La mission de DPD est trop souvent considérée comme une vitrine vide par les Responsables de Traitements et parfois le DPD se trouve dans des situations de conflit d'intérêts. Ceci n'est pas acceptable et n'est pas conforme aux dispositions prévues pour le rôle du DPD dans le RGPD (articles 38 et 39).
L’indépendance du DPD
L’article 38 du RGPD impose au responsable du traitement ou au sous-traitant une série d’obligations en vue de permettre à ce dernier d’assumer les missions prévues quant à elles, à l’article 39.
Le délégué peut être un membre du personnel du responsable du traitement ou du sous-traitant ou accomplir ses missions sur la base d’un contrat de service.
Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le délégué à exercer les missions visées à l’article 39 en lui fournissant les ressources nécessaires à leur exécution et l’accès aux données à caractère personnel et aux traitements, ainsi qu’en permettant au délégué d’entretenir ses compétences spécialisées.
Il incombe au responsable ou au sous-traitant de veiller à l’indépendance du délégué dans l’exercice de ses missions. Ils doivent notamment veiller à ce qu’il ne reçoive pas d’instruction en ce qui concerne l’accomplissement de ses missions.
Le délégué ne saurait du reste être pénalisé ou licencié par le responsable du traitement ou le sous-traitant pour l’accomplissement de ses missions.
Le délégué à la protection des données fait directement rapport au niveau le plus élevé du responsable du traitement ou du sous-traitant (§3).
le délégué peut exécuter d’autres missions et tâches, à charge du responsable du traitement ou le sous-traitant de veiller à ce que ces missions et tâches n’entraînent pas de conflits d’intérêts (§ 6).
Comme précisé ci-dessus le DPD peut donc avoir d'autres activités que celles liées directement à la gestion de la conformité RGPD au sein de sa société. Le G29 qui a travaillé sur les bases de la mise en place du RGPD, le soulignait dans ses premiers travaux en précisant les limites de ces activités et où le risque du conflit d'intérêts pourrait nuire à la bonne exécution de la mission du DPD
« L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas.
En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. En outre, il peut également y avoir conflit d’intérêts, par exemple, si un DPD externe est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données. »
En complément de ce post, ci dessous le lien vers le site de la CNIL et la page abordant le sujet du DPD
Commentaires