Le délégué à la protection des données, couramment nommé DPD ou DPO, favorise le respect des règles liées à la mise en œuvre de la règlementation applicable en matière de protection des données personnelles. Interlocuteur privilégié entre les différents acteurs, certains critères sont indispensables pour occuper la fonction de DPD, dont certains ont été instaurés par le Règlement Général sur la protection des données personnelles (RGPD) ainsi que les lignes directrices du G29 (renommé CEPD).
Le critère de l’autonomie et de l’indépendance, instauré par l’article 38.6 du RGPD, est à présent le seul dont le non-respect a fait l’objet d’une sanction par une autorité de contrôle.
Dans une décision du 28 avril 2020, la Chambre Contentieuse de l’Autorité de protection des données Belge (ADP) a condamné une société belge au versement de la somme de 50.000 euros, considérant que le DPD nommé par ses soins disposait de fonctions incompatibles avec ce rôle.
Sur l’obligation d’indépendance du délégué à la protection des données
Aux termes de l’article 38.6 du RGPD, le délégué à la protection des données peut exécuter d'autres missions et tâches. Cependant, le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.La notion de conflit d’intérêt a été précisée au sein des lignes directrices du G29, aux termes desquelles l’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. A cet égard, le G29 précise qu’un DPD ne peut se voir confier, au sein de l’organisme traitant, une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données personnelles.
C’est en ce sens que l’ADP a condamné une entreprise dont le responsable de la compliance, du risk management et de l’audit interne occupait également les fonctions de DPD. Selon l’autorité de contrôle, de telles fonctions impliquent incontestablement la détermination des finalités et des moyens du traitement de données personnelles au sein de ces trois départements, et partant, ne sont pas conciliables avec le rôle de délégué à la protection des données. En effet, la Chambre contentieuse précise que le cumul, dans le chef d’une même personne physique, de la fonction de responsable de trois départements opérationnels, et de la fonction de DPD, prive chacun de ces trois départements de toute possibilité de contrôle indépendant. Surtout, un tel cumul peut avoir pour effet que le secret et la confidentialité envers les membres du personnel ne soient pas suffisamment garantis.
Compte tenu de ce qui précède, nous vous recommandons d’être particulièrement vigilant avant de procéder à la nomination d’un DPD, en particulier lorsque celui-ci est interne à votre entreprise.
La CNIL a fourni des exemples de fonctions qui pourraient donner lieu à un conflit d'intérêts :
-
Secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier ;
-
Médecin-chef ;
-
Responsable du département marketing, responsable des ressources humaines ou responsable du service informatique.
Cet aspect doit bien entendu être étudié au cas par cas, au regard de la structure organisationnelle propre à chaque entité.
Arbitrer le choix d’un DPD externe ou interne à l’organisme traitant
Se pose ainsi pour de nombreux organismes la question de savoir s’il est préférable de désigner un membre de son personnel ou celui d’un sous-traitant (DPD interne) ou solliciter une personne externe spécialisée en protection des données personnelles (DPD externe), pour exercer les fonctions de délégué à la protection des données.
Outre les compétences, l’expertise, la disponibilité et la capacité de disposer du temps et des ressources financières suffisantes, la décision commentée ci-dessus nous apprend qu’il vous revient d’arbitrer ce choix sans omettre l’importance du critère de l’indépendance et de l’autonomie du DPD.
Les lignes directrices du G29 fournissent des solutions afin de permettre au DPD d’agir en toute indépendance, dont notamment :
-
L’absence d’instruction de la part des responsables du traitement ou des sous-traitants en ce qui concerne l’exercice des missions du DPD;
-
L’interdiction pour le responsable du traitement de licencier ou de sanctionner le DPD pour l’exercice de ses missions;
-
L’absence de conflit d'intérêt avec d’autres missions et tâches possibles.
S’il apparaît à première vue plus aisé de désigner un membre du personnel au regard de sa connaissance de l’entreprise et des moindres frais que sa nomination engendre, une telle décision peut s’avérer coûteuse au regard du manque d’indépendance et du risque de conflit d’intérêt sous-jacent à une telle désignation.
Au contraire, le DPO externe – en particulier s’il est avocat – présentera, outre son expertise spécifique en la matière, l’avantage de lever tout risque relatif à un conflit d’intérêt.