Déléguée ou Délégué à la protection des données (DPO)
Dans cette page, vous comprendrez le rôle de la déléguée ou délégué à la protection des données (DPO) à l’EPFL.
Le rôle de la déléguée ou délégué à la protection des données (DPO)
Pourquoi une ou un DPO est-il nécessaire?
- En tant qu’organe fédéral, l’EPFL doit désigner une déléguée ou un délégué à la protection des données (DPO) pour superviser:
- le respect des lois et règlements en matière de protection des données
- les efforts d’atténuation des risques en cas de non-conformité.
- Lorsque l’EPFL agit en tant que responsable du traitement des données1, elle doit également:
- prendre les mesures appropriées pour protéger les données à caractère personnel
- démontrer le respect des exigences légales, y compris lorsque le traitement des données à caractère personnel est sous-traité à des tiers en tant que “processeurs de données”.
Que fait la ou le DPO?
- Assiste la communauté de l’EPFL pour les questions liées à la protection des données personnelles.
- Informe et conseille la communauté de l’EPFL sur ses obligations légales.
- Contrôle le respect des lois sur la protection des données, notamment par le biais d’audits, d’activités de sensibilisation, de formation du personnel, etc.
- Coordonne l’élaboration du Registre des activités de traitement de l’EPFL.
- Donne des conseils sur les analyses d’impact de la protection des données (AIPD) et en contrôle l’exécution.
- Sert de point de contact pour les demandes des personnes concernées sur :
- la manière dont leurs données personnelles sont traitées
- comment exercer leurs droits.
- Coopère avec les autorités chargées de la protection des données et sert de point de contact pour celles-ci (par exemple, en cas de violation des données).
- Présente à la direction de l’EPFL un rapport annuel.
Que ne fait pas la ou la DPO?
- La ou le DPO n’est pas personnellement responsable du respect de la protection des données. Cette responsabilité incombe à l’EPFL en tant que responsable du traitement des données. La non-conformité peut entraîner:
- des conséquences négatives ou des dommages pour les personnes concernées
- une atteinte à l’image de l’EPFL (risque de réputation)
- des conséquences juridiques et/ou financières importantes (par exemple, des amendes ou la perte de subventions de recherche de l’UE).
- La ou le DPO n’est pas responsable de la protection de tous les types de données (par exemple, les données relatives aux animaux).
- La ou le DPO ne met pas en œuvre de mesures de protection des données personnelles.
- La ou le DPO conseille sur les mesures à prendre, mais la mise en œuvre relève de la responsabilité du responsable du traitement.
Quand faut-il faire appel à la ou au DPO?
- La ou le DPO doit être contacté·e:
- Immédiatement en cas de violation de données (voir: Comment notifier une violation de données)
- Dès le début de votre projet de recherche ou administratif, afin de vous aider à respecter les exigences légales. Certains projets exigent des chercheuses et chercheurs ou des mandants de projets administratifs qu’elles et ils réalisent une analyse d’impact sur la protection des données (AIPD) avant de commencer, et la ou le DPO peut vous aider à cet égard. Elle ou il peut également vous conseiller sur la prise en compte du respect de la vie privée dès la conception, un principe fondamental de la protection des données qui peut vous aider à prévenir les violations de données et à gérer efficacement les données personnelles.
Indépendance de la ou du DPO
- Les responsables du traitement ne peuvent pas donner à la ou au DPO des instructions pour l’exécution de ses tâches.
- La ou le DPO ne peut avoir aucun conflit d’intérêts.
- ↑ Responsable du traitement : qui définit les finalités et les moyens du traitement des données à caractère personnel.