Blog Données personnelles
DPO : attention aux conflits d’intérêts !
Le 28 avril 2020, la Chambre contentieuse de l’Autorité de Protection des Données (APD) belge a infligé une amende de 50 000 euros à un responsable de traitement pour non-respect de l’obligation d’éviter un conflit d’intérêts avec le chef du délégué à la protection des données (DPO) (article 38.6 du RGPD). L’occasion de revenir sur les fonctions de cet acteur clé de la conformité au RGPD dans les entreprises.
En l’espèce, le DPO remplissait également la fonction de directeur de la compliance, du risk management et de l’audit interne. L’APD considère que cette responsabilité implique incontestablement que le DPO détermine les finalités et les moyens du traitement de données personnelles au sein de ces trois départements et qu’il est donc responsable des processus de traitement des données qui relèvent du domaine de la compliance, du risk management et de l’audit interne.
L’APD s’appuie sur les lignes directrices (WP 243) du G29 concernant les délégués à la protection des données du 5 avril 2017, ratifiées par le Comité européen de la protection des données (EDPB), qui indiquent que « le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas. En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement ».
Ainsi, le rôle de responsable d’un département n’est pas conciliable avec la fonction de DPO qui doit pouvoir exercer ses tâches en toute indépendance. Cumuler ces fonctions prive chacun des départements concernés de toute possibilité de contrôle indépendant par le DPO. L’APR relève en outre qu’un tel cumul peut avoir pour effet que le secret et la confidentialité envers les membres du personnel ne puissent pas être suffisamment garantis.
Malgré cela, on constate que cette pratique du cumul est encore assez répandue et que les risques de conflits d’intérêt sont souvent mal appréhendés. Pour limiter ces risques, il est recommandé de mettre en place les bonnes pratiques suivantes :
• recenser les fonctions qui seraient incompatibles avec celle de DPO,
• établir des règles internes à cet effet, afin d’éviter les conflits d’intérêts,
• inclure une explication plus générale concernant les conflits d’intérêts,
• déclarer que le DPO n’a pas de conflit d’intérêts en ce qui concerne sa fonction de DPO, dans le but de mieux faire connaître cette exigence,
• prévoir des garanties dans le règlement intérieur de l’organisme, et de veiller à ce que l’avis de vacance pour la fonction de DPO ou le contrat de service soit suffisamment précis et détaillé pour éviter tout conflit d’intérêts.
Nous rappelons à toutes fins utiles que ces règles de conflit d’intérêts sont applicables dès lors que l’organisme désigne un DPO (y compris externe, comme un cabinet d’avocats), que ce soit parce qu’il y est tenu ou sur la base du volontariat.
L’APD avait également été saisie de la question de savoir si le DPO était suffisamment impliqué dans l’évaluation des risques au sens de l’article 38.1 du RGPD. Sur ce point, l’APD rappelle que le DPO doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Réduire l’association du délégué à la protection des données à sa simple information (a posteriori) concernant une décision vide sa fonction de son contenu ». Le DPO doit être informé, et plus important, consulté dès le début, de manière à assurer le respect du RGPD et favoriser une approche respectueuse du privacy by design.
En matière d’évaluation des risques, si le DPO doit être associé à toute démarche en ce sens, et mener une analyse préalable et indépendante des risques en matière de vie privée, au moyen d’un avis et de son assistance en tant que conseiller, il est uniquement informé (et pas consulté) de la décision finale prise par les départements concernés. Le DPO a donc bien un rôle consultatif, mais n’est pas coresponsable de la décision finale, conformément à l’article 38.1 combiné à l’article 39.1.a) du RGPD. En l’espère, l’APD n’a pas conclu à une violation du RGPD et n’a pas sanctionné le RGPD sur ce point.