary Rules

(15) Rule 4(1)(c), Intermediary Rules

SIDDHARTHA GEORGE
&
HARINI SUDERSAN
&
SATYAJIT R NAIR

india@lexing.network

 Introduction

La désignation d’un représentant peut être requise au Portugal par plusieurs lois.

En tant qu’État membre de l’Union européenne, le Portugal applique le Règlement (UE) 2016/679 du Parlement européen et du Conseil, plus connu sous le nom de Règlement général sur la protection des données (RGPD).

Le RGPD est directement applicable depuis 2018 et est complété au niveau national par des lois locales.

Il faut également tenir compte de cadres juridiques spécifiques, conçus pour certains contextes particuliers, tels que le milieu professionnel (surveillance des employés), les services de santé (données génétiques), la surveillance et la sécurité, et le marketing direct.

La Comissão Nacional de Proteção de Dados (CNPD) est l’autorité nationale indépendante chargée de contrôler le respect du RGPD et des lois locales, de publier des lignes directrices et des avis, d’instruire les plaintes, d’enquêter sur les violations de données, et d’infliger des amendes administratives.

Le délégué à la protection des données (DPO)

Le DPO (délégué à la protection des données) (1) veille à ce qu’une organisation se conforme aux lois en vigueur en matière de protection des données.

À ce titre, il joue un rôle essentiel pour garantir que le traitement des données à caractère personnel — relatives aux employés, aux clients ou à d’autres personnes — soit réalisé conformément aux exigences du RGPD.

L’article 37 du RGPD précise les cas dans lesquels la désignation d’un DPO est obligatoire. Tel est le cas notamment lorsque :

• l’organisation est une autorité publique ou un organisme public ;
• les activités de base de l’organisation consistent en un suivi régulier et systématique à grande échelle des personnes concernées ;
• l’organisation traite à grande échelle des données sensibles (par exemple, des données de santé, des données génétiques ou biométriques, des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, etc.).

Le DPO fait le lien entre le responsable du traitement, les personnes concernées et la CNPD.

Il a pour principales missions :

• d’informer et de conseiller le responsable du traitement et les employés concernés sur les obligations légales qui leur incombent en matière de protection des données ;
• de contrôler le respect du RGPD et de la législation applicable ;
• de dispenser des conseils, sur demande, en ce qui concernent les analyses d’impact relatives à la protection des données (AIPD) ;
• de coopérer avec la CNPD et de faire office de point de contact privilégié avec celle-ci.

Désigner un délégué à la protection des données (DPO)

Les organisations doivent d’abord évaluer si elles sont soumises à l’obligation de désigner un DPO. Dans l’affirmative, elles doivent s’assurer que la personne désignée pour remplir ce rôle possède des connaissances spécialisées du droit et des pratiques en matière de protection des données, ainsi qu’une bonne compréhension des activités de l’organisation. Aucune certification professionnelle n’est requise.

Le DPO peut être un employé, un consultant externe ou un prestataire de services. Il doit agir de manière indépendante, sans recevoir d’instructions en ce qui concerne l’exercice de ses missions, et sans conflit d’intérêts.

Le DPO ne peut être nommé pour une durée courte ou avec un contrat à durée déterminée, afin de garantir la continuité de ses fonctions.

Sa désignation doit être formalisée par écrit — soit par une décision interne, soit via un contrat de prestation de services — et notifiée à la CNPD via sa plateforme en ligne.

L’acte de désignation notification inclut :

• le nom complet du DPO ;
• ses coordonnées ;
• la nature de la désignation (interne ou externe).

L’organisation doit informer les employés et les personnes concernées de l’identité du DPO ainsi désigné et rend ses coordonnées facilement accessibles, par exemple dans ses politiques de confidentialité.

Conclusion

Le délégué à la protection des données, dont la désignation peut être une obligatoire en vertu du RGPD, est un acteur clé du respect des lois en matière de protection des données et de la préservation des droits des personnes concernées dans l’Union européenne.

*****

(1) Articles 37, 38 and 39 of EU Regulation 2016/679 of the European Parliament and of the Council of 27 April 2016

JOÃO G. GIL FIGUEIRA

portugal@lexing.network