Le double rôle du DPD : superviseur ou conseiller ?
La conférence néerlandophone sur la protection de la vie privée PrivCon2023 s’est tenue récemment et DPI était bien entendu également présent. Un thème récurrent était le rôle du DPD, et en particulier une interprétation apparemment différente entre les orateurs et participants néerlandais et belges sur la manière dont ce rôle devrait être rempli.
1.Superviseur ou conseiller ?
Aux Pays-Bas, le DPD est considéré comme un superviseur interne. Ce superviseur interne doit être aussi indépendant que possible. Cela signifie qu’il ne peut pas être impliqué dans des questions opérationnelles telles que la réalisation d’AIPD, qu’il ne donne pas de sessions de sensibilisation et qu’il ne signale les risques qu’à distance. L’un des orateurs néerlandais a fait la comparaison avec le modèle bien connu des trois lignes de défense : dans ce modèle, le DPD est à vrai dire une quatrième ligne de défense et supervise d’en haut.
Cela contraste avec l’approche belge. En Belgique, le DPD a d’abord un rôle de conseiller et d’informateur, et (éventuellement) ensuite de superviseur. L’accent est mis sur être connu au sein de l’organisation, sensibiliser, conseiller et être le plus possible écouté afin que le RGPD soit correctement appliqué à tous les niveaux de l’organisation
2. Que dit la loi ?
Avec des points de vue aussi opposés, il est presque inévitable que l’un ait raison et l’autre tort, n’est-ce pas ? Il est temps de se référer au texte de loi proprement dit, en se concentrant principalement sur les passages suivants de l’article 39.1.a. et b. :
Les missions du délégué à la protection des données sont au moins les suivantes :
- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
- contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
Le RGPD, comment pourrait-il en être autrement, laisse place à l’interprétation. La formulation « informer et conseiller sur les obligations qui leur incombent » peut être interprétée comme la fourniture de conseils limités suite aux obligations énoncées dans la loi, une APD interne. Mais ‘informer et conseiller’ peut également être considéré d’un point de vue plus pratique.
Il en va de même pour l’article 39.1.b : le DPD est-il également (en partie) responsable de cette sensibilisation et de cette formation, ou doit-il seulement en assurer la mise en œuvre ?
Le considérant 97, quant à lui, évoque le rôle du DPD qui consiste à « aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement ». ‘Aider’ insinue que le DPD ne procède pas lui-même à la vérification, mais en même temps, effectuer cette vérification constitue également une forme d’aide.
3. Que dit l’EDPB ?
Pour plus de clarté, consultons les lignes directrices de l’EDPB. Les lignes directrices concernant les DPD (WP 243), bien qu’elles aient été rédigées par le prédécesseur de l’EDPB, le Groupe de travail Article 29, ont par la suite été approuvées par l’EDPB. Le point 4.1 fait expressément référence au fait d’informer et de conseiller, sans mentionner à cet égard qu’il ne s’agirait que des obligations, et mentionne même spécifiquement le fait de « formuler des recommandations ».
Il existe également une certaine ambiguïté dans d’autres références de la directive : le registre doit ainsi en principe être tenu par le responsable du traitement, mais le DPD peut également être chargé de tenir ce registre, sous la supervision du responsable du traitement. L’explication du rôle du DPD dans le cadre d’une AIPD suit le même schéma : il incombe au responsable du traitement, et non au DPD, d’effectuer une AIPD, mais le DPD doit jouer un rôle d’assistance. L’énumération qui suit permet au DPD d’être impliqué dans tous les aspects de l’AIPD, y compris la méthodologie à suivre, le fait de sous-traiter l’AIPD et les mesures à appliquer.
4. Conclusion : cela dépend…
En bref, quelle que soit votre approche, vous trouverez dans la littérature disponible de nombreuses pistes pour étayer votre point de vue et ce n’est donc pas une question d’avoir raison ou tort. Peut-être devrions-nous faire preuve de bon sens et adopter une approche plus pragmatique, des termes que le G29 a lui-même utilisés dans sa ligne directrice.
Qu’est-ce qui fonctionne le mieux pour notre organisation ? Où se situent les risques les plus importants ? La maturité d’une organisation jouera également un rôle à cet égard. En effet, opter pour un rôle de simple superviseur, dans une organisation qui est loin d’y être prête, comporte aussi des risques. À l’inverse, une organisation qui dispose déjà d’un Chief Privacy Officer, avec une équipe de dix personnes chargée de la protection de la vie privée, bénéficiera beaucoup plus d’un DPD assumant principalement un rôle de superviseur.
Quoi qu’il en soit, les choix effectués doivent être bien consignés. Chaque DPD doit disposer d’une description de fonction approuvée définissant clairement les tâches à accomplir et pouvant si nécessaire également être présentée aux autorités de contrôle. Le responsable du traitement et le DPD bénéficient ainsi tous deux d’une plus grande sécurité et clarté.
***
Vous voulez rester au courant de toutes les tendances dans le monde de la protection des données ? Abonnez-vous à Stay Tuned ou inscrivez-vous à l’une de nos formations.
Abonnez-vous ici à notre lettre d’information pour plus d’informations pertinentes sur la protection de la vie privée directement dans votre boîte aux lettres électronique !