{"id":946,"date":"2020-06-02T11:48:07","date_gmt":"2020-06-02T09:48:07","guid":{"rendered":"https:\/\/digi-lex.be\/?p=946"},"modified":"2020-06-02T11:50:45","modified_gmt":"2020-06-02T09:50:45","slug":"lapd-rappelle-limportance-de-lindependance-du-dpo-en-prenant-la-decision-de-sanctionner-proximus","status":"publish","type":"post","link":"https:\/\/digi-lex.be\/index.php\/2020\/06\/02\/lapd-rappelle-limportance-de-lindependance-du-dpo-en-prenant-la-decision-de-sanctionner-proximus\/","title":{"rendered":"L\u2019APD rappelle l\u2019importance de l\u2019ind\u00e9pendance du DPO en prenant la d\u00e9cision de sanctionner Proximus."},"content":{"rendered":"\n<p>Outre l\u2019obligation m\u00eame de nommer un DPO (Data Protection Officer &#8211; D\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es) dont nous avons d\u00e9j\u00e0 discut\u00e9 dans un <a href=\"https:\/\/digi-lex.be\/index.php\/2019\/12\/12\/ne-pas-nommer-de-dpo-peut-vite-vous-revenir-cher\/\" target=\"_blank\" rel=\"noreferrer noopener\">article pr\u00e9c\u00e9dent<\/a>,  certaines questions &nbsp;reviennent souvent lorsque le chapitre du RGPD relatif au d\u00e9l\u00e9gu\u00e9 est abord\u00e9. Quelle qualification mon DPO doit-il avoir&nbsp;? Peut-il \u00eatre nomm\u00e9 en interne&nbsp;? Puis-je passer par un service externe&nbsp;?<\/p>\n\n\n\n<p>Qu\u2019il soit nomm\u00e9 par obligation l\u00e9gale ou par pr\u00e9caution, le DPO doit dans tous les cas r\u00e9pondre \u00e0 deux crit\u00e8res&nbsp;: (1) il doit pouvoir d\u00e9montrer une connaissance suffisante des diff\u00e9rentes l\u00e9gislations sur la protection de donn\u00e9es et (2) \u00eatre ind\u00e9pendant lorsqu\u2019il rend ses avis ou qu\u2019il accomplit son r\u00f4le de lanceur d\u2019alerte, de mani\u00e8re \u00e0 \u00e9viter tout conflit entre son r\u00f4le de sentinelle et les int\u00e9r\u00eats du responsable du traitement. L\u00e0 o\u00f9 le concept de bonnes connaissances sur les r\u00e8gles de la protection des donn\u00e9es n\u2019est pas enti\u00e8rement d\u00e9fini (il n\u2019existe, en Belgique et \u00e0 ce jour, pas de dipl\u00f4me ou de certification obligatoire \u00e0 l\u2019application des devoirs du DPO), l\u2019APD (Autorit\u00e9 de Protection des Donn\u00e9es) vient de rendre une d\u00e9cision qui circonscrit un peu plus la d\u00e9finition d\u2019ind\u00e9pendance dans les fonctions du d\u00e9l\u00e9gu\u00e9.<\/p>\n\n\n\n<p>Suite \u00e0 une enqu\u00eate du service d\u2019inspection de l\u2019APD \u00e0 l\u2019encontre de Proximus, la Chambre Contentieuse de l\u2019Autorit\u00e9 a pu se prononcer sur la question. Il apparaissait en effet que le DPO d\u00e9sign\u00e9 par le g\u00e9ant de t\u00e9l\u00e9coms belge occupait \u00e9galement le poste de responsable des d\u00e9partements de Compliance, d\u2019Audit interne et de Risk Management. L\u2019occupation d\u2019un poste \u00e0 responsabilit\u00e9 dans l\u2019entreprise par le DPO laissait en effet un doute quant au respect de l\u2019article 38.6 du RGPD. A ce propos, cet article dispose que \u00ab&nbsp;<em>Le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es peut ex\u00e9cuter d&rsquo;autres missions et t\u00e2ches. Le responsable du traitement ou le sous-traitant veillent \u00e0 ce que ces missions et t\u00e2ches n&rsquo;entra\u00eenent pas de conflit d&rsquo;int\u00e9r\u00eats.<\/em>&nbsp;\u00bb<\/p>\n\n\n\n<p>Proximus s\u2019\u00e9tait d\u00e9fendu en insistant sur les fonctions purement consultatives, sans comp\u00e9tence d\u00e9cisionnelle, du chef de d\u00e9partement. Cette absence de pouvoir d\u00e9cisionnel concernant \u00e9galement les d\u00e9partements qu\u2019il dirigeait, ind\u00e9pendants par rapport aux autres sections de l\u2019entreprise. Cela avait conduit Proximus \u00e0 affirmer que son d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es n&rsquo;avait aucune t\u00e2che (m\u00eame pas <em>via<\/em> ses fonctions dans chacun des d\u00e9partements) dans lesquelles il aurait pu prendre des d\u00e9cisions quant aux finalit\u00e9s et aux moyens du moindre traitement de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n\n\n\n<p>L\u2019absence de pouvoir de d\u00e9cision et le caract\u00e8re consultatif des autres fonctions du DPO n\u2019a pas r\u00e9ussi \u00e0 convaincre a chambre du contentieux. La chambre a en effet d\u00e9cid\u00e9 que le simple fait d\u2019\u00eatre responsable de ces d\u00e9partements, m\u00eame si ceux-ci n\u2019ont qu\u2019une vocation consultative, \u00ab&nbsp;<em>implique incontestablement que cette personne, en cette qualit\u00e9, d\u00e9termine les finalit\u00e9s et les moyens du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel au sein de ces trois d\u00e9partements et donc est responsable des processus de traitement de donn\u00e9es qui rel\u00e8vent du domaine de la compliance, du risk management et de l&rsquo;audit interne<\/em>&nbsp;\u00bb.<\/p>\n\n\n\n<p>Le conflit d\u2019int\u00e9r\u00eat \u00e9tant acquis, l\u2019Autorit\u00e9 a donc d\u00e9cid\u00e9 de sanctionner Proximus en demandant d\u2019adapter leur position de DPO et en infligeant une amende de 50&rsquo;000 euros \u00e0 l\u2019entreprise.<\/p>\n\n\n\n<p>Il en r\u00e9sulte donc que le simple fait de disposer de responsabilit\u00e9s, m\u00eame si celles-ci n\u2019influencent pas l\u2019enti\u00e8ret\u00e9 de l\u2019entreprise, suffit \u00e0 cr\u00e9er un conflit d\u2019int\u00e9r\u00eat avec les devoirs inh\u00e9rents \u00e0 la position de DPO.&nbsp;<\/p>\n\n\n\n<p>Outre l\u2019importance d\u2019\u00e9viter le conflit d\u2019int\u00e9r\u00eat, l\u2019ind\u00e9pendance m\u00eame du DPO envers l\u2019entreprise doit \u00eatre soulign\u00e9e. En effet, selon l\u2019article 38.3 du RGPD&nbsp;: \u00ab&nbsp;<em>Le responsable du traitement et le sous-traitant veillent \u00e0 ce que le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es ne re\u00e7oive aucune instruction en ce qui concerne l&rsquo;exercice des missions. Le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es ne peut \u00eatre relev\u00e9 de ses fonctions ou p\u00e9nalis\u00e9 par le responsable du traitement ou le sous-traitant pour l&rsquo;exercice de ses missions. Le d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es fait directement rapport au niveau le plus \u00e9lev\u00e9 de la direction du responsable du traitement ou du sous-traitant.<\/em>&nbsp;\u00bb<\/p>\n\n\n\n<p>Vu les nombreuses obligations d\u2019ind\u00e9pendance que le DPO doit respecter en interne, il ne peut ni avoir de poste \u00e0 responsabilit\u00e9s au sein de l\u2019entreprise, ni \u00eatre soumis aux d\u00e9cisions des personnes responsables dans l\u2019application de son r\u00f4le. Il est alors souvent fait appel aux DPO dits \u00ab&nbsp;externes&nbsp;\u00bb. L\u2019appel \u00e0 une entreprise ou \u00e0 un ind\u00e9pendant externe pour jouer le r\u00f4le du DPO a en effet plusieurs avantages. Outre le fait de ne pas devoir former un membre du personnel aux l\u00e9gislations concernant la protection des donn\u00e9es ou de devoir embaucher sp\u00e9cifiquement pour r\u00e9pondre \u00e0 ce besoin, l\u2019appel \u00e0 un DPO externe permet de pr\u00e9sumer de l\u2019ind\u00e9pendance du DPO et rend &nbsp;possible la mutualisation dudit d\u00e9l\u00e9gu\u00e9 entre plusieurs entreprises du m\u00eame secteur afin de r\u00e9partir les couts.<\/p>\n\n\n\n<p>Retrouvez les r\u00e9ponses de l\u2019APD aux questions les plus couramment pos\u00e9es autour de l\u2019obligation de nommer un DPO sur :&nbsp;<a href=\"https:\/\/www.autoriteprotectiondonnees.be\/faq-themas\/quand-d%C3%A9signer-un-d%C3%A9l%C3%A9gu%C3%A9-%C3%A0-la-protection-des-donn%C3%A9es\">https:\/\/www.autoriteprotectiondonnees.be\/faq-themas\/quand-d%C3%A9signer-un-d%C3%A9l%C3%A9gu%C3%A9-%C3%A0-la-protection-des-donn%C3%A9es<\/a> <\/p>\n\n\n\n<p>Pour plus d\u2019informations sur le RGPD, sur la protection des donn\u00e9es ou sur l\u2019impact de ces nouveaux r\u00e8glements sur votre entreprise, n\u2019h\u00e9sitez pas \u00e0 nous contacter ou \u00e0 nous rencontrer lors d\u2019une entrevue sans engagements :&nbsp;<a href=\"https:\/\/digi-lex.be\/index.php\/contact\/\">https:\/\/digi-lex.be\/index.php\/contact\/<\/a><\/p>\n\n\n\n<hr class=\"wp-block-separator\"\/>\n","protected":false},"excerpt":{"rendered":"<p>L&rsquo;APD rappelle \u00e0 l&rsquo;ordre et sanctionne Proximus pour avoir nomm\u00e9 un responsable de d\u00e9partement interne comme DPO. <\/p>\n","protected":false},"author":1,"featured_media":948,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,72,37],"tags":[27,31,75,73,74,25,77,28,24,35],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/946"}],"collection":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/comments?post=946"}],"version-history":[{"count":2,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/946\/revisions"}],"predecessor-version":[{"id":949,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/posts\/946\/revisions\/949"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/media\/948"}],"wp:attachment":[{"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/media?parent=946"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/categories?post=946"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/digi-lex.be\/index.php\/wp-json\/wp\/v2\/tags?post=946"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}