La Chambre Contentieuse de l’Autorité de protection des données (APD), autorité de protection des données belge, a rendu une décision fournissant des éléments d’éclairage utiles en matière de positionnement du délégué à la protection des données au sein d’une entité.
Elle sanctionne une entité par 50 000€ d’amende, notamment pour non-respect de l’obligation d’éviter un conflit d’intérêts dans les missions et tâches incombant au Data Protection Officer (DPO).
Rôle et positionnement du DPO
Le principe réglementaire de l’absence de conflit d’intérêt
Que votre entité ait ou non l’obligation de désigner un DPO (Voir notre article La nomination d’un DPO est-elle obligatoire ?), le positionnement et les missions du Data Protection Officer sont encadrés par les textes réglementaires et plus spécifiquement par la Section 4 “Délégué à la Protection des données” du Chapitre IV “Responsable du traitement et sous-traitant” du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
Tandis que les missions incombant au DPO sont notamment énumérées aux articles 38 et 39 du RGPD, rien n’interdit au DPO d’effectuer d’autres tâches et missions en complément de ses fonctions de DPO. Dans cette hypothèse, l’article 38-6) vient imposer un principe d’absence de conflit d’intérêt :
Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
Extrait de l’article 38 du RGPD
Ces exigences sont rappelées au sein des lignes directrices du G29 concernant les délégués à la protection des données (WP 243 rev.01) :
Les autres missions et tâches d’un DPD ne doivent pas donner lieu à un conflit d’intérêts. Cela signifie tout d’abord que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas.
En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement.
Extrait des lignes directrices du G29 concernant les délégués à la protection des données
La fonction de Directeur des risques, conformité et audit interne est incompatible avec celle de DPO
Bien que cette affirmation puisse être déduite des textes susmentionnés, c’est l’autorité de contrôle des données belge qui vient nous le confirmer pour la première fois au sein de sa Décision quant au fond 18/2020 du 28 avril 2020 (dossier AH-2019-0013).
Aux origines de cette affaire, l’entité sanctionnée (dont la dénomination sociale n’est pas révélée par l’autorité belge) a connu une fuite de données personnelles. Les échanges entre l’entité fautive et l’APD ont porté l’autorité belge à émettre de sérieux doutes quant à la manière dont l’entité fautive traite les fuites de données. Sur la base de ces éléments, des contrôles plus poussés ont été confiés au Service d’Inspection, ayant notamment conduit l’autorité belge à s’interroger sur le rôle et le positionnement du DPO de l’entité sanctionnée.
Pour l’APD, être responsable de périmètres tels que les Risques, le Contrôle interne et la Conformité implique incontestablement que cette personne, en cette qualité, détermine les finalités et les moyens du traitement de données à caractère personnel au sein de ces trois départements.
En conséquence de quoi, ce cumul des fonctions prive chacun de ces trois départements de toute possibilité de contrôle indépendant par le Data Protection Officer.
Pour l’autorité belge, le rôle de Directeur des risques, conformité et audit interne n’est donc pas conciliable avec la fonction de DPO qui doit pouvoir exercer ses tâches en toute indépendance.
Vous avez un doute quant à de possibles risques de conflits d’intérêts dans les missions incombant à votre DPO ? Avoir recours à un DPO externe peut-être une solution permettant d’éviter ce risque.
Pour aller plus loin
- Lignes directrices concernant les délégués à la protection des données (DPD) : https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
- Décision quant au fond 18/2020 du 28 avril 2020 de la chambre contentieuse de l’Autorité de Protection des Données (APD) : https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_FR_.pdf