Que faire en cas d’absence du délégué à la protection des données? Doit-il être remplacé ? Faut-il systématiquement désigner un délégué à la protection des données suppléant ?

Il convient d’anticiper l’absence d’un DPO en mettant en place une procédure en cas d'absence de celui-ci, laquelle peut en pratique, être de courte ou de longue durée ainsi que planifiée ou totalement imprévue. Il incombe  en effet au responsable de traitement ousous-traitant concernés de garantir la continuité de leurs obligations conformément aux RGPD et, dans le respect du principe de responsabilité, de pouvoir en apporter la démonstration à l'Autorité de protection des données (APD).

Sans pouvoir entrer dans la multiplicité des cas de figure qui pourraient se présenter, les principes ci-dessous doivent servir de guide:

• En toute hypothèse, l'absence du DPO ne diminue en rien les obligations qui pèsent sur le responsable de traitement ou sous-traitant concerné. Malgré l’absence de DPO, le responsable de traitement et le sous-traitant doivent se conformer à ses obligations sous le RGPD: il faut notamment que les personnes concernées reçoivent une réponse à leurs questions, à leurs demandes d’exercice de leurs droits dans les délais impartis par le RGPD. De la même manière, les contacts avec l’APD doivent être garantis. L’objectif premier est que la fonction de DPO soit toujours garantie. A cet effet, en l’absence du DPO, la fonction doit être assurée par une personne qui dispose des qualifications et du statut requis par le RGPD ou qui s'en rapprochent le plus, pour permettre précisément la continuité effective de la fonction.
• Les modalités concrètes de la gestion de l’absence du DPO tiendront compte de paramètres tels que : la durée de l'absence, le type d'actes posés par le DPO et les délais applicables ou prévus, le degré de risque des traitements opérés par le responsable de traitement ou sous-traitant concerné, la taille de la structure du responsable de traitement ou sous-traitant, l'existence au sein de la structure d'autres DPOs et tout autre paramètre contextuel pertinent. Il pourra en résulter soit une simple gestion de l’absence pour garantir l’exercice de la fonction par d’autres (en interne ou en faisant temporairement appel aux services d’un DPO externe par exemple), soit en un nécessaire remplacement du DPO,  particulièrement en cas d’absence de longue durée.
• Pendant l’absence du DPO, les règles relatives au respect de la confidentialité et de la protection des données  sur le lieu de travail sont d’application. A cet égard, l’existence d’une adresse de contact fonctionnelle (et non nominative) est un atout.
• Pour rappel, les coordonnées du DPO doivent être communiquées à l’autorité de contrôle. A l’égard des personnes concernées, une adresse fonctionnelle non nominative peut être communiquée. A l’égard de l’autorité de contrôle, comme indiqué dans le formulaire de communication des coordonnées du délégué disponible sur le site de l’APD,les noms et prénoms du DPO sont à communiquer ainsi qu’une adresse de contact.

Des modalités concrètes de la gestion de l’absence dépendront les formalités à accomplir ou non auprès de l’APD. Si l’absence du DPO est gérée sans désignation d’un nouveau DPO et que l’adresse de contact communiquée à l’APD permet toujours de contacter la personne qui opère le suivi en l’absence du DPO, aucune nouvelle notification ne devra avoir lieu du fait de cette absence.

Si par contre ce n’est pas le cas ou si le DPO doit être remplacé par un nouveau DPO (par exemple compte tenu d’une absence de longue durée),  ce remplacement doit être notifié à l’APD. La case « Veuillez cocher cette case si la présente communication concerne une modification d’une précédente » doit alors être cochée.