Article 39

Missions du délégué à la protection des données

Règlement général sur la protection des données · UE 2016/679

Missions du délégué à la protection des données

1.   Les missions du délégué à la protection des données sont au moins les suivantes:

a)

informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;

b)

contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;

c)

dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35;

d)

coopérer avec l'autorité de contrôle;

e)

faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2.   Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Spécificité Luxembourg
loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la désignation et le suivi du DPO relevent du contrôle de la CNPD, qui verifie en pratique l'effectivite des missions de l'article 39 et non leur simple existence formelle. La loi du 1er aout 2018 portant organisation de la CNPD confirme le rôle de la CNPD comme autorité de contrôle unique et interlocuteur du DPO, ce qui rend le point de contact de l'article 39(1)(e) particulièrement scrute lors des contrôles luxembourgeois.

Pratique Luxgap : conservez l'historique horodate de chaque échange avec la CNPD et de chaque avis sur AIPD, car en cas de contrôle c'est cette tracabilite qui distingue un DPO effectif d'un DPO alibi.