Vous avez besoin d’un DPO au DIFC, voici pourquoi

Qu’est-ce qu’un DPO ?

Aux Émirats arabes unis, un délégué à la protection des données (DPO) est chargé de s’assurer qu’une entreprise traite et stocke les données conformément aux règles du DIFC. Les DPO supervisent les opérations de protection des données.
Le terme « données » désigne dans ce cas les informations à caractère personnel des employés, des clients, des fournisseurs et de tout autre tiers ou individu connecté à l’entreprise de quelque manière que ce soit.

Devez-vous obligatoirement avoir un DPO ?

Si votre entreprise détient, contrôle ou traite des données et si elle est soumise à la loi du DIFC sur la protection des données, vous devez impérativement nommer un DPO afin de garantir votre conformité.

Certaines institutions du Centre financier international de Dubaï (DIFC), y compris, mais sans s’y limiter, l’Autorité du DIFC, l’Autorité des services financiers de Dubaï (DFSA) et les tribunaux du DIFC, doivent désigner un DPO.

De même, les responsables du traitement et les sous-traitants qui effectuent certaines activités dites « à haut risque » dans le cadre du traitement de données à caractère personnel doivent également en nommer un.

Le commissaire à la protection des données peut aussi imposer la nomination d’un DPO aux responsables du traitement des données et aux sous-traitants qui ne sont pas soumis aux lois de cette juridiction. Le cas échéant, ils doivent transmettre au commissaire une évaluation annuelle des activités de traitement de données effectuées par l’entreprise.

Qu’est-ce qu’une activité de traitement de données personnelles à haut risque ?

Ces activités comprennent (sans s’y limiter) :

• Le traitement de données impliquant d’utiliser des technologies ou des méthodes innovantes qui augmentent de manière significative les risques compromettant la sécurité ou les droits des personnes concernées.
• Si une quantité considérable de données à caractère personnel est traitée et que ce traitement est susceptible d’engendrer des risques élevés pour la personne concernée (par exemple en raison du caractère sensible des données, ou de risques liés à la sécurité, à l’intégrité ou à la confidentialité des données).
• Si une évaluation systématique et approfondie, fondée sur un traitement automatisé, est susceptible d’avoir des répercussions juridiques ou d’affecter de manière significative la ou les personnes concernées.
• Si une quantité importante de « catégories particulières » de données à caractère personnel (révélant ou concernant par exemple l’origine raciale, ethnique ou sociale, les opinions politiques, les croyances religieuses, le casier judiciaire, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne) doit être traitée.

Veuillez noter que tous les responsables du traitement et sous-traitants soumis à la loi du DIFC sur la protection des données doivent attribuer de manière claire les responsabilités relatives au respect des règles de conformité en matière de protection des données. Vous pouvez également nommer un DPO même si vous n’êtes pas tenu de le faire.

Quel est le rôle d’un DPO ?

• Surveiller la conformité à la loi du DIFC sur la protection des données et toute politique relative à la protection des données à caractère personnel.
• Informer les employés concernés de ce qu’ils doivent faire pour devenir et rester conformes aux règles du DIFC.
• Dispenser des conseils aux employés concernés sur des questions plus larges en matière de protection des données et dans le cadre d’une analyse d’impact relative à la protection des données.
• Travailler avec le commissaire à la protection des données et faire office de point de contact entre celui-ci et l’entreprise.
• Prendre des mesures en réponse aux conclusions, recommandations et directives du commissaire.
• Agir en tant que point de contact pour les personnes concernées qui souhaitent exercer leurs droits conformément à la loi sur la protection des données du DIFC.

Quelles sont les connaissances requises pour un DPO ?

• Les DPO doivent se familiariser avec la loi sur la protection des données du DIFC et s’assurer que les responsables du traitement des données et les sous-traitant en respectent toutes les exigences, sans exception.
• Ils doivent agir de façon indépendante et de leur propre chef, et bénéficier de ressources suffisantes pour pouvoir prendre des mesures de manière efficace, objective et indépendante.
• Un DPO doit disposer d’un accès rapide et illimité aux informations détenues par le responsable du traitement ou le sous-traitant des données afin d’exercer ses fonctions. Il doit également avoir un accès direct à l’équipe de direction. Un DPO peut remplir d’autres fonctions au sein de l’entreprise : il n’est pas inhabituel que ce rôle soit assumé par un spécialiste juridique, un spécialiste en conformité ou un RH, selon la taille et la nature des activités de l’entreprise.

Qui peut (et ne peut pas) agir en tant que DPO ?

Un DPO peut être l’employé direct d’un responsable du traitement ou d’un sous-traitant, travailler au sein de leur groupe ou être un prestataire de services tiers.

Si une personne agit en tant que DPO pour un groupe de sociétés, elle peut être basée en dehors des Émirats arabes unis. Sinon, elle doit résider aux EAU. Si un prestataire de services tiers agit en tant que DPO, il doit être autorisé à opérer aux Émirats arabes unis.