Avocat et DPO ? L’ordre bruxellois répond favorablement
Publié le 02/08/2017 par Etienne Wery , Thierry Léonard
L’ordre bruxellois des avocats modifie le Code de déontologie pour insérer la fonction de délégué à la protection des données (DPO/DPD). L’Ordre a été prompt sur la balle : les avocats attentifs auront remarqué que la lettre du Barreau de Bruxelles de ce 31 juillet 2017 contenait une information essentielle pour les spécialistes de la protection des données à caractère personnel : l’Ordre donne son feu vert permettant aux avocats d’exercer – en qualité d’avocat – la fonction légale de Délégué à la Protection des Données (DPD) ou en anglais Data Protection Officer (DPO).
Le Délégué à la Protection des données (DPO/DPD) et le GDPR
L’article 37 du Règlement Général sur la Protection des Données (RGPD ; GDPR en anglais) fixe trois cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire au sein de l’organisation du responsable du traitement et/ou du sous-traitant :
- lorsque le traitement est effectué par une autorité ou un organisme public, à l’exclusion des juridictions agissant dans le cadre de leur compétence judiciaire ( 37, paragraphe 1, a) ;
- lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ( 37, paragraphe 1, b) ;
- lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements à grande échelle de données sensibles au sens de l’article 9 du Règlement ( 37, paragraphe 1, c).
Le responsable, le sous-traitant ou des associations ou autres organismes qui représentent des catégories de responsables ou de sous-traitants peuvent ou, le cas échéant, doivent désigner un délégué à la protection des données si le droit de l’Union ou le droit d’un État membre l’exige (art. 37, § 4).
Il s’en déduit qu’en dehors de ces trois hypothèses obligatoires, la désignation d’un DPO pourra se faire sur une base volontaire mais impliquera alors pour l’organisme qu’il se soumette aux obligations relatives à la désignation, à la fonction ou aux missions du délégué prévues par le GDPR (articles 37 à 39).
Dans les deux cas, la désignation (qu’elle soit obligatoire ou non) pourra se faire en interne ou en externe. La fonction de DPO peut effectivement être exercée sur la base d’un contrat de service conclu avec un délégué externe à l’organisation du responsable du traitement ou du sous-traitant. Rappelons encore que le délégué à la protection des données reçoit de nombreuses missions décrites à l’article 39 : une mission d’avis et de conseil (1) ; une mission de contrôle (2) ; une mission de point de contact avec l’autorité de contrôle (3). Forcément, le DPD doit fait preuve pour être éligible à sa nomination de compétences spécifiques en termes de connaissances et de pratique de la protection des données.
LE DPD et l’Avocat
En Belgique, cette nouvelle fonction – à l’instar de la France où la fonction de CIL (Correspondant Informatique et Libertés) est déjà depuis longtemps exercée par des Confrères – a nécessairement suscité l’intérêt des avocats spécialisés en la matière comme des représentants d’autres professions (consultants en organisation ou en IT etc.). C’est que la fonction de DPD est susceptible de créer un vaste marché d’offres de services particulièrement pérenne et rémunérateur.
L’expérience des chantiers de mise en conformité au GDPR montre également qu’il est parfois extrêmement difficile de trouver en interne chez le responsable du traitement ou le sous-traitant, des ressources ayant la compétence suffisante tout en évitant la règle d’interdiction du conflit d’intérêts. En effet, toute personne ayant pris des décisions relatives aux traitements de données dans l’organisation (délégué à la sécurité, chef du département IT ou des départements juridiques ou RH etc.) pourrait être amené à contrôler une décision antérieure ou à prendre. Le choix d’une offre externe permet sans doute aussi de se séparer plus confortablement de son DPD, pour autant que les règles d’indépendance soient respectées. Sans parler de la possibilité de ne pas devoir mobiliser une nouvelle ressource en interne sur cette matière.
Il faut en outre souligner que l’avocat paraît particulièrement bien placé pour se positionner dans ce nouveau marché. Le devoir d’indépendance auquel il est déontologiquement soumis, mais aussi sa soumission au secret professionnel tout comme sa réputation de spécialiste dans ces matières lui assurent la possibilité de proposer des offres séduisantes à plus d’un titre.
L’Ordre a bien saisi l’attente de ses ouailles et n’a pas hésité, en sa séance du 20 juin 2017, à insérer des règles particulières au Délégué à la protection des données dans le code de déontologie.
L’effet direct et premier de ses nouvelles dispositions est de reconnaître la compatibilité de la fonction de DPD avec la qualité d’avocat. Un soulagement pour ceux qui en doutaient.
Une compatibilité soumise à conditions
Cela dit, l’exercice de la fonction DPD par l’avocat est soumis à certaines conditions et d’obligations tendant à assurer une parfaite compatibilité :
- L’avocat restera intégralement soumis -pour ses fonctions de DPD- à toutes les obligations déontologiques du barreau ainsi qu’aux seules autorités disciplinaires de l’Ordre. Il devra avertir son Bâtonnier avant d’exercer la fonction de DPD (nouveaux article 2.100.a et 2.100.b).
- Ce devoir va assurément dans le sens de l’indépendance de la fonction de DPD qui implique notamment qu’il ne reçoit aucune instruction concernant l’exercice de ses missions et ne peut être pénalisé par le responsable ou le sous-traitant pour l’exercice de ses missions (art. 38.3 du GDPR). Le nouvel article 2.100.c du code impose d’ailleurs à l’avocat de faire preuve, dans sa fonction de DPD, de toute l’indépendance qui caractérise sa profession et de mettre un terme à sa mission si cette indépendance est compromise.
- l’avocat devra bien entendu être particulièrement attentif à éviter tout conflit d’intérêts dans l’exercice de sa nouvelle fonction, ce qui fait également écho à une disposition spécifique du GDPR ( 38.6).
A ce propos, les règles sont précisées par l’Ordre qui prévoit que (1) l’avocat DPD ne peut plaider en justice pour le responsable et/ou le sous-traitant dans une procédure administrative ou judiciaire le mettant en cause pour des questions relatives à la protection des données à caractère personnel (art. 2100.d) et que (2) l’avocat ne peut non plus intervenir pour une partie qui est ou devient l’adversaire du responsable de traitement dont il est le DPD. Même après son mandat expiré, il ne pourra intervenir que s’il n’existe pas de conflit d’intérêts et de suspicion d’atteinte à son secret professionnel (art. 2100.e).
Ces règles vont imposer aux véritables spécialistes de la matière un choix parfois difficile dans leurs futures interventions : fournir un DPD à son client l’entraînent à renoncer à toute intervention classique à son profit (avis, défense devant l’autorité de contrôle etc.).
Notons enfin que si certaines des nouvelles règles déontologiques ne visent expressément que l’exercice de la fonction de DPD auprès d’un responsable de traitement, les mêmes règles doivent valoir si l’avocat l’exerce auprès d’un sous-traitant. Il ne semble s’agir que d’un oubli de la part de l’Ordre.