Outre l’obligation même de nommer un DPO (Data Protection Officer – Délégué à la protection des données) dont nous avons déjà discuté dans un article précédent, certaines questions reviennent souvent lorsque le chapitre du RGPD relatif au délégué est abordé. Quelle qualification mon DPO doit-il avoir ? Peut-il être nommé en interne ? Puis-je passer par un service externe ?
Qu’il soit nommé par obligation légale ou par précaution, le DPO doit dans tous les cas répondre à deux critères : (1) il doit pouvoir démontrer une connaissance suffisante des différentes législations sur la protection de données et (2) être indépendant lorsqu’il rend ses avis ou qu’il accomplit son rôle de lanceur d’alerte, de manière à éviter tout conflit entre son rôle de sentinelle et les intérêts du responsable du traitement. Là où le concept de bonnes connaissances sur les règles de la protection des données n’est pas entièrement défini (il n’existe, en Belgique et à ce jour, pas de diplôme ou de certification obligatoire à l’application des devoirs du DPO), l’APD (Autorité de Protection des Données) vient de rendre une décision qui circonscrit un peu plus la définition d’indépendance dans les fonctions du délégué.
Suite à une enquête du service d’inspection de l’APD à l’encontre de Proximus, la Chambre Contentieuse de l’Autorité a pu se prononcer sur la question. Il apparaissait en effet que le DPO désigné par le géant de télécoms belge occupait également le poste de responsable des départements de Compliance, d’Audit interne et de Risk Management. L’occupation d’un poste à responsabilité dans l’entreprise par le DPO laissait en effet un doute quant au respect de l’article 38.6 du RGPD. A ce propos, cet article dispose que « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »
Proximus s’était défendu en insistant sur les fonctions purement consultatives, sans compétence décisionnelle, du chef de département. Cette absence de pouvoir décisionnel concernant également les départements qu’il dirigeait, indépendants par rapport aux autres sections de l’entreprise. Cela avait conduit Proximus à affirmer que son délégué à la protection des données n’avait aucune tâche (même pas via ses fonctions dans chacun des départements) dans lesquelles il aurait pu prendre des décisions quant aux finalités et aux moyens du moindre traitement de données à caractère personnel.
L’absence de pouvoir de décision et le caractère consultatif des autres fonctions du DPO n’a pas réussi à convaincre a chambre du contentieux. La chambre a en effet décidé que le simple fait d’être responsable de ces départements, même si ceux-ci n’ont qu’une vocation consultative, « implique incontestablement que cette personne, en cette qualité, détermine les finalités et les moyens du traitement de données à caractère personnel au sein de ces trois départements et donc est responsable des processus de traitement de données qui relèvent du domaine de la compliance, du risk management et de l’audit interne ».
Le conflit d’intérêt étant acquis, l’Autorité a donc décidé de sanctionner Proximus en demandant d’adapter leur position de DPO et en infligeant une amende de 50’000 euros à l’entreprise.
Il en résulte donc que le simple fait de disposer de responsabilités, même si celles-ci n’influencent pas l’entièreté de l’entreprise, suffit à créer un conflit d’intérêt avec les devoirs inhérents à la position de DPO.
Outre l’importance d’éviter le conflit d’intérêt, l’indépendance même du DPO envers l’entreprise doit être soulignée. En effet, selon l’article 38.3 du RGPD : « Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. »
Vu les nombreuses obligations d’indépendance que le DPO doit respecter en interne, il ne peut ni avoir de poste à responsabilités au sein de l’entreprise, ni être soumis aux décisions des personnes responsables dans l’application de son rôle. Il est alors souvent fait appel aux DPO dits « externes ». L’appel à une entreprise ou à un indépendant externe pour jouer le rôle du DPO a en effet plusieurs avantages. Outre le fait de ne pas devoir former un membre du personnel aux législations concernant la protection des données ou de devoir embaucher spécifiquement pour répondre à ce besoin, l’appel à un DPO externe permet de présumer de l’indépendance du DPO et rend possible la mutualisation dudit délégué entre plusieurs entreprises du même secteur afin de répartir les couts.
Retrouvez les réponses de l’APD aux questions les plus couramment posées autour de l’obligation de nommer un DPO sur : https://www.autoriteprotectiondonnees.be/faq-themas/quand-d%C3%A9signer-un-d%C3%A9l%C3%A9gu%C3%A9-%C3%A0-la-protection-des-donn%C3%A9es
Pour plus d’informations sur le RGPD, sur la protection des données ou sur l’impact de ces nouveaux règlements sur votre entreprise, n’hésitez pas à nous contacter ou à nous rencontrer lors d’une entrevue sans engagements : https://digi-lex.be/index.php/contact/