ella
Dans sa décision du 28 avril 2020, l'Autorité de protection des données (APD) a imposé une lourde amende à une entreprise qui avait nommé son directeur Audit, Risk & Compliance comme Data Protection Officer (DPD ou Délégué à la protection des données).
L'APD estime que cette combinaison de tâches donne lieu à un conflit d'intérêts et va ainsi à l'encontre du Règlement Général de Protection des Données (RGPD ou GDPR).
En raison du cumul de la fonction de responsable des trois départements Audit, Risk & Compliance d'une part et de la fonction de DPD d'autre part, l'APD estimait qu'il manquait un contrôle indépendant par le DPD pour ces départements.
Cette large interprétation de l'APD place les entreprises ayant un DPD interne dans une position incertaine. Le jugement de l'APD indique en tout cas clairement que la désignation d'un DPD interne doit se faire de manière mûrement réfléchie et doit être bien documentée par l'entreprise.
Sommaire
1. Pour rappel
Le Règlement Général de Protection des Données (RGPD) a créé la fonction de Délégué à la protection des données (DPD).
Le DPD joue un rôle clé dans la gestion des données. Il surveille le traitement des données au sein de l'entreprise.
Le groupe de travail européen « Article 29 » a expliqué plus en détail les tâches et les qualités requises d'un DPD dans des directives. Vous pouvez les consulter ici.
Un DPD doit être indépendant et peut être une personne externe ou interne à une entreprise.
Le RGPD permet expressément de désigner un DPD en interne qui accomplit également d'autres tâches et fonctions. Mais uniquement à condition que cela ne crée pas de conflit d'intérêts.
Les directives expliquent qu'un DPD ne peut pas occuper au sein de l'entreprise une position dans laquelle il doit déterminer les objectifs et les moyens pour le traitement des données à caractère personnel.
Selon le groupe de travail, des exemples de fonctions présentant un conflit d'intérêts sont notamment le gérant et le responsable du département IT.
2. Jugement de l'APD : conflit d'intérêts
Dans sa décision du 28 avril 2020, l'Autorité de protection des données (APD) a condamné une entreprise qui avait nommé son directeur Audit, Risk & Compliance comme DPD.
L'APD a jugé qu'il était question d'un conflit d'intérêts et que l'on n'avait pas pris suffisamment de mesures internes au sein de l'entreprise pour éviter ce conflit d'intérêts dans la pratique.
En raison du cumul de la fonction de responsable de ces trois départements d'une part et de la fonction de DPD d'autre part, l'APD estimait qu'il manquait un contrôle indépendant par le DPD pour ces départements.
En raison de ses fonctions de compliance et d'audit, cette personne avait, en plus de son rôle consultatif en tant que directeur, une responsabilité opérationnelle considérable au sein des trois départements.
Par conséquent, il pouvait déterminer l'objectif et les moyens du traitement des données à caractère personnel dans le cadre de ces fonctions.
Selon l'APD, c'est incompatible avec la fonction de DPD. Ce dernier doit à tout moment être capable d'effectuer ses tâches de manière indépendante.
L'APD ajoute que ce cumul de fonctions peut également mener à une garantie insuffisante de discrétion et de confidentialité à l'égard du personnel.
3. Plan stratégique 2020-2025 : accent sur le rôle de DPD
Dans son Plan stratégique 2020-2025, l'APD a déjà annoncé que dans les années à venir, elle souhaite miser sur trois domaines spécifiques, dont le rôle du DPD.
Elle veut identifier les entités qui ont désigné un DPD, mais qui ne permettent pas à cette personne d'agir conformément au cadre légal.
4. Conclusion
Dans cette décision, l'APD va plus loin que les directives du groupe de travail « Article 29 ». Elle juge que le rôle de responsable de département ne peut pas être combiné avec la fonction d'un DPD. Ce dernier doit pouvoir effectuer ses tâches de manière indépendante.
Cette large interprétation de l'APD place les entreprises ayant un DPD interne dans une position incertaine.
La défenderesse n'a pas contesté cette décision de l'APD. Il faut donc attendre un autre cas similaire dans lequel la partie contesterait la décision.
Sur la base de la décision de l'APD, il semble que pour une entreprise, le plus sûr est de choisir un DPD externe. Mais cela dépasserait les directives européennes du groupe de travail « Article 29 » et le RGPD proprement dit.
Ce jugement de l'APD signifie en tout cas que les entreprises qui désignent un DPD interne doivent le faire de manière mûrement réfléchie et bien documentée.
Le DPD ne peut occuper au sein de l'entreprise une fonction dans laquelle il détermine également le but et les moyens relatifs au traitement des données à caractère personnel.
Mais les conflits d'intérêts peuvent également voir le jour dans d'autres cas. Ainsi, la fonction de confiance du DPD peut par exemple être compromise lorsqu'il doit également évaluer le fonctionnement des travailleurs dans le cadre de sa fonction d'audit interne.
Dans ses directives, le groupe de travail estime que cela peut être une bonne pratique :
d'identifier les positions qui ne peuvent pas être compatibles avec la fonction de DPD ;
d'établir des règles internes pour éviter les conflits d'intérêts ;
d'intégrer une explication plus générale sur les conflits d'intérêts ;
d'expliquer que le DPD n'a pas de conflits d'intérêts dans sa fonction, afin de sensibiliser les autres à cette exigence ;
d'intégrer des garanties dans le règlement d'ordre intérieur et de veiller à ce que la vacance pour le poste de DPD ou le contrat de prestation de services soit suffisamment précisé et détaillé pour éviter les conflits d'intérêts.
