Comment démontrer la conformité à l'article 37 du RGPD

Désignation du délégué à la protection des données

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

Les délégués à la protection des données sont un élément fondamental des opérations de cybersécurité plus larges de toute organisation.

RGPD Article 37 souligne l'importance de ce rôle et propose des conseils sur la manière dont un DPD doit être nommé, les activités principales de ce rôle et la manière dont ces nominations sont communiquées.

Article 37 du RGPD Texte juridique

Version RGPD de l'UE

Désignation du délégué à la protection des données

  1. Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas lorsque :

    • (a) le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur qualité judiciaire ;

    • (b) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle ; ou

    • (c) les activités principales du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données conformément à l'article 9 et de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.

  2. Un groupe d'entreprises peut désigner un délégué à la protection des données unique, à condition qu'un délégué à la protection des données soit facilement accessible depuis chaque établissement.

  3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs de ces autorités ou organismes, en tenant compte de leur structure organisationnelle et de leur taille.

  4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent ou, lorsque le droit de l'Union ou des États membres l'exige, désignent un délégué à la protection des données. Le délégué à la protection des données peut agir pour le compte de ces associations et autres organismes représentant les responsables du traitement ou les sous-traitants.

  5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, notamment, de sa connaissance approfondie de la législation et des pratiques en matière de protection des données et de sa capacité à remplir les tâches visées à l'article 39.

  6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou remplir les tâches sur la base d'un contrat de service.

  7. Le responsable du traitement ou le sous-traitant publie les coordonnées du délégué à la protection des données et les communique à l'autorité de contrôle.

Version du RGPD au Royaume-Uni

Désignation du délégué à la protection des données

  1. Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données dans tous les cas lorsque :

    • (a) le traitement est effectué par une autorité ou un organisme public, à l'exception des tribunaux agissant en leur qualité judiciaire ;

    • (b) les activités principales du responsable du traitement ou du sous-traitant consistent en des traitements qui, en raison de leur nature, de leur portée et/ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle ; ou

    • (c) les activités principales du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données conformément à l'article 9 et de données à caractère personnel relatives aux condamnations pénales et aux infractions visées à l'article 10.

  2. Un groupe d'entreprises peut désigner un délégué à la protection des données unique, à condition qu'un délégué à la protection des données soit facilement accessible depuis chaque établissement.

  3. Lorsque le responsable du traitement ou le sous-traitant est une autorité ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs de ces autorités ou organismes, en tenant compte de leur structure organisationnelle et de leur taille.

  4. Dans les cas autres que ceux visés au paragraphe 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentatifs des catégories de responsables du traitement ou sous-traitants peuvent désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour le compte de ces associations et autres organismes représentant les responsables du traitement ou les sous-traitants.

  5. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, notamment, de sa connaissance approfondie de la législation et des pratiques en matière de protection des données et de sa capacité à remplir les tâches visées à l'article 39.

  6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou remplir les tâches sur la base d'un contrat de service.

  7. Le responsable du traitement ou le sous-traitant publie les coordonnées du délégué à la protection des données et les communique au commissaire.
Aller au sujet

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Commentaire technique

L'article 37 du RGPD décrit 7 domaines clés que les organisations doivent prendre en considération lors de la nomination et de la gestion des activités d'un Délégué à la protection des données :

  1. L’obligation sous-jacente de nommer un délégué à la protection des données.

  2. Le droit de désigner un DPD pour les entreprises de grands groupes.

  3. La possibilité pour des groupes d’organisations de nommer un seul DPD qui répond à leurs obligations communes et à leur structure organisationnelle.

  4. Circonstances particulières se prêtant à la nomination d’un DPO (intermédiaire entre les organisations et les autorités dirigeantes).

  5. L’expertise du DPO, y compris toute expérience juridique et opérationnelle pertinente.

  6. Sous-traiter les tâches du DPD, plutôt que d’en nommer un en interne.

  7. Mettre les coordonnées d'un DPD à la disposition de toute personne qui en a besoin et qui est légalement autorisée à les acquérir.

Clause 27701 de la norme ISO 6.3.1.1 (rôles et responsabilités en matière de sécurité de l'information) et article 37 du RGPD de l'UE

Dans cette section, nous parlons des articles 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5) du RGPD. ), 37 (6), 37 (7)

Les organisations doivent définir des rôles et des responsabilités spécifiques aux fonctions individuelles contenues dans leur politique de protection de la vie privée – à la fois leur politique générale et leurs politiques spécifiques à un sujet.

Les personnes ayant des responsabilités spécifiques doivent être suffisamment compétentes pour effectuer des tâches liées à la protection de la vie privée et doivent se voir offrir un soutien continu permettant de maintenir un niveau de compétence acceptable.

Les domaines de responsabilité devraient inclure :

  • La protection des informations personnelles et de tout actif lié à la confidentialité.

  • Exécuter les procédures de protection de la vie privée.

  • Activités de gestion des risques liées aux informations personnelles, y compris les mesures correctives.

  • Toute personne qui utilise les informations et les données de l'organisation, y compris l'utilisation des actifs TIC.

  • Personnes ayant une responsabilité de haut niveau en matière de protection de la vie privée et déléguant des tâches à d'autres.

L'ISO reconnaît que chaque organisation est unique dans la manière dont elle traite l'information. Les domaines de responsabilité ci-dessus doivent être accompagnés de directives spécifiques au site et à l'installation qui prennent en compte les facteurs du monde réel affectant les opérations de traitement des informations personnelles d'une organisation.

Toutes les responsabilités et domaines de sécurité ci-dessus doivent être clairement documentés et mis à la disposition de tous les membres du personnel concernés.

Les organisations doivent désigner une personne que les clients (et les autorités externes) peuvent utiliser comme point de contact dédié pour toutes les questions liées aux informations personnelles (voir ISO 27701, clause 7.3.2).

En outre, les organisations doivent déléguer la responsabilité à une ou plusieurs personnes pour élaborer un programme organisationnel de gouvernance de la confidentialité qui renforce le respect des lois et réglementations locales et nationales sur les informations personnelles.

Prise en charge des clauses ISO 27701

  • ISO 27701 7.3.2

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
RGPD de l’UE, articles 37 (1)(a) à 37 (7)ISO 27701 6.3.1.1ISO 27701 7.3.2

Comment ISMS.online vous aide

Votre solution complète RGPD.

Notre environnement prédéfini s'intègre parfaitement à votre système de gestion et vous permet de décrire et de démontrer votre approche en matière de protection des données de vos clients européens et britanniques.

Avec ISMS.online, vous pouvez facilement démontrer un niveau de protection de la vie privée qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.

En savoir plus par réserver une démo.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage