Nomination d’un DPO

1. Choix du DPO

D’après le RGPD, le DPO doit être désigné sur base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données (RGPD art. 37.5). Aucune certification ou aucune formation n’est exigée. À cause de ce manque de formalisme, il est fortement conseillé au responsable du traitement de documenter le choix du DPO.

Le DPO peut exercer une autre fonction au sein de l’organisation à condition que cela n’entraine pas de conflit d’intérêt (RGPD art. 38.6). Concrètement, le DPO ne peut pas exercer une fonction qui le conduirait à déterminer les finalités et les moyens du traitement de données à caractère personnel. Généralement, les postes de direction mènent à des conflits d’intérêts mais cela peut aussi être le cas pour des fonctions à un niveau inférieur. Le poste de conseiller en sécurité (CISO) n’est pas conflictuel si la personne n’est pas responsable d’un département opérationnel.

Le DPO peut être un membre du personnel ou une personne extérieure qui exerce cette mission sur base d’un contrat de service. Une même personne peut être désignée DPO pour plusieurs entreprises ou organismes, à condition que la personne soit facilement joignable et suffisamment disponible pour tous ses clients. Le DPO peut être une personne morale (entreprise).

L’Autorité de Protection des Données (APD) fournit sur son site des informations sur le choix du DPO : https://www.autoriteprotectiondonnees.be/professionnel/rgpd-/delegue-a-la-protection-des-donnees/designation

2. Notification à l’APD

Le DPO doit obligatoirement être notifié à l’APD (RGPD art. 37.7) au moyen du formulaire mis à disposition sur leur site :  https://www.autoriteprotectiondonnees.be/professionnel/actions/delegue-a-la-protection-des-donnees.

Le formulaire doit être téléchargé sur un ordinateur et pas sur un appareil mobile. Il doit impérativement être ouvert avec Adobe Acrobat Reader car il nécessite une validation (technologie javascript) qui n’est possible qu’avec ce logiciel ou quelques autres moins répandus. Pour des raisons de sécurité, la validation de ce document n’est généralement pas possible s’il est ouvert dans un navigateur (Chrome, Firefox, Edge, …).

Pour une personne morale, le champ « nom » doit contenir le nom de la personne morale et le champ « prénom » doit contenir les mots « personne morale » (voir le mode d’emploi).

Une fois le formulaire complété, validé et déposé sur le site de l’APD, un mail est envoyé avec un numéro de réception. Il est conseillé de conserver ce numéro comme preuve de la notification.

3. Notification au SPP-IS

Le CPAS a l’obligation (AR 12/08/1993, art. 4) de notifier au SPP-IS la nomination d’un nouveau DPO.

Cette notification est réalisée de la manière suivante :

  1. Télécharger le formulaire de notification sur le site web du SPP-IS.
  2. Ouvrir le formulaire, de préférence avec Adobe Acrobat Reader pour permettre les signatures digitales avec l’eID.
  3. Remplir le formulaire de désignation et le signer, de préférence de manière digitale avec l’eID (cliquer sur le champ de signature et suivre la procédure décrite).
  4. Sauvegarder le document.
  5. L’envoyer par email au SPP-IS à l’adresse mi.dpo@mi-is.be
  6. Le SPP-IS vérifie si les critères exigés sont remplis et si c’est le cas, transfère la notification à la BCSS. Le CPAS est normalement averti par courriel lorsque la notification est acceptée par la BCSS.

Voici quelques informations supplémentaires pour compléter le formulaire :

  • Page 1 : Le numéro d’entreprise BCE doit être celui d’un CPAS, le SPP-IS ne prend en charge que les CPAS. Exceptionnellement et en attente de clarification sur cette situation, certaines associations d’aide sociale flamandes (welzijnsvereniging), qui ne sont pas des CPAS, doivent également notifier leur DPO au SPP-IS et doivent donc utiliser leur numéro BCE.
  • Page 2 : Si le nom et le prénom du DPO doivent être complétés. Si le DPO est une personne morale, le champ « Nom » doit contenir le nom de l’entreprise et le champ « Prénom », les mots « personne morale », de manière similaire à la déclaration à l’APD.
  • Page 2 : Le nombre d’heures allouées par semaine est une estimation moyenne. Le SPP-IS s’attend à minimum 2 heures/semaine pour un petit CPAS et 4 heures/semaine pour un grand.
  • Page 2 : Attention aux éventuels conflits d’intérêt pour les autres fonctions, un DPO ne peut pas exercer de fonction de dirigeant pour un poste où des données personnelles sont traitées.
  • Page 3 : Les compétences peuvent être acquises par d’autres personnes que le DPO dans l’institution. La colonne « Explication » ne doit être remplie que si la réponse est « non ».
  • Page 4 : Le document doit être signé, de préférence avec l’eID, par le DPO et par le responsable du traitement, le directeur général ou le président. Si le DPO est une personne morale, le représentant légal de l’entreprise doit signer en tant que DPO.
  • Page 5 : La page doit être signée par le DPO (ou son représentant légal), par le responsable du traitement et éventuellement par le gestionnaire local, uniquement si le DPO n’exerce pas la fonction de gestionnaire local.

4. Autres notifications.

Le CPAS ne doit pas envoyer de notification à la BCSS. Le SPP-IS se charge de transmettre à la BCSS la désignation du DPO.

Certaines autorités régionales exigent également une notification du DPO. Ces notifications doivent être réalisées en plus de celles de l’APD et du SPP-IS. 

5. Absence du DPO

Pendant l’absence temporaire ou prolongée du DPO, les exigences du RGPD doivent malgré tout être remplies. Une autre personne, dont les compétences s’approchent le plus de celles du DPO, peut reprendre temporairement les activités du DPO pendant son absence. Une notification à l’APD et au SPP-IS n’est pas nécessaire dans ce cas. La nomination d’un DPO adjoint est également une solution.

Pour permettre à un remplaçant du DPO d’accéder aux demandes des personnes concernées, aux demandes d’information et à la correspondance avec l’APD, l’adresse email du DPO (notifiée à l’ADP) devrait être une adresse fonctionnelle (non nominative).