[DONNÉES PERSONNELLES] DPO et conflit d’intérêts

[DONNÉES PERSONNELLES] DPO et conflit d’intérêts
16/02/2023 , 09h58 Données personnelles

Dans un arrêt du 9 février 2023, la Cour de Justice de l’Union Européenne (CJUE) a précisé les conditions d’appréciation de l’indépendance du Délégué à la protection des données (« DPO ») et d’un potentiel conflit d’intérêts.

Si vous n’avez que 30 secondes

 

Le DPO n’exerce pas nécessairement à plein temps en cette qualité, et peut exécuter d’autres missions et tâches pour le compte de l’organisme dans lequel il exerce (entreprise, administration par exemple), sous réserve de tout conflit d’intérêts (article 38.6 du RGPD). La CJUE considère qu’une telle situation est susceptible d’être caractérisée lorsque les missions et tâches du DPO le conduisent à être décisionnaire dans la détermination des finalités et des moyens de traitement de données à caractère personnel. L’organisme qui désigne le DPO doit s’assurer de cette absence de conflit d’intérêts tout au long de la mission du DPO. Il lui appartient également de documenter le choix du DPO afin d’être en mesure de démontrer, en cas de contrôle de la CNIL notamment, qu’un tel choix est conforme au RGPD.

 

La comptabilité de la fonction de DPO avec d’autres missions

 

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné et doit exercer ses missions en toute indépendance (articles 38 et 39 du RGPD).

Selon la Cour, il n’existe pas « d’incompatibilité de principe » à l’exercice par le DPO d’autres fonctions auprès du responsable de traitement ou du sous-traitant à condition que cette situation ne génère aucun conflit d’intérêts. Pour rappel, seuls 25 % des DPO internes exercent leur fonction à temps plein (Guide DPO avril 2022, p. 23), de sorte que la fonction de DPO est très majoritairement une fonction exercée en complément d’une autre mission. C’est dire l’importance pratique de l’appréciation de la compatibilité de la fonction de DPO avec d’autres missions.

Les missions et tâches qui conduisent le DPO à « déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant » sont susceptibles de caractériser un conflit d’intérêts.

 

L’appréciation du conflit d’intérêts au cas par cas

 

L’appréciation du conflit d’intérêts se fait au cas par cas, en prenant en compte plusieurs critères :

  • La réglementation applicable (aux représentants du personnel par exemple) ;
  • Les règles internes de l’organisme (par exemple un règlement intérieur) ;
  • La structure organisationnelle du responsable de traitement ou du sous-traitant, c’est-à-dire les modalités concrètes de prise de décision (direction générale ou autre niveau).

La CNIL a considéré par exemple que les fonctions suivantes étaient susceptibles de provoquer un conflit d’intérêts : directeur général des services, directeur des opérations, médecin-chef, responsable du département marketing, responsable des ressources humaines, responsable du service informatique (Guide DPO avril 2022, p. 15).

Pour autant, le critère du niveau hiérarchique des fonctions exercées n’est pas suffisant pour générer une situation de conflit d’intérêts. En effet, la CNIL a ainsi précisé que « des fonctions de niveau hiérarchique « inférieur » au sein de la structure organisationnelle sont également susceptibles de donner lieu à un conflit d’intérêts dès lors qu’en pratique la personne participe à la détermination des finalités et des moyens de traitement » (Guide DPO avril 2022, p. 15). Mais, a contrario, un RSSI peut se pas être en conflit d’intérêts s’il ne décide pas lui-même des finalités et des moyens de traitement mis en œuvre (Guide DPO avril 2022, p. 16).

Par ailleurs, indépendamment du niveau hiérarchique, certaines fonctions sont particulièrement exposées au risque de conflit d’intérêts, par exemple le représentant du personnel désigné comme DPO. En effet, un délégué du personnel peut être amené, dans le cadre d’un vote, à prendre position sur certains sujets ou projets en lien avec le traitement de données personnelles, notamment la gestion du personnel.

 

La documentation du choix du DPO

 

Rappelons que lorsqu’un organisme désigne un DPO, il doit être en capacité de démontrer que son DPO répond aux exigences du RGPD (connaissances et compétences, absence de conflit d’intérêts, etc.), la CNIL ne vérifiant pas ces prérequis au moment de la désignation.

Par conséquent, il appartient à l’organisme qui désigne un DPO de documenter un tel choix (CV, fiche de poste, analyse écrite sur l’absence de conflit d’intérêts, éventuelle certification, etc.), afin d’être en mesure de démontrer que la personne désignée répond aux exigences du RGPD, notamment dans le cadre d’un contrôle de la CNIL.

Dès lors, Il appartient à chaque responsable de traitement ou sous-traitant d’être vigilant dans la désignation de son DPO, et de veiller au respect des dispositions précitées tout au long de sa mission.