Dans le paysage complexe de la protection des données personnelles, deux rôles clés se démarquent de par le monde, à savoir : le délégué à la protection des données (DPD ou DPO) et le responsable de traitement (RT). Ils jouent des rôles distincts, mais complémentaires dans la gestion des données personnelles au sein d’une organisation. Bien que leurs fonctions soient omniprésentes dans certains régimes juridiques, leur portée et leur application varient selon les lois.
Le concept de responsable de traitement (RT) est omniprésent dans presque toutes les législations sur la protection des données telles que le RGPD-UE, LGPD-Brésil, PDPA-Singapour ou encore CCPA-Californie. Ce rôle désigne la personne ou l’entité qui décide des finalités et des moyens du traitement des données personnelles. Il porte la responsabilité légale de leur gestion et de leur protection.
Le rôle de responsable de traitement n’est pas un poste ou une carrière, mais une fonction légale ne nécessitant pas de formation spécifique, mais une compréhension approfondie des lois locales et des bonnes pratiques en matière de gestion et de protection des données.
Il a comme principales responsabilités :
● Définir les objectifs : identifier pourquoi les données sont collectées ;
● Concevoir les processus : mettre en place les moyens techniques et organisationnels pour assurer un traitement conforme ;
● Garantir la sécurité : adopter des mesures de protections adaptées pour prévenir tout accès non autorisé ;
● Assurer la conformité légale : se conformer aux réglementations et lois.
De son côté, le Délégué à la Protection des Données ou (DPO) est un expert indépendant en matière de protection des données, mandaté pour surveiller, conseiller et sensibiliser les parties prenantes sur les meilleures pratiques. Son rôle est obligatoire dans certains cas comme le RGPD-UE, LGPD-Brésil, PDPA-Thaïlande, APPI-Japon, mais absent ou facultatif dans d’autres cadres législatifs tels que CCPIA-Californie ou le POPIA-Afrique du Sud. Ses responsabilités clé pour éviter les risques de non-conformité :
● Conseiller et former : informer le responsable de traitement et les employés des obligations en matière de protection des données.
● Superviser la conformité : contrôler les traitements et s’assurer qu’ils respectent la législation.
● Point de contact : servir d’intermédiaire avec les autorités de protection des données et les individus exerçant leurs droits.
● Mener des audits : évaluer les politiques et pratiques pour garantir leur conformité
Devenir DPO nécessite des compétences solides en législation, en gestion des risques, en cybersécurité et souvent des certifications spécialisées (CIPP/E, CIPP/US, certification DPO par CNIL ou PECB) et exige souvent de justifier d’une expérience substantielle dans le domaine. Ainsi, Une organisation peut désigner un DPO interne ou externe.
En Algérie, dans le cadre de la loi 18-07, seul le responsable de traitement (RT) est explicitement mentionné et doté d’une reconnaissance juridique claire. Les articles de la loi définissent son rôle et ses responsabilités en matière de gestion des données personnelles :
● Protéger les données personnelles : garantir la sécurité des données personnelles par des mesures techniques et organisationnelles adaptées, protégeant contre la destruction, la perte, l’altération ou l’accès non autorisé (Art 38).
● Gérer les sous-traitants : sélectionner un prestataire offrant des garanties suffisantes et formaliser cette relation par un contrat précisant que le sous-traitant agit uniquement sur ses instructions (Art 39).
● Confidentialité et secret professionnel : La confidentialité s’applique à toutes les personnes ayant accès aux données, y compris après la fin de leurs fonctions, sous peine de sanctions (Art 40). Et, les personnes sous l’autorité du responsable de traitement ou du sous-traitant ne peuvent traiter les données que sur instruction du (RT) sauf en cas d’obligation légale (ART 41).
La loi ne fait pas mention explicite du rôle de délégué à la protection des données (DPO) en tant que fonction distincte. Cependant, les responsabilités attribuées au responsable de traitement peuvent être exercées avec le soutien et les conseils d’un DPO, sans que cela soit formellement imposé.
En conclusion, il est essentiel que les entreprises reconnaissent la complémentarité de ces deux rôles et veillent au bon choix des personnes les assumant pour garantir la conformité à la loi 18-07.
