article paru chez Securex
23/07/2020
L’Autorité belge de protection des données (« APD ») a récemment infligé une amende de 50 000 EUR à une entreprise, en raison d’un conflit d’intérêts dans le chef de sa Data Protection Officer (DPO). La DPO en question était également à la tête du département « conformité, risques et audit interne ».

Quelle est la portée de ce jugement pour votre DPO ?
Le texte de loi du RGPD énonce en effet qu’un DPO ne peut exercer d’autres missions – en plus de son rôle de DPO – que ce cumul ne génère pas de conflit d’intérêts.[1] Ce qui change à présent, c’est l’interprétation au sens large de la notion de « conflit d’intérêts » que fait l’APD : dès l’instant où le DPO endosse une position à responsabilité dans un autre département de l’organisation, il est systématiquement question de conflit d’intérêts.
Le DPO est un collaborateur interne de votre organisation ? Vous devez alors éviter que cette même personne exerce également une fonction à responsabilité dans un autre domaine.
Vous avez désigné un DPO sur une base volontaire, sans que la loi ne vous l’impose ? Dans ce cas, vous pouvez envisager de ne plus donner à cette personne le titre formel de « DPO », pour préférer par exemple le titre de « responsable de la protection des données ». Cette personne ne sera alors plus liée par les règles du RGPD concernant les tâches et la position du DPO.

Qu’entend-on par « fonction à responsabilité » ?
Les lignes directrices européennes sont strictes…
Les lignes directrices européennes énoncent que le DPO ne peut exercer une fonction qui l’amène à déterminer « les finalités et les moyens du traitement de données à caractère personnel ».[2] Il peut s’agir tant de fonctions d’encadrement supérieur (p. ex. CEO, Chief Operating, CFO, responsable du département marketing, responsable RH, responsable du service informatique…) que de fonctions à un niveau inférieur de la structure organisationnelle. Chaque organisme ayant une structure organisationnelle spécifique, cet aspect doit être étudié au cas par cas.
… mais celles de l’APD le sont encore plus
Dans sa décision du 28 avril 2020 , l’APD va plus loin que les lignes directrices européennes. Pour l’APD, le rôle du DPO est inconciliable avec le rôle de responsable de n’importe quel département et ne peut donc pas, dans ce cas précis, être cumulé à une responsabilité dans les départements de l’audit, des risques ou de la conformité.
Elle fonde ce raisonnement sur le fait que toute personne qui assume une responsabilité opérationnelle dans un département a automatiquement un pouvoir de décision dans les processus de traitement des données de ce département et que, par conséquent, le DPO ne peut plus y exercer un contrôle indépendant.

Petit rappel : que fait un DPO ?
Le « délégué à la protection des données » est l’une des nombreuses nouveautés apportées par le RGPD. Cette nouvelle fonction est mieux connue sous son nom anglais, « Data Protection Officer » ou DPO.
Un DPO donne des informations et des conseils sur le RGPD au sein de l’entreprise et veille au respect des obligations prévues dans le RGPD. Sa tâche consiste à sensibiliser et à former les membres du personnel concernant la protection des données à caractère personnel. Le DPO assume également l’importante mission de point de contact pour l’autorité de contrôle. En Belgique, il s’agit de l’Autorité de protection des données (APD).

Share This