Désignation d’un DPO obligatoire dans trois situations
Conformément au RGPD, la désignation d’un délégué à la protection des données ('data protection officer', ci-après DPO) est obligatoire dans les cas suivants :
- Le traitement est effectué par des autorités publiques
- Les activités de base des responsables du traitement ou des sous-traitants consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées
- Les activités de base des responsables du traitement ou des sous-traitants consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions
L’obligation de désigner un DPO n’est pas vraiment liée au fait d’être employeur, mais plutôt au type de traitements effectués au sein de l’entreprise.
Dans les cas où la désignation d’un DPO n’est pas obligatoire, il est néanmoins recommandé de prévoir au sein de l’entreprise une personne de contact pour la protection des données à laquelle les travailleurs peuvent s’adresser lorsqu’ils souhaitent exercer certains droits, émettre un avis critique concernant la protection des données, etc.
Vous trouvez de plus amples renseignements dans la recommandation de l’APD à ce sujet. Il s’agit de la Recommandation n° 04/2017 du 24 mai 2017.
Missions et position du DPO
Le DPO doit faire office de point de contact pour l’Autorité de protection des données (APD)[1], contrôler le respect des principes du RGPD et dispenser des conseils sur les mesures à mettre en œuvre dans le cadre du RGPD. Il devra donc disposer des connaissances professionnelles requises en matière de protection des données.
Le DPO doit par ailleurs pouvoir assumer ses fonctions et obligations en toute indépendance. Celle-ci est appréciée in concreto. L’indépendance du DPO est, par exemple, compromise dès lors qu’il fait partie de la direction de l’entreprise. Celle-ci ne peut être garantie que si le DPO bénéficie d’une protection contre le licenciement empêchant qu’il puisse être licencié pour des raisons liées à l’exercice de sa fonction.
A ce propos, l’APD a récemment infligé une amende de 50.000 euros à une entreprise[2], en raison d’un conflit d’intérêts dans le chef de sa DPO. La DPO en question était également à la tête du département « Conformité, risques et audit interne ». Le texte de loi du RGPD énonce en effet qu’un DPO ne peut exercer d’autres missions – en plus de son rôle de DPO – que lorsque ce cumul ne génère pas de conflit d’intérêts. Ce qui a changé, c’est l’interprétation au sens large de la notion de « conflit d’intérêts » qu’a fait l’APD : dès l’instant où le DPO endosse une position à responsabilité dans un autre département de l’organisation, il est systématiquement question de conflit d’intérêts.
Pour l’APD, le rôle du DPO est donc inconciliable avec le rôle de responsable de n’importe quel département et ne peut donc pas, en l’espèce, être cumulé à une responsabilité dans les départements de l’audit, des risques ou de la conformité.
Signalons enfin que le DPO peut être un travailleur ou un prestataire de services indépendant, tant qu’il répond aux conditions requises et qu’il fait rapport aux plus hauts niveaux de direction.
[1] Ses coordonnées doivent dès lors être communiquées à l’APD (vous trouverez de plus amples informations sur le site web de l’Autorité de protection des données.
[2] Chambre Contentieuse de l’APD : décision du 28 avril 2020.