Trouver sa place comme DPO, intervenir efficacement, jouer son rôle de conseil et de contrôle, autant de questions récurrentes pour les DPO, quelles que soient leurs conditions d’intervention (internalisé, externalisé, etc.) et avec un véritable enjeu quant à leur indépendance. Les conseils de Jérôme Déroulez, associé fondateur du cabinet Deroulez Avocats.

Alors que l’article 38 du RGPD relatif aux fonctions du DPO prévoit que le délégué à la protection des données (DPO) ne reçoive aucune instruction en ce qui concerne l’exercice de ses fonctions et que l’exécution de ses tâches ne doive pas entraîner de conflit d’intérêts, la mise en œuvre concrète de cette indépendance du DPO reste un exercice délicat. Et constitue aujourd’hui une urgence.

Il s’agit en effet d’un enjeu d’actualité puisque les conditions de désignation des DPO et de leurs missions doivent faire l’objet d’investigations en 2023, tant par l’EDPB à l’échelle européenne que par les autorités de contrôle et la Cnil, au niveau national. Il s’agit ainsi d’évaluer comment les DPO sont en mesure de remplir efficacement leur rôle, à l’aune des objectifs prévus par les articles 38 et 39 du RGPD, et ce, alors que ce dernier texte est entré en application depuis cinq ans. Ces investigations doivent être suivies avec attention, alors que la Cnil a eu l’occasion souligner récemment que des contrôles spécifiques seront mis en place. C’est notamment un rappel pour toutes les structures qui doivent obligatoirement désigner un DPO conformément à l’article 37§1 du RGPD. De plus, le cadre juridique relatif à l’indépendance du DPO a été précisé à plusieurs reprises et notamment par la jurisprudence de la CJUE.

Ainsi, dans un arrêt récent du 9 février 2023 portant sur l’interprétation de l’article 38 du RGPD, la CJUE était notamment interrogée sur l'existence d'un conflit d’intérêts au sens de l’article 38§6, lorsqu'un DPO pouvait être en même temps titulaire de la fonction de président du comité d’entreprise du responsable du traitement. La CJUE a alors rappelé une nouvelle fois que l’objectif du règlement était de garantir l'indépendance du DPO, pour permettre d'assurer "une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans lensemble de lUnion", comme elle avait eu l'occasion de le souligner.

S'agissant de la question de l'existence de conflits d'intérêts, la CJUE a, là encore, rappelé logiquement que le RGPD prévoyait que le DPO pouvait exécuter d'autres missions et tâches, sous réserve que ces dernières n'entraînent pas de conflit d'intérêts, pour préserver l'indépendance de ce dernier. Elle a notamment souligné que le DPO ne pouvait se voir confier des missions qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant, ce dernier devant pouvoir effectuer un contrôle de ces finalités et de ces moyens de manière indépendante.

Ce qui signifie en pratique que lorsqu’un DPO est associé à d’autres missions, il ne saurait être amené à déterminer les finalités ou les moyens de certains traitements, puisqu’il ne pourrait en même temps contrôler objectivement ces derniers. Situation qui peut au quotidien poser de nombreuses difficultés au vu des missions assurées par les DPO, en complément de leur activité de DPO et au-delà des difficultés déjà signalées par la Cnil notamment (notamment en cas de cumul DPO et directeur général des services, responsable marketing ou DSI).

Si dans cet arrêt, la CJUE a souligné que la question de la détermination de l’existence de conflits d’intérêts devait être appréciée au cas par cas, en prenant en compte l’ensemble des circonstances pertinentes et l’organisation en cause, cet arrêt rappelle néanmoins le cadre applicable à l’activité du DPO. Et cet arrêt doit d’autant plus être pris en compte qu’il s’inscrit dans la ligne des préconisations de l’EDPB. Ou encore du guide pratique de la Cnil à l’attention des DPO qui souligne la question de la prévention de ces conflits.

Que faut-il alors retenir de cet arrêt et quelle portée pratique en déduire ? Tout d’abord, que l’absence de conflit d’intérêts du DPO doit être documentée et renseignée lors de sa désignation, notamment pour prévenir toute difficulté ultérieure et prévoir des process spécifiques liés à l’exercice de ses différentes fonctions. Ensuite, que l’indépendance du DPO est une des conditions d’une véritable "gouvernance RGPD" et la prévention de ses conflits d’intérêts doit être formalisée, pour garantir la conformité de ces dispositifs à l’article 5 du RGPD.

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

GUIDE ET CLASSEMENTS

> Guide 2024