Le délégué à la protection des données (DSB) est obligatoire pour les entreprises qui emploient 20 ou plus d'employés en activité typique de bureau. Le Bundestag a récemment discuté de cette contrainte. Pourquoi le délégué est-il un délégué ? La réponse à cette question est également la solution au recrutement arbitraire du DSB.
Introduction
Chaque entreprise d'une certaine taille a besoin d'un délégué à la protection des données. En tout cas, cela vaut si au moins 20 employés sont régulièrement occupés par le traitement numérique (automatisé) des données.
Cette limite de 20 employés est fixée à l'article 38 du BDSG. Jusqu'à présent, la limite était de 10 employés.
Au législateur ne peut être reproché d'avoir établi une limite qu'il juge sensée. Une limite fixée par la loi est toujours en soi arbitraire. Cela vaut notamment pour le taux d'impôt et les limites des taux d'impôt ainsi que pour l'ensemble du système fiscal en lui-même.
Trouver une limite est sujet à réflexion. Surtout lorsqu'il s'agit de la limite
a) n'existait pas du tout au niveau de l'Union européenne (RGPD)
Ensuite, il a été fixé à 10 employés en Allemagne
Ensuite, il a été fixé à 20 employés en Allemagne
d) devrait alors être supprimé, mais n'a pas été supprimé.
Qu'est-ce que cela signifierait d'avoir aucune frontière ?
Le délégué à la protection des données comme option plutôt que comme obligation
Le DSB est obligatoire pour de nombreuses entreprises. C'est bon pour le DSB et généralement bon pour la protection des données. En tout cas, il ne fait pas de mal que le DSB existe. Il convient d'observer cela différemment, car on connaît des cas dans lesquels l'idée fausse d'un DSB conduit à de mauvais résultats.
Il est inutile de savoir si cette erreur d'interprétation espérée du DSB est responsable des graves violations de protection des données sur la plupart des sites web allemands ou s'il s'agit de la résistance à l'avis des clients, il est inutile de le dire. Habituellement, le conseiller a raison, même si on ne l'appelle pas conseiller mais mandataire.
Si le commissaire à la protection des données n'était pas obligatoire, les entreprises l'auraient-elles commandé tout de même ?
Il est souvent observable que même les petites entreprises nomment un Délégué à la protection des données (DSB), bien qu'elles n'aient pas besoin de le faire. On peut également supposer que les grandes entreprises commandent un DSB d'eux-mêmes, même s'il ne le faisaient pas nécessairement. Quelle serait l'image si une autorité (qui n'impose en fait aucune amende) faisait une visite dans un groupe et voyait qu'on ne se souciait pas spécialement de la protection des données ?
Qu'est-ce que fait le DSB en réalité ?
Une bonne question qui ne sera ici que partiellement répondue.
Le DSB est en premier lieu un conseiller. Beaucoup de DSBs fournissent à leurs clients, au début de leur activité, un paquet d'informations avec des offres de formation qui sont souvent proposées par vidéo, présentation ou guides. De même, il y a généralement une première entrevue. Dans celle-ci, on clarifie les particularités du traitement des données chez le client comme responsable.
Lorsqu'il y a une panne de données, le DSB est impliqué. De même lorsque les personnes concernées utilisent leur droit d'accès (Article 15 RGPD). Le DSB est également un bon interlocuteur pour des questions techniques et donne à son client des informations si cela s'avère nécessaire.
Le délégué à la protection des données semble en tout cas pas être un sous-traitant (cf. Art. 37 DSGVO).
Proposition de motivation pour la commande DSB
Quelle serait-il si enfin des sanctions étaient infligées pour les infractions aux règles de protection des données obligatoires ? De telles règles sont à trouver dans la RGPD comme réglement et dans le TDDDG (anciennement TTDSG) et BDSG comme lois. Mais personne ne s'intéresse vraiment à ce qui se passe sur Internet. En tout cas pas en Allemagne.
Les autorités de protection des données ne sanctionnent tout simplement pas. Les rares cas, en Allemagne, où une amende a été prononcée, ne valent pas la peine d'être mentionnés.
En Allemagne, la plus grave infraction à la protection des données n'a jamais été sanctionnée.
Aucun seul cas = vide ou environnement epsilon.
Le plus grave manquement à la protection des données, qui est en outre le plus facilement prouvables, n'a été sanctionné pas une seule fois. Il s'agit de la surveillance web illégale y compris les cookies illégaux. Pour le cas où quelqu'un trouve un exemple: zéro ou cinq, est la même chose que zéro dans les millions de violations des données de protection qui se produisent chaque jour en ligne en Allemagne. Le mathématicien rapide dirait: le nombre de sanctions se situe à l'intérieur de l'environnement Epsilon de zéro.
Si la consommation de centrale et des individus comme Max Schrems, qui ont fait évoluer les décisions du Tribunal de justice de l'Union européenne, n'existaient pas, rien ne se passerait en Allemagne. Sauf que les autorités publiques continueraient à publier de nouvelles recommandations, à annoncer des contrôles, à les effectuer et à constater qu'il y a eu des problèmes. Après quoi, les fonctionnaires s'en iraient reprendre d'autres activités plus agréables. On ne veut pas se faire détester. Ou, comme un responsable de service au bureau du commissaire à la protection des données en Hesse, on pense même parfois à sa retraite qui n'est qu'à quelques battements de cils de 8 ans (ces informations proviennent d'une source directe et ont été communiquées plusieurs fois). Cela ne surprend donc pas que Google Analytics soit considéré comme inoffensif par cette autorité et que les préférences sexuelles, exprimées par l'achat de jouets érotiques, soient vues comme des données non protégeables.
Question de quiz: Quel est la différence entre un comptable et un délégué à la protection des données ?
Certaines réponses possibles à cette question de quiz, en ignorant la spécialisation des deux métiers:
- L'expert-comptable est appelé expert, le responsable de la protection des données est appelé responsable.
- Le conseiller fiscal n'est pas obligatoire par défaut, mais le délégué à la protection des données souvent déjà.
- Le conseiller fiscal est souvent mandaté, bien qu'il ne soit pas obligatoire, tandis que le délégué à la protection des données l'est beaucoup moins.
- Avec le conseiller fiscal, on discute rarement de "sécurité", mais avec le délégué à la protection des données, oui ( "Pouvez-nous simplement intégrer Google Analytics sur notre site web ? Rien ne se produira déjà !")
Conseillers fiscaux contre Délégué à la protection des données
Un comptable a beaucoup de choses en commun avec un délégué à la protection des données. Les deux sont conseillers, mais l'un est appelé délégué. Les deux doivent accomplir toutes les tâches possibles, qui sont transmises sous forme de documents envoyés par tous les moyens. Les deux ne sont pas des sous-traitants (il existe certaines activités au sein du comptable qui sont à évaluer différemment). Les deux ont une responsabilité si elles ne font pas leur travail correctement et notamment s'elles n'informent pas leurs clients de manière appropriée. Les deux coûtent de l'argent. Les deux n'aident pas à la productivité d'une entreprise, mais aident uniquement à respecter les prescriptions légales.
Pourquoi notre entreprise a-t-elle un comptable, alors qu'il n'est pas obligatoire ? Pourquoi aucune entreprise dans le village (12 entreprises) n'a-t-elle un délégué à la protection des données ?
La réponse est: parce que l'expert-comptable est nécessaire pour éviter des ennuis avec la direction des impôts. Le délégué à la protection des données aide quelqu'un mais ne lui permet pas d'éviter les ennuis, car il n'y a pas ces ennuis.
Qui a peur du loup méchant ?
Personne ne peut être un mauvais loup si une autorité de protection des données est là.
Chacun, quand le loup mauvais est la caisse des impôts.
DSB contre tax consultant.
La principale différence entre un comptable volontaire et souvent contraint à être un responsable de la protection des données est donc que le traitement des données fiscales se déroule dans une atmosphère de menace et l'étendue des données personnelles sans aucune conséquence si on ne fait pas trop bête.
Les autorités en Allemagne ne sanctionnent pas. L'agence de protection des données de Hesse n'a pas envie de sanctionner. Hesse est un exemple sûr, car directement devant la porte et les déclarations des représentants des autorités ont pu être entendues personnellement et également à partir du procédé. D'autres autorités sont plus engagées, mais elles ont très peu de personnel. Dans ce contexte, on pourrait à nouveau exiger la suppression du fédéralisme !
La proposition de cet article est donc:
- Une obligation de déclaration pour les commissaires à la protection des données devrait être complètement supprimée.
- Au lieu de cela, les autorités devraient enfin commencer à sanctionner et à infliger des amendes pour les infractions sur internet.
- Inférieur, mais un joli détail (DSB -> tax consultant): Le responsable du traitement des données devrait être appelé conseiller en protection des données ou au moins – à l'image du conseiller fiscal – considéré comme un conseiller et non comme un mandataire.
Ainsi se résolvent plusieurs problèmes à la fois:
- Une frontière de collaborateur virtuel pour une commande obligatoire est abolie. Le Bundestag a du temps pour d'autres tâches.
- Les commissaires à la protection des données sont enfin pris au sérieux partout.
- La protection des données devient un avantage.
- Les plateformes comme Facebook ou Instagram et les plugins comme ceux de Google ou Meta sont enfin sanctionnés, à savoir ceux qui les utilisent illégalement. Il est probable que Google ou Meta devront bientôt leur tour faire face.
Conclusion
Le marché du protection des données est malade. C'est dû aux sanctions manquantes et à rien d'autre. La faute à tous les cookies et les pop-up de cookies, c'est en fait pas la RGPD, mais plutôt des entreprises comme Google ou Meta, qui sont membres du Bitkom, ainsi que Microsoft et d'autres suspects.
La RGPD prétend donner à des personnes concernées de nombreux droits. Mais quand il s'agit d'exercer ces droits, cela devient problématique.
Les autorités allemandes chargées de la protection des données n'ont ni envie ni personnel pour prononcer des sanctions.
D'un autre côté, il faut discuter de chaque détail devant les tribunaux allemands pour savoir si la RGPD a vraiment été conçue ainsi. Cela signifie: est-ce vraiment voulu que quelqu'un ait non seulement le droit de ne pas avoir ses données maltraitées, mais qu'il puisse également exiger et demander des dommages-intérêts ?
De plus, certaines choses vont vraiment trop loin. Où irions-nous si chaque personne avait des droits ? Au bout du compte, on pourrait même supprimer l'obligation de nommer un délégué à la protection des données sans que quiconque s'en aperçoive. Ou, pour rire, rendre obligatoire le comptable et le renommer en délégué fiscal.
Messages clés
Un délégué à la protection des données (DSB) est obligatoire pour les entreprises employant 20 personnes ou plus qui traitent des données numériques.
En Allemagne, les règles de protection des données ne sont pas vraiment appliquées et les sanctions sont rares.
Les experts-comptables sont obligatoires car les impôts sont une menace, tandis que les délégués à la protection des données ne sont pas obligatoires car les sanctions pour la protection des données sont faibles.
Le problème de la protection des données vient du manque de sanctions contre les entreprises qui ne respectent pas le RGPD.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
