Le DPO et ses multiples casquettes face aux conflits d’intérêts

, le 17 avril 2023
Un DPO ne peut pas se voir confier des missions ou des tâches qui le condui­raient à déter­mi­ner les fina­li­tés et les moyens d’un trai­te­ment de données person­nelles. Un conflit d’intérêts ne peut être déter­miné qu’au cas par cas sur la base d’une appré­cia­tion de l’ensemble des circons­tances pertinentes.

Arrêt CJUE C‑453/​21 du 9 février 2023

Faits

Dans le cadre d’une demande préju­di­cielle intro­duite devant la Cour de justice de l’Union euro­péenne (CJUE) par le Bundesarbeitsgericht alle­mand (Cour fédé­rale du travail), celle-ci a été invi­tée à inter­pré­ter l’art. 38 RGPD rela­tif à la fonc­tion du délé­gué à la protec­tion des données (DPO) en regard de certaines dispo­si­tions du droit allemand.

En juin 2015, l’entreprise X‑FAB, sa société mère ainsi que les autres filiales de cette dernière établies en Allemagne ont dési­gné comme DPO le président du comité d’entreprise (c.-à‑d. la repré­sen­ta­tion du person­nel dans l’entreprise) de X‑FAB, qui assume égale­ment la fonc­tion de vice‑président du comité central d’entreprise qui a été consti­tué pour trois entre­prises du groupe. Cette orga­ni­sa­tion a été pensée afin d’assurer un niveau uniforme de protec­tion des données dans lesdites entreprises.

Ces entre­prises ont relevé le DPO de ses fonc­tions avec effet immé­diat en décembre 2017, à la demande de l’autorité de protec­tion des données du Land de Thüringen. Le 25 mai 2018, elles ont à nouveau signi­fié au DPO la fin de son enga­ge­ment, le RGPD étant devenu appli­cable à cette date.

Le DPO a alors ouvert action devant les juri­dic­tions alle­mandes pour faire consta­ter qu’il était toujours DPO de X‑FAB, celle-ci soute­nant l’existence d’un conflit d’intérêts et d’une incom­pa­ti­bi­lité avec ses deux autres fonc­tions (à savoir président du comité d’entreprise de X‑FAB et vice‑président du comité central d’entreprise). Les instances précé­dant le Bundesarbeitsgericht ont donné raison au DPO.

Le Bundesarbeitsgericht soumet plusieurs ques­tions préju­di­cielles à la CJUE, dont celle de savoir si les fonc­tions de président du comité d’entreprise et de DPO peuvent être exer­cées par une seule et même personne ou si cela entraîne un conflit d’intérêts incom­pa­tible avec la fonc­tion de DPO. Cette ques­tion préju­di­cielle dépend de la réponse appor­tée à une autre ques­tion : l’art. 38 par. 3 deuxième phrase RGPD s’oppose-t-il à ce que la régle­men­ta­tion d’un État membre de l’UE soumette la révo­ca­tion d’un DPO à des condi­tions plus strictes que celles prévues par le droit de l’UE ?

L’interprétation de la CJUE

La CJUE commence par rappe­ler que les règles prévues dans le RGPD et visant à proté­ger un DPO contre sa révo­ca­tion ont pour seul but de préser­ver l’indépendance fonc­tion­nelle du DPO. Chaque État membre est donc libre, dans la limite de ses compé­tences, de prévoir des dispo­si­tions plus protec­trices à la condi­tion qu’elles soient compa­tibles avec le droit de l’UE et le RGPD en parti­cu­lier. Rappelant son arrêt C‑534/​20 du 22 juin 2022 dans lequel elle a jugé qu’un DPO pouvait être révo­qué au motif qu’il ne possé­de­rait plus les quali­tés profes­sion­nelles requises, la CJUE indique que ces dispo­si­tions plus protec­trices ne doivent pas avoir pour effet de compro­mettre la réali­sa­tion des objec­tifs du RGPD (cf. www./swissprivacy.law/209/). Ainsi, l’art. 38 par. 3 deuxième phrase RGPD ne s’oppose pas per se à une régle­men­ta­tion interne plus stricte rela­ti­ve­ment à la révo­ca­tion d’un DPO.

La ques­tion préju­di­cielle du conflit d’intérêts peut donc être analy­sée. Pour rappel, l’art. 38 par. 6 RGPD a la teneur suivante :

« Le délé­gué à la protec­tion des données peut exécu­ter d’autres missions et tâches. Le respon­sable du trai­te­ment ou le sous-trai­tant veillent à ce que ces missions et tâches n’en­traînent pas de conflit d’intérêts. »

À la lecture de la première phrase de cette dispo­si­tion, la CJUE déduit que « le RGPD n’établit pas d’incompatibilité de prin­cipe entre, d’une part, l’exercice des fonc­tions de [DPO] et, d’autre part, celui d’autres fonc­tions auprès du respon­sable du trai­te­ment ou de son sous-trai­tant ». Par consé­quent, d’autres tâches que celles figu­rant à l’art. 39 RGPD peuvent être confiées au DPO à la condi­tion qu’elles ne génèrent pas de conflit d’intérêts.. En d’autres termes, le DPO ne saurait se voir confier l’exécution de missions ou de tâches qui serait suscep­tible de nuire à l’exercice de ses fonc­tions de DPO. L’art. 38 par. 6 RGPD pour­suit égale­ment le but de préser­va­tion de l’indépendance fonc­tion­nelle du DPO.

Il en résulte qu’un DPO ne peut pas se voir confier des missions ou des tâches qui le condui­raient à déter­mi­ner les fina­li­tés et les moyens d’un trai­te­ment de données person­nelles, puisqu’une de ses fonc­tions de DPO consiste à contrô­ler de manière indé­pen­dante que ces fina­li­tés et moyens respectent le droit de l’UE. Il ne peut pas être juge et partie.

La CJUE conclut que la présence d’un conflit d’intérêts ne peut être déter­mi­née qu’au cas par cas et par le juge natio­nal, « sur la base d’une appré­cia­tion de l’ensemble des circons­tances perti­nentes, notam­ment de la struc­ture orga­ni­sa­tion­nelle du respon­sable du trai­te­ment ou de son sous-trai­tant et à la lumière de l’ensemble de la régle­men­ta­tion appli­cable, y compris des éven­tuelles règles internes de ces derniers ».

Commentaire géné­ral

Le raison­ne­ment de la CJUE n’est pas surpre­nant pour qui connaît la teneur des Lignes direc­trices du Groupe de Travail Article 29 concer­nant les délé­gués à la protec­tion des données (DPD) du 13 décembre 2016, qui indiquent que « le DPD ne peut exer­cer au sein de l’organisme une fonc­tion qui l’amène à déter­mi­ner les fina­li­tés et les moyens du trai­te­ment de données à carac­tère person­nel. En raison de la struc­ture orga­ni­sa­tion­nelle spéci­fique de chaque orga­nisme, cet aspect doit être étudié au cas par cas » (Lignes direc­trices du Groupe de Travail Article 29 concer­nant les délé­gués à la protec­tion des données (DPD) du 13 décembre 2016, p. 28).

Tout d’abord, il convient de rappe­ler que la fonc­tion de DPO peut être interne à une orga­ni­sa­tion, ou exter­na­li­sée. La CJUE ne faisant aucune distinc­tion dans son juge­ment, on en déduit que les règles sur le conflit d’intérêts s’appliquent égale­ment aux DPO externes.

Ensuite, la CJUE confirme (impli­ci­te­ment) qu’un DPO peut être démis de ses fonc­tions lorsque les quali­tés profes­sion­nelles requises pour remplir ses tâches lui font défaut.

En préci­sant qu’une analyse au cas par cas est néces­saire, la CJUE exige une prise en compte de tous les éléments propres à une situa­tion parti­cu­lière. L’analyse doit évidem­ment porter sur les éléments mention­nés dans l’arrêt, mais égale­ment sur le cahier des charges précis du DPO et des tâches qu’il mène effec­ti­ve­ment à bien. Le conflit d’intérêts ne peut être décou­vert qu’après une analyse minutieuse.

D’un point de vue pratique, cet arrêt devrait inci­ter une orga­ni­sa­tion (et son DPO) à établir un cahier des charges très clair pour le DPO, indi­quant ses tâches, préro­ga­tives ainsi que les compor­te­ments qu’il doit éviter pour tenir éloi­gnée la menace du conflit d’intérêts. À cette fin, il est ainsi possible de s’inspirer des tâches et du compor­te­ment d’un audi­teur, qui ne peut pas audi­ter son propre travail.

Dans le cas faisant l’objet du présent juge­ment, on ne sait pas si la fonc­tion de président du comité d’entreprise ou celle de vice‑président du comité central d’entreprise est compa­tible avec la fonc­tion de DPO. On peut en douter si la repré­sen­ta­tion du person­nel est amenée à trai­ter des données person­nelles de colla­bo­ra­teurs dans un ou plusieurs buts que cette repré­sen­ta­tion défi­nit (ou qui sont défi­nies dans la loi). La réponse serait iden­tique si elle parti­cipe, conjoin­te­ment à d’autres instances de l’entreprise, à la défi­ni­tion des buts et moyens de certains trai­te­ments, comme ceux rela­tifs à la sécu­rité ou à la surveillance. Dans tous les cas, la repré­sen­ta­tion du person­nel déci­de­rait des moyens de chaque trai­te­ment qu’elle met en œuvre, ce qui suffi­rait à rendre la fonc­tion de président de la repré­sen­ta­tion incom­pa­tible avec la fonc­tion de DPO.

Ce juge­ment ne signi­fie pas que le DPO a l’interdiction de trai­ter des données person­nelles. En plus de ses tâches de contrôle qui néces­si­te­ront au moins un accès aux données, il sera souvent amené à gérer les demandes d’exercice de droit des personnes concer­nées. Si les fina­li­tés des trai­te­ments néces­saires à la gestion de ces demandes figurent dans la loi, les moyens à déployer pour parve­nir à atteindre ces fina­li­tés sont à défi­nir par l’entreprise, avec le concours du DPO.

Commentaire d’un DPO en exercice

Dans les faits, un DPO n’est pas toujours « que » DPO. Certaines entre­prises dési­gnent en tant que DPO leur CISO, le CFO, le respon­sable de la gestion des risques voire le respon­sable du dépar­te­ment infor­ma­tique. C’est préci­sé­ment ce cumul de fonc­tions qui peut être problé­ma­tique (et qui l’est pour les fonc­tions susmen­tion­nées). Le fait que le DPO qui n’exerce pas d’autre fonc­tion ait un cahier des charges qui prévoit des tâches qui n’ont rien à voir avec la fonc­tion de DPO est une situa­tion plus facile à gérer du point de vue de la préven­tion des conflits d’intérêts. Il n’en demeure pas moins que le DPO doit possé­der les quali­tés profes­sion­nelles requises (notam­ment des connais­sances spécia­li­sées du droit et des pratiques en matière de protec­tion des données) pour accom­plir les missions que lui attri­bue le cadre légal (cf. art. 39 RGPD ; art. 10 nLPD). Le respon­sable du trai­te­ment ou le sous-trai­tant ne peut donc pas dési­gner DPO n’importe quelle personne interne ou externe à son entreprise.

La limite est parfois ténue entre les acti­vi­tés usuelles d’un DPO et la (parti­ci­pa­tion à la) déter­mi­na­tion des fina­li­tés et des moyens du trai­te­ment. Doit-on consi­dé­rer qu’un DPO parti­cipe à la déter­mi­na­tion de ces fina­li­tés et moyens lorsqu’il est consulté par un colla­bo­ra­teur qui cherche à savoir si les actions envi­sa­gées respectent le cadre légal et que, confor­mé­ment à son rôle de conseiller (art. 39 par. 1 let. a RGPD ; art. 10 al. 2 let. a nLPD), il indique au colla­bo­ra­teur comment procé­der pour remé­dier à la situa­tion ? Certains diront qu’il remplit sa fonc­tion et que son rôle consiste préci­sé­ment à orien­ter les colla­bo­ra­teurs et l’entreprise. D’autres affir­me­ront que la posture du DPO doit être celle d’un audi­teur qui ne doit en aucun cas formu­ler des propo­si­tions de solu­tions, mais se limi­ter à contrô­ler les trai­te­ments et à signa­ler ceux qui ne respectent pas les dispo­si­tions légales, en rappe­lant la teneur de ces dernières, tout en s’abstenant de parti­ci­per acti­ve­ment à la recherche d’une solution.

Dans de nombreuses situa­tions, le DPO sera confronté à une demande de « vali­da­tion » des mesures prises dans un projet pour respec­ter la légis­la­tion sur la protec­tion des données. Il est tentant de répondre posi­ti­ve­ment si tout paraît en règle, pour­tant cette vali­da­tion par le DPO pour­rait être perçue comme une parti­ci­pa­tion à la déter­mi­na­tion des fina­li­tés ou, à tout le moins, des moyens. La diffé­rence avec la situa­tion du para­graphe précé­dent réside dans la vali­da­tion alors que précé­dem­ment le DPO se conten­tait d’offrir ses conseils. Un DPO doit ainsi prendre garde à ne jamais appo­ser son sceau « approuvé », tant pour des ques­tions de conflit d’intérêts que de respon­sa­bi­li­tés civile ou pénale.

Enfin, il ne faut pas perdre de vue que le nouveau droit suisse de la protec­tion des données diffère du droit euro­péen sur l’exigence d’indépendance et d’absence de conflit d’intérêts du DPO. En effet, alors que le droit euro­péen consacre cette exigence en tout état de cause (art. 38 al. 3 et 6 RGPD), le droit suisse n’impose la même chose que dans la situa­tion où le respon­sable du trai­te­ment veut se sous­traire à son obli­ga­tion de consul­ter le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence « lorsque l’analyse d’impact rela­tive à la protec­tion des données révèle que, malgré les mesures prévues par le respon­sable du trai­te­ment, le trai­te­ment envi­sagé présente encore un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concer­née » (art. 10 al. 3 cum art. 23 al. 1 et 4 nLPD). En d’autres termes, à moins que l’indépendance et l’exigence d’absence de conflit d’intérêts ne relèvent du cahier des charges du DPO, celui-ci reste­rait soumis aux instruc­tions de son employeur ou de son mandant (art. 321d CO, respec­ti­ve­ment art. 397 et 398 al. 1 CO). Le Parlement fédé­ral a ainsi nette­ment dimi­nué le statut du DPO en droit suisse par rapport à celui que prévoit encore l’art. 12b al. 2 OLPD, ce qui est des plus regrettables.



Proposition de citation : François Charlet, Le DPO et ses multiples casquettes face aux conflits d’intérêts, 17 avril 2023 in www.swissprivacy.law/220


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law