L'article 37 du Règlement général sur la protection des données (RGPD) de l'Union européenne oblige les entreprises à nommer un délégué à la protection des données (DPO) pour superviser la gestion des données personnelles.
Le DPO est chargé de s'assurer que l'entreprise se conforme aux règles du RGPD, de la conseiller sur les questions de protection des données et d'être l'intermédiaire entre celle-ci et les autorités de contrôle. Cependant, il peut se retrouver en conflit d'intérêts, ce qui peut compromettre son indépendance et son impartialité.
Un conflit d'intérêts survient lorsqu'une personne en charge de la protection des données doit également assumer des responsabilités qui vont à l'encontre de sa mission principale de protection des données personnelles ou qui peuvent compromettre son indépendance ou son impartialité, telle que la gestion d'un projet lié à la collecte ou au traitement de données personnelles.
En effet, la réglementation permet à l'organisation de désigner un DPO qui est un membre du personnel. Mais cela peut créer une situation de conflit potentiel entre les intérêts de l'organisme et ceux des personnes concernées par la protection des données.
Il est important de prendre en compte les conflits d'intérêts éventuels qui peuvent affecter les DPO, et de trouver des solutions pour les éviter au sein des organisations.
Les conflits d'intérêts éventuels en cas de cumul de sa fonction de DPO avec une autre
Dans l'accomplissement de ses tâches, le DPO ne doit pas recevoir d'instructions sur la manière de traiter une question, par exemple sur le résultat à atteindre, sur la manière d'instruire une plainte ou sur la nécessité de consulter l'autorité de contrôle. En outre, il ne doit pas recevoir l'ordre d'adopter un certain point de vue sur une question liée à la loi sur la protection des données, par exemple une interprétation particulière de la loi.
La Commission Nationale de l'Informatique et des Libertés (CNIL) a désigné des exemples de fonctions qui pourraient donner lieu à un conflit d'intérêts (dont l'appréciation s'effectue au cas par cas) :
- Secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier ;
- Médecin-chef ;
- Responsable du département marketing, responsable des ressources humaines ou responsable du service informatique.
De ce fait, si le DPO occupe également un poste de gérant, président ou directeur général de l'entreprise, cela crée un conflit d'intérêts puisqu'il est impliqué dans la décision de la stratégie de l'entreprise, ce qui peut avoir un impact sur l'utilisation des données personnelles.
💬 Dans le cas du RSSI, le conflit d'intérêts peut donc exister si ses missions comportent la mise en oeuvre de certains outils du traitement.
Afin de vérifier s'il existe un risque de conflit d'intérêts, il est possible de se poser différentes questions, dont :
- Le DPO a-t-il des intérêts financiers ou des liens avec l'entreprise qui pourraient influencer sa capacité à prendre des décisions impartiales en matière de protection des données ?
- Le DPO est-il impliqué dans des projets qui impliquent la collecte ou le traitement de données personnelles ?
- Le DPO a-t-il accès à des informations confidentielles ou à des données personnelles qui pourraient compromettre son impartialité ?
- Le DPO a-t-il une relation personnelle ou professionnelle avec des personnes impliquées dans la collecte ou le traitement de données personnelles de l'entreprise ?
Ces questions permettent de déterminer si le DPO est en situation de conflit d'intérêts, et de prendre des mesures pour éviter que cela ne compromette son indépendance et son impartialité dans la protection des données personnelles.
🔺 L'autonomie du DPO ne signifie toutefois pas qu'il ne peut pas disposer de pouvoirs de décision, dès lors qu'il ne peut pas prendre de décisions sur la collecte ou le traitement des données personnelles.
Les mesures à prendre pour éviter ces conflits
Selon les lignes directrices du G29, les entreprises peuvent prendre plusieurs mesures pour éviter les conflits d'intérêts en matière de protection des données personnelles, notamment :
- Identifier les postes qui seraient incompatibles avec la fonction de DPO : il doit être une personne indépendante et impartiale, qui ne doit pas avoir de lien avec l'entreprise qui pourrait influencer sa capacité à prendre des décisions impartiales en matière de protection des données.
- Clarifier les rôles et responsabilités du DPO : les organismes doivent clarifier les rôles et responsabilités du DPO, afin de veiller à ce qu'il n'ait pas de responsabilités qui puissent entrer en conflit avec son rôle de protection des données.
- Inclure des garanties dans le règlement intérieur de l'organisation : il convient de veiller à ce que le poste de DPO ou le contrat de service soit suffisamment précis et détaillé pour éviter tout conflit d'intérêts.
- Former le DPO : les organisations doivent doivent offrir une formation adéquate au DPO sur les lois et réglementations en matière de protection des données, ainsi que sur les pratiques recommandées pour éviter les conflits d'intérêts.
- Établir des procédures de gestion des conflits d'intérêts : des procédures pour la gestion des conflits d'intérêts doivent être établies, afin que le DPO puisse signaler tout conflit potentiel et en définissant des mesures pour prévenir ou résoudre les conflits d'intérêts.
- Évaluer régulièrement les risques de conflits d'intérêts : les organisations doivent régulièrement évaluer les risques de conflits d'intérêts pour le DPO, en identifiant les activités qui pourraient entraîner un conflit potentiel et en prenant des mesures pour éviter ou gérer ces risques.
En cas de conflit d'intérêts, l'organisation ayant violé l'article 38.6 du RGPD risque une amende administrative. En 2020, l'autorité de protection des données belge a estimé que, dans cet organisme, le rôle de responsable d'un département n'est pas conciliable avec la fonction de DPO, qui doit pouvoir exercer ses tâches en toute indépendance. Elle a alors condamné le défendeur à une amende de 50.000€.
En conclusion, ce sujet peut être un véritable problème pour les DPO, qui doivent être en mesure de mener leur mission de manière indépendante et sans influence. Les organisations doivent donc prendre en compte ces risques potentiels et mettre en place des mesures pour éviter ces conflits, tels que la mise en place d'une charte éthique claire. En agissant de manière proactive pour éviter ces conflits, les entreprises pourront renforcer leur conformité au RGPD et améliorer la confiance de leurs clients en matière de protection de leurs données personnelles.
💬 Le Comité européen de la protection des données a donné le coup d'envoi de son action coordonnée de mise en œuvre pour 2023. Pour déterminer si les DPO occupent dans leur organisation la position requise par les articles 37 à 39 du RGPD et s'ils disposent des ressources nécessaires, il est nécessaire d'évaluer les besoins de l'organisation. La CNIL va donc mettre en place plusieurs procédures. Pour en savoir plus, cliquez ici.
Dastra a conçu l'outil parfait qui simplifie la vie des DPO. Essayez gratuitement pendant 30 jours.