Data Protection Officer, une fonction incompatible avec d’autres dans l’entreprise ?

Dans une décision du 28 avril 2020 (*), l'Autorité belge de protection des données (APD) a infligé une amende de 50.000 EUR à une entreprise pour avoir nommé son directeur Audit, Risk & Compliance en tant que Data Protection Officer (DPO). L’APD considère que cette combinaison de rôles crée un conflit d'intérêts et constitue donc une infraction au Règlement général sur la protection des données (RGPD). Cette décision risque de faire jurisprudence et d’avoir un impact sur la désignation du DPO dans de nombreuses entreprises.


Philippe Lambrecht, DIRECTION GÉNÉRALE
24 juin 2020

Pour rappel, dans le cadre de la mise en œuvre du RGPD, le DPO est un acteur clé dans le système de gouvernance des données. Son rôle, ses qualités et compétences requises figurent dans le règlement, mais sont aussi précisées par des lignes directrices émanant du Groupe de travail européen « Article 29 ».

Avant l’arrivée du RGPD, dans de nombreux États - dont la Belgique -, la fonction de DPO n’existait pas. Pour la plupart des entreprises, la désignation d’un DPO a été complexe, et ce, en raison notamment de la charge de travail, des exigences élevées en termes d'expertise, mais aussi des attentes décrites dans les lignes directrices en termes de disponibilité et d’indépendance.

Un certain nombre d’entreprises ont décidé de recourir à un DPO externe. De nombreuses autres ont choisi de nommer un DPO interne et  ont souvent désigné leur responsable de la compliance ou leur responsable juridique comme DPO. Ces derniers semblaient les mieux à même de correspondre à la fonction en raison de leurs connaissances et de leur sensibilisation à la protection des données. En outre, le RGPD autorise explicitement les entreprises ou organisations à désigner un DPO interne qui remplit également « d'autres tâches et fonctions », pour autant que cela n'entraîne pas de conflit d'intérêts.

Dans ses lignes directrices, le groupe « Article 29 » considère qu’il y a conflit d'intérêts lorsqu’un DPO occupe au sein de l'organisation une position qui l'amène à « déterminer les finalités et les moyens du traitement des données à caractère personnel ».  Ainsi, les fonctions telles que CEO, COO, chef du marketing, chef des RH ou chef de département informatique sont des postes conflictuels.

Conflit d’intérêts ou conflit d’interprétation ?
Dans sa décision du 28 avril 2020, l’APD va un pas plus loin. L’entreprise a été condamnée parce qu’elle avait nommé DPO son directeur Audit, Risk & Compliance.  Pour l’APD, il y avait clairement un conflit d’intérêts dans son chef. Elle a donc condamné l’entreprise à mettre fin à ce conflit et à payer une amende de 50.000 EUR, soit l’amende la plus élevée imposée par l’APD belge à ce jour.

Cette décision est critiquable car elle fait courir un risque à de nombreuses entreprises et organisations qui ont opté pour un DPO interne. Comment, en effet, être d’accord avec l’APD lorsqu’elle décide qu’une entreprise ferait preuve  d'un « degré élevé de négligence » en désignant son responsable compliance ou juridique comme DPO et lorsqu’elle prétend que  « la combinaison du rôle du DPO avec celui de chef de tout service soumis au contrôle de ce même DPO empêche celui-ci d'agir de manière indépendante » ? Dans sa décision, l’APD va beaucoup plus loin que  les lignes directrices du groupe de travail « Article 29 ».

À suivre l’APD, il devient impossible de combiner le rôle de DPO avec certaines autres fonctions au sein d'une organisation. Si ce dernier y exerce une fonction trop élevée, on risque de considérer qu'il décide également des objectifs et des moyens. Si, par contre, il se situe à une fonction trop opérationnelle, il est trop impliqué dans les activités de traitement de données proprement dites ou il n'est pas en mesure de faire rapport directement à la direction.

Quelle solution ?
Puisque la décision de l’APD n’a pas été contestée devant la Cour des marchés, il faudra attendre un autre cas similaire pour espérer une réforme de la jurisprudence de l’APD.

En attendant, si on suit l’APD, la seule solution serait d’opter systématiquement pour un DPO externe, consultant ou avocat, par exemple. Cela irait au-delà des lignes directrices européennes et serait sans doute souvent plus onéreux sans être pour autant plus efficace.

En conclusion, la décision de l’APD est trop dogmatique et tient trop peu compte de la réalité des entreprises. Elle crée un précédent préoccupant, même si elle vise un cas d’espèce. Il ne faudrait pas qu’elle empêche de nommer DPO un responsable du service juridique ou de la compliance. Elle implique en tout cas, pour toutes les entreprises qui choisissent de nommer un DPO en interne, de mettre en place une procédure solide leur permettant de traiter d’éventuels conflits d'intérêts. Espérons que l’APD adapte sa vision dans une prochaine décision. Un conflit d’intérêts est une question de fait. Ce n’est pas parce qu’un DPO est responsable de la compliance, de l’audit interne ou de la fonction juridique qu’il aurait un conflit d’intérêts par ce seul cumul de fonctions.

(*) Décision Chambre contentieuse 18/2020 du 28 avril 2020, https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_FR_.pdf

Nos partenaires

Domaines d'action

Un environnement entrepreneurial optimal est essentiel à une économie saine et à une croissance durable. La FEB entend contribuer à la création et au maintien d'un tel environnement, notamment en suivant attentivement tous les dossiers qui touchent de près la vie des entreprises. Voici, regroupés sous 18 thèmes, les dossiers sur lesquels elle concentre ses réflexions et initiatives.


Newsletter FEB IMPACT

Inscrivez-vous et recevez chaque semaine, dans votre boîte mail, les derniers articles parus.