Les organisations qui réfléchissent à la désignation d’un DPD se posent toujours les mêmes questions : « Ai-je besoin d’un DPD ? », « Quelles sont les tâches et quel est le profil du DPD » et « Le rôle de DPD peut-il être combiné avec un autre rôle ? ». C’est cette dernière question que nous examinerons dans cet article, à savoir l’indépendance du DPD. On peut considérer cette indépendance sous trois angles : le conflit de responsabilité, le conflit de tâches et le conflit de compétences. Nous aborderons ci-dessous les différents modèles de conflits, à chaque fois accompagnés d’un exemple (ce qu’il (ne) faut (pas) faire).
Le conflit de responsabilité : le DPD patron
Le Règlement général sur la protection des données stipule que le DPD peut assumer d’autres tâches, tant que ces autres tâches et obligations ne mènent pas à un conflit d’intérêts. Le Comité européen pour la protection des données traduit cette disposition dans ses lignes directrices sur les DPD. La règle de base est qu’on ne peut pas combiner la fonction de DPD avec un rôle dans le cadre duquel on participe à des décisions qui se rapportent directement ou indirectement au traitement de données à caractère personnel (de collaborateurs ou de clients). Les fonctions dites de niveau C telles que CEO, COO, CFO, CIO, etc., mais aussi la fonction de responsable du département marketing ou de responsable des ressources humaines, ne peuvent pas être combinées avec le rôle de DPD.
Exemple : l’Autorité de protection des données estimait qu’il existait un tel conflit d’intérêts chez Proximus, où la fonction de DPO était combinée avec la fonction de directeur audit, risk and compliance.
Le conflit de tâches : le DPD juge et partie
La fonction de DPD peut être vue comme le rôle de chien de garde local de la vie privée, le prolongement de l’autorité de contrôle. Une tâche essentielle du DPD à cet égard consiste à vérifier si l’entreprise a correctement évalué les risques liés au traitement de données à caractère personnel (notamment les fuites de données, le mauvais usage des données à caractère personnel) et si elle prend des mesures (mesures de sécurité, accords concernant l’utilisation des données, etc.). Le DPD ne peut par conséquent pas d’abord lui-même évaluer les risques et prendre des mesures pour ensuite juger si cette pondération des risques a correctement eu lieu.
Exemple : le ministère néerlandais de la Santé a fait faire une évaluation des risques en ce qui concerne la mise en service de l’application Covid-19. L’analyse proprement dite a été préparée par le ministère. Le DPD, qui n’a pas participé à la préparation de l’analyse des risques, en a évalué le résultat. Il s’agit d’un exemple où juge et partie sont bien distincts.
Le conflit de compétences : le DPD faisant cavalier seul
Un DPD est compétent pour donner des conseils, mais pas pour prendre des décisions. Le DPD peut ainsi conseiller de signaler une fuite de données à l’autorité de contrôle ou au client ou collaborateur, mais il ne peut pas prendre une décision et agir de son propre chef. Bien que le DPD soit probablement la première personne à identifier ou évaluer un incident, par exemple, il n’est pas celle qui y associe immédiatement des décisions.
Exemple : l’Autorité de protection des données fait mention d’un hôpital où le DPD a d’abord fait valider par la direction de l’hôpital les réponses aux questions qu’un service d’inspection lui avait posées, avant de les transmettre au service d’inspection de l’autorité de contrôle. Le DPD agit correctement en faisant d’abord valider les réponses par la direction.
Plan par étapes pour éviter les conflits d’intérêts
Quelles mesures une entreprise peut-elle prendre pour éviter les conflits d’intérêts ? Les étapes ci-dessous contribuent à éviter un conflit d’intérêts :
Étape 1 : Dressez la liste des différents rôles et tâches du DPD
Lorsque le DPD combine plusieurs rôles, documentez la raison pour laquelle ces rôles n’entrent pas en conflit. Si vous estimez qu’un conflit pourrait apparaître dans des cas spécifiques, nommez cette situation et indiquez comment vous allez éviter les conflits au niveau des rôles.
Étape 2 : Dressez la liste des tâches conflictuelles
Le Règlement général sur la protection des données impose plusieurs obligations administratives à une entreprise qui traite des données à caractère personnel : elle doit établir un registre des activités de traitement, effectuer des analyses d’impact relatives à la protection des données, défendre correctement les droits de la personne concernée, etc. Il est nécessaire d’identifier pour toutes ces tâches qui exécute la tâche, et qui veille à l’exécution correcte de celle-ci. Il convient d’analyser pour toutes les tâches celles que le DPD peut ou ne peut pas accomplir, et quel est le rôle de la direction. Vous trouverez une liste des tâches du DPD dans le cadre du respect de toutes les obligations administratives ici.
Étape 3 : le code de conduite éthique
Le DPD doit à tout moment adopter une attitude neutre et faire preuve d’une grande intégrité. Dès le moment où il constate que cette neutralité pourrait être compromise, le DPD doit prendre lui-même les mesures nécessaires pour porter cette situation à l’attention du service d’audit interne ou du directeur général, par exemple, afin que les mesures nécessaires puissent être prises en temps utile. Des directives y afférentes peuvent être reprises dans un code de conduite.