Par une décision du 28 avril 2020, l’Autorité belge de protection des données a adopté une approche assez restrictive concernant la position du délégué à la protection des données (DPD) au sein d’une entreprise.
En effet, l’Autorité a infligé une amende de 50 000 euros à une société belge, considérant, entre autres, que son délégué à la protection des données ne pouvait pas être, simultanément, le chef des départements de la conformité, des risques et de l’audit. Pour l’Autorité, il existait un conflit d’intérêts puisque le DPD pouvait déterminer les finalités et les moyens des traitements effectués par ces services.
Étant donné que l’évaluation des risques, la conformité et l’audit font partie intégrante du rôle du DPD, cette sanction oblige les entreprises à revoir la position de leur DPD et s’assurer qu’il n’y a pas de conflit d’intérêts.
Le contexte
À la suite d’une fuite de données, l’Autorité belge de protection des données a effectué un audit de la société concernée révélant que le DPD de cette société était également le directeur des départements d’audit, de risque et de conformité de celle-ci.
L’autorité, considérant qu’il y avait un conflit d’intérêts, a sanctionné la société pour ce motif.
Le raisonnement de l’Autorité
Dans le cadre de sa décision, l’autorité a déclaré que « l’indépendance et le rôle consultatif du service en tant que tel ne peuvent être simplement étendus à la personne qui occupe simultanément la fonction de délégué à la protection des données et celle de chef de service ».
Elle considère que le fait d’être chef de ces départements implique que le DPD, en cette qualité, détermine les finalités et les moyens du traitement des données à caractère personnel au sein de ces trois départements et est donc responsable des activités de traitement des données relevant du domaine de la conformité, de la gestion des risques et de l’audit interne.
L’Autorité rappelle que les lignes directrices du G29 sur le délégué à la protection des données prévoient que ce dernier ne peut exercer aucune fonction au sein de l’organisation impliquant qu’il doive déterminer les finalités et les moyens du traitement de données à caractère personnel. Cette situation constitue donc un conflit d’intérêts qui conduit à un manque de contrôle indépendant des activités de traitement des données de ces trois départements.
Par ailleurs, l’Autorité a également souligné que cette situation peut conduire à une garantie insuffisante de secret et de confidentialité vis-à-vis des membres du personnel.
Notre point de vue sur la décision
Si nous comprenons le raisonnement qui sous-tend cette décision, le manque de détails sur les raisons pour lesquelles le fait d’être responsable de la conformité, des risques et de l’audit au sein de cette entreprise spécifique est un problème rend cette décision très restrictive.
En effet, le DPD peut exercer des activités supplémentaires dans la mesure où cela n’entraîne pas de conflit d’intérêts.
L’un des critères permettant de déterminer s’il y a conflit d’intérêts est que le DPD ne peut pas être dans une position qui l’amène à déterminer les finalités et les moyens des activités de traitement des données au sein de la société.
Si nous appliquons ce critère de la même manière que l’Autorité belge, il est presque impossible pour un DPD de ne pas déterminer les moyens et les finalités d’un traitement (par exemple, il peut déterminer la finalité et les moyens du traitement de la demande de la personne concernée, qui implique le traitement de données à caractère personnel).
Le G29 (c’est-à-dire l’ancien Comité européen de la protection des données) a estimé que les postes conflictuels au sein de l’organisation peuvent inclure des postes de direction (tels que directeur général, directeur de l’exploitation, directeur financier, médecin-chef, chef du département marketing, chef des ressources humaines ou chef des départements informatiques). Ces exemples n’incluaient pas le chef du service juridique, de l’audit ou de la conformité et on pouvait donc imaginer que lorsque le conflit d’intérêts était marginal, il était possible de nommer un DPD qui serait également chargé des activités d’une autre société.
À notre avis, l’impact et le contexte du conflit d’intérêts potentiel pouvaient également être pris en considération. En effet, la taille de l’entreprise et les activités de traitement en jeu peuvent jouer un rôle dans la décision de savoir s’il est acceptable qu’un DPD exerce des activités supplémentaires.
Si d’autres décisions similaires devaient être prises, on s’attendrait à ce que les autorités ou le Conseil européen de la protection des données fournissent davantage de détails quant à l’étendu de l’application de ce critère.
En tout état de cause, à la lumière de cette décision, les organisations devraient revoir la position de leur DPD afin de s’assurer qu’il n’y a pas de conflit d’intérêts.
Cette publication est également disponible en en_GB.