Pour lire l’article : Revue Expertises n°512 – Mai 2025
Après avoir reçu plusieurs signalements anonymes, l’autorité norvégienne de protection des données (« Datatilsynet ») avait lancé une mission de contrôle à l’égard de la société mère d’un groupe d’entreprises concernant le respect, par cette dernière, des exigences relatives au délégué à la protection des données.
L’inspection a révélé que la société mère agissait non seulement en tant que responsable du traitement pour certaines activités de traitement, mais aussi comme sous-traitant pour le compte des filiales et parfois comme responsable conjoint du traitement avec d’autres filiales.
L’équipe en charge de la protection des données était composée du DPO de la société mère et de coordinateurs de la protection de la vie privée dans les différentes sociétés du groupe et ce, afin de garantir un lien entre le DPO et les filiales.
A la question de savoir si le DPO était associé, de manière appropriée et en temps utile, à toutes les questions relatives à la protection des données personnelles, Datatilsynet a répondu par la négative.
L’autorité norvégienne de protection des données s’est également intéressée au sujet des ressources allouées au DPO par l’entreprise. Constatant que le DPO occupait aussi un poste de juriste auquel il consacrait 50% de son temps, Datatilsynet a estimé que l’attribution d’un demi ETP pour la fonction dédiée à la protection des données était insuffisante.
L’autorité norvégienne de protection des données a aussi estimé que la société mère n’avait pas procédé à toutes les évaluations qu’elle aurait dû faire concernant l’indépendance du DPO et que la distinction entre les rôles et les tâches du DPO et du juriste n’était pas suffisamment claire.
Vous voulez en savoir plus et comprendre les motivations de l’autorité de protection des données : Lire l’article