La séparation des pouvoirs au sein d’une entreprise ou la garantie de l’indépendance du DPO

Le 19 juin 2020

Pour rappel, depuis l’entrée en vigueur du RGPD (règlement général sur la protection des données) le 25 mai 2018, certaines entreprises sont dans l’obligation de nommer un délégué à la protection des données (DPD, ou DPO, pour Data Protection Officer).

Ce DPO assure les missions suivantes :

  • informer et conseiller le responsable de traitement quant aux obligations en matière de protection des données personnelles ;
  • contrôler le respect du RGPD au travers d’audits de mise en conformité ;
  • conseiller le responsable de traitement sur la réalisation d’une analyse d’impact sur la vie privée ;
  • gérer les interactions avec la CNIL (ou toute autre autorité de contrôle) et à ce titre, faire office de point de contact avec elle.

Le rôle du DPO peut être sensible et ce dernier ne doit donc pas être juge et partie.

Il doit être indépendant et ne peut occuper une fonction politique au sein de l’entreprise (par exemple, directeur général, directeur financier, directeur du marketing, directeur des ressources humaines, directeur informatique…) ou toute autre fonction à un niveau inférieur si celle-ci implique de déterminer les finalités et les moyens de traitement des données personnelles, sous peine d’entrer en conflit d’intérêt.

Dans sa décision rendue le 28 avril dernier, l’ADP vient pointer du doigt :

  • le non-respect par une société de l'obligation d'éviter un conflit d'intérêt de la part du délégué à la protection des données (article 38.6 du RGPD),
  • l'implication insuffisante du délégué à la protection des données (article 38.1 du RGPD).

L’autorité belge a été saisie suite à une fuite de données intervenue dans les locaux d’une société : en raison d'une erreur dans la sélection des adresses électroniques, un certain nombre d'invitations liées à des professionnels indépendants (et par la suite également la facture électronique) ont été envoyées à des adresses électroniques secondaires qui étaient liées à un client dans les bases de données de la société, mais qui n'avaient pas de lien direct avec le client concerné. Ces personnes de contact secondaires étaient des personnes de contact administratives ou techniques.

 

Conflit d’intérêts :

« Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts. » (Article 38.6 du RGPD)

  • Cumul de fonctions et garantie d’indépendance 

Dans cette affaire, l’autorité belge a retenu qu’un conflit d’intérêt existait du fait que le DPO occupait, au sein de la même société, les postes de directeur du département Compliance, directeur du département Audit interne et directeur du département Risk Management, et que ses tâches impliquaient une responsabilité opérationnelle dans les processus de traitement des données relevant de ces trois pôles.

La société défenderesse soutenait, quant à elle, que ces différentes fonctions n'impliquaient que des risques limités de conflits d'intérêts dès lors qu’elles n’avaient qu’un rôle purement consultatif en ce qui concerne les activités de traitement de données.

L’autorité retient toutefois que le cumul de ces fonctions implique incontestablement que cette personne détermine, pour chaque département, les moyens et les finalités des traitements de données à caractère personnel et agit, de fait, en qualité de responsable de traitement mais également en qualité de DPO de ces trois départements.

  • Le cumul de la fonction de responsable du traitement et la fonction de DPO, sur la base d'une seule et même personne physique, ne permet pas d’assurer le respect de l’obligation d’indépendance du DPO.

 

  • Cumul de fonctions et respect de la confidentialité

L’autorité belge considère également que le cumul de ces fonctions peut conduire à une garantie insuffisante de secret et de confidentialité vis-à-vis des membres du personnel.

Dans cette affaire, il est indiqué que la société défenderesse traite les données personnelles de millions d’individus. L’ADP considère qu’à ce titre, le DPO doit apporter des garanties efficaces de confidentialité des données, ce qu’elle n’a pas démontré en l’espèce.

  • Le cumul de la fonction de responsable du traitement et la fonction de DPO peut impacter la confidentialité des données.

 

Implication insuffisante du DPO :

L’autorité belge vient également rappeler à la société défenderesse le principe énoncé par l’article 38.1 du RGPD selon lequel le DPO doit être « associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

Dans cette affaire, la société défenderesse estimait que le DPO devait être informé et non consulté sur le processus de l’évaluation des risques.

Sur ce point, l’autorité belge rappelle que le DPO doit avoir un rôle consultatif à l'égard du responsable du traitement sur le processus de l’évaluation des risques, mais ne doit pas être coresponsable de la décision finale. Elle considère toutefois que les éléments en présence ne permettent pas de caractériser une violation de l’article 38.1 du RGPD.

 

Sanction pour conflit d’intérêts :

L’autorité belge condamne la société à une amende administrative de 50.000 euros pour violation des dispositions de l’article 38.6 du RGPD.

Cette sanction est particulièrement justifiée compte tenu de la nature et la gravité de la violation, de la durée de celle-ci mais également du nombre important de données traitées (en l’espèce des millions de données sont traitées par la défenderesse). 

Bien que celle-ci puisse paraître élevée en l’espèce, rappelons qu’elle ne représente qu'un infime pourcentage des milliards d'euros de chiffre d'affaire de la société concernée.

En conclusion, à la lueur de cette décision, il faut retenir que le cumul de la fonction de délégué à la protection des données avec une fonction de directeur d'un département que le délégué à la protection des données doit contrôler ne peut pas avoir lieu de manière indépendante.

Notons enfin que, dans l’un de ses premiers avis rendus, le Groupe de travail de l’article 29 soulignait déjà que:

« L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas. ».

Force est de constater qu’aujourd’hui, l’obligation d’indépendance reste difficile à respecter, nombreux sont les DPO qui cumulent leur fonction avec celle de directeur ou chef de service, en particulier dans les petites et moyennes entreprises (PME)…

Affaire à suivre…

Pour permettre au DPO d’agir en parfaite indépendance dans l’exercice de ses missions et d’assurer la confidentialité des données traitées, le Cabinet Ydès propose d’accompagner les entreprises dans la nomination et la formation de leur DPO en interne, ou d’assurer les fonctions de DPO externalisé.

 

Clervie Folliot