27 Mai Votre DPO est-il en conflit d’intérêts ?
Le 28 avril 2020, l’Autorité de Protection des Données (APD) a infligé une amende de 50.000,00 EUR à une entreprise (Proximus) pour ne pas avoir respecté son obligation d’éviter un conflit d’intérêts dans le chef de son délégué à la protection des données.
Le RGPD décrit la fonction de Délégué à la Protection des Données (DPO) et précise que le responsable du traitement ou le sous-traitant doit notamment veiller à ce que les autres missions et tâches que cette personne exercerait au sein de l’entreprise ne puissent entraîner de conflit d’intérêts avec sa fonction de DPO ou puissent compromettre son indépendance.
Suite à une fuite de données (envoi de factures sur de mauvaises adresses mail de clients), une enquête a été menée par le service d’inspection de l’APD qui, à cette occasion, a relevé l’existence d’un conflit d’intérêts entre la fonction de directeur des services de compliance, de risk management et d’audit interne et celle de DPO exercée par ailleurs par cette même personne.
Dans le cadre de ces fonctions de compliance et d’audit, cette personne disposait d’une responsabilité opérationnelle importante qui l’amenait à pouvoir déterminer les finalités et moyens de traitement de données à caractère personnel dans le cadre desdites fonctions. Ce rôle de responsable du traitement des données dans un service est, dit l’APD, incompatible avec la fonction de délégué à la protection des données, qui doit être en mesure d’accomplir ses tâches de manière indépendante et, en l’espèce, le cumul de fonctions empêche tout contrôle indépendant éventuel par le DPO. L’APD ajoute que ce cumul de fonction peut également conduire à une garantie insuffisante de secret et de confidentialité vis-à-vis des membres du personnel.
Cette décision pourrait amener de nombreuses entreprises à changer de DPO. Rappelons également qu’au titre de l’obligation d’accountability – qui désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données- il est nécessaire de documenter l’évaluation de la nécessité ou non de désigner un DPO et, le cas échéant, de s’assurer de son expertise en tenant compte des recommandations en la matière.
Pour plus d’informations sur le sujet, n’hésitez pas à contacter Me Antoine DECLEVE (antoine.decleve@cairnlegal.be).
Avec nos salutations distinguées.
L’équipe Cairn Legal