Quel profil pour le DPO/DPD ? Un récent jugement fait réfléchir …
Publié le 02/05/2018 par Etienne Wery
A 1 mois de l’entrée en vigueur du GDPR, une question lancinante est le choix du DPO. Un membre de la direction ? Le Responsable IT ? Un juriste interne ? Il faut faire très attention aux contrariétés d’intérêts : le Tribunal de l’UE le rappelle dans une affaire qui présente beaucoup de similarités.
Le Tribunal de l’UE déclare qu’une même personne ne peut pas occuper à la fois le poste de président du conseil d’administration et de « dirigeant effectif » dans les établissements de crédit soumis à la surveillance prudentielle.
Un signal préoccupant pour celles et ceux qui cumulent la fonction de DPO avec une autre fonction exécutive.
Le DPO
La version finale du Règlement prévoit trois cas dans lesquels la désignation d’un délégué est obligatoire :
- lorsque le traitement est effectué par une autorité ou un organisme public, à l’exclusion des juridictions agissant dans le cadre de leur compétence judiciaire (art. 37, paragraphe 1, a)) ;
- lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées (art. 37, paragraphe 1, b)) ;
- lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements à grande échelle de données sensibles au sens de l’article 9 du Règlement ou de données relatives à des condamnations et infractions pénales (art. 37, paragraphe 1, c)).
Dans tous les cas, le responsable ou le sous-traitant disposent de la faculté de désigner un délégué à la protection des données. Il en va de même des associations ou autres organismes qui représentent des catégories de responsables ou de sous-traitants; ce délégué à la protection des données pourra alors agir pour ces associations ou ces organismes représentant les responsables ou sous-traitants. Le paragraphe 4 précise que le droit de l’Union ou le droit d’un Etat membre peut également exiger une désignation d’un délégué dans d’autres cas que ceux visés au §1er.
Le paragraphe 5 détermine les qualités auxquelles doit répondre le délégué à la protection des données :
- il doit être doté de connaissances spécialisées de la législation et des pratiques en matière de protection des données ;
- être capable d’accomplir les tâches qui lui sont confiées par l’article 39 (dont notamment la sensibilisation des travailleurs à la protection des données, contrôle de la conformité du traitement, correspondance avec l’autorité nationale de contrôle….).
L’indépendance du DPO
L’article 38 impose au responsable du traitement ou au sous-traitant une série d’obligations en vue de permettre à ce dernier d’assumer les missions prévues quant à elles, à l’article 39.
Le délégué peut être un membre du personnel du responsable du traitement ou du sous-traitant ou accomplir ses missions sur la base d’un contrat de service.
Le responsable du traitement ou le sous-traitant veillent à ce que le délégué à la protection des données soit associé d’une manière appropriée et en temps utile à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le délégué à exercer les missions visées à l’article 39 en lui fournissant les ressources nécessaires à leur exécution et l’accès aux données à caractère personnel et aux traitements, ainsi qu’en permettant au délégué d’entretenir ses compétences spécialisées.
Il incombe au responsable ou au sous-traitant de veiller à l’indépendance du délégué dans l’exercice de ses missions. Ils doivent notamment veiller à ce qu’il ne reçoive pas d’instruction en ce qui concerne l’accomplissement de ses missions. Le délégué ne saurait du reste être pénalisé ou licencié par le responsable du traitement ou le sous-traitant pour l’accomplissement de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé du responsable du traitement ou du sous-traitant (§3).
Le délégué doit être lié par le secret ou la confidentialité, en ce qui concerne l’accomplissement de ses tâches, conformément au droit de l’Union ou au droit d’un État membre (art. 38, paragraphe 5).
La dernière version du Règlement prévoit en outre que les personnes concernées peuvent contacter le délégué sur n’importe quelle problématique liée au traitement de leurs données et à l’exercice de leurs droits (cfr. art. 38, paragraphe 4).
Enfin, le délégué peut exécuter d’autres missions et tâches, à charge du responsable du traitement ou le sous-traitant de veiller à ce que ces missions et tâches n’entraînent pas de conflits d’intérêts (§ 6).
Le Règlement oblige également le responsable du traitement -ou le cas échéant, le sous-traitant- à publier les coordonnées relatives au délégué et à les communiquer à l’autorité de contrôle (§ 7).
La décision rendue par le Tribunal de l’UE
C’est en gardant à l’esprit la nécessaire indépendance du DPO qu’il faut lire le jugement rendu par le Tribunal de l’UE la semaine passée en matière bancaire, car il y a des similitudes.
Le Crédit agricole est un groupe bancaire français non centralisé qui dispose, entre autres, de caisses régionales de crédit agricole mutuel. Quatre de ces caisses régionales ont souhaité nommer une même personne aux postes de président du conseil d’administration et de « dirigeant effectif ».
Chargée de la surveillance prudentielle du Crédit agricole, la Banque centrale européenne (BCE) a approuvé la désignation des personnes concernées en tant que présidents du conseil d’administration, mais s’est opposée à ce qu’elles remplissent simultanément la fonction de « dirigeant effectif ».
La BCE a en effet considéré que les fonctions permettant à une personne d’obtenir l’approbation de « dirigeant effectif » au sens du droit français et du droit de l’Union étaient des fonctions exécutives (comme celles de directeur général), différentes de celles confiées au président du conseil d’administration. Selon la BCE, il doit en principe exister une séparation entre l’exercice des fonctions exécutives et non exécutives au sein d’un organe de direction.
Les quatre caisses régionales ont saisi le Tribunal de l’Union européenne pour faire annuler les décisions de la BCE. En substance, elles font valoir que la BCE n’a pas correctement interprété la notion de « dirigeant effectif » en limitant celle-ci aux membres de la direction disposant de fonctions exécutives.
Par arrêt du 24 avril, le Tribunal rejette les recours des quatre caisses régionales et valide l’approche retenue par la BCE.
Le Tribunal analyse la notion de « dirigeant effectif » d’un établissement de crédit au regard de l’article 13 de la directive 2013/36/UE. Sur la base d’une interprétation littérale, historique, téléologique et contextuelle, il en conclut que cette notion vise les membres de l’organe de direction qui relèvent de la direction générale de l’établissement de crédit.
En particulier, le Tribunal rappelle l’objectif poursuivi par le législateur de l’Union en matière de bonne gouvernance des établissements de crédit. Cet objectif passe par la recherche d’une supervision efficace de la direction générale par les membres non exécutifs de l’organe de direction, laquelle implique un équilibre des pouvoirs au sein de l’organe de direction.
Or, l’efficacité d’une telle supervision pourrait être compromise si le président de l’organe de direction dans sa fonction de surveillance, tout en n’occupant pas formellement la fonction de directeur général, était conjointement chargé de la direction effective de l’activité de l’établissement de crédit.
Le Tribunal considère que, la BCE ayant correctement interprété la notion de « dirigeant effectif », elle a tout aussi correctement appliqué l’article 88 de la directive 2013/36/UE qui dispose que le président de l’organe de direction dans sa fonction de surveillance d’un établissement de crédit (tel que le président du conseil d’administration) ne peut pas exercer simultanément, à moins d’une autorisation expresse délivrée par les autorités compétentes, la fonction de directeur général dans le même établissement.
Commentaires
Comparaison n’est pas raison, et la règlementation bancaire présente des particularités. Il n’empêche que l’idée sous-jacente est la même : on ne peut pas être juge et partie, contrôler et être contrôlé.
Dans l’un des premiers avis rendus, le Groupe 29 le soulignait déjà :
« L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié au cas par cas.
En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. En outre, il peut également y avoir conflit d’intérêts, par exemple, si un DPD externe est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données. »
En jugeant que :
- « l’objectif (…) en matière de bonne gouvernance (…) passe par la recherche d’une supervision efficace de la direction générale par les membres non exécutifs (…) »,
- et ensuite que « l’efficacité [de la] supervision pourrait être compromise si le président de l’organe de direction dans sa fonction de surveillance, tout en n’occupant pas formellement la fonction de directeur général, était conjointement chargé de la direction effective de l’activité (…) »,
- pour en conclure que la notion de dirigeant effectif reçoit dans ce contexte une interprétation large,
le tribunal de l’UE rappelle que l’objectif assigné à une règlementation est un critère fondamental d’appréciation et que dans un cas concret il faut rechercher si l’effet utile de ladite règlementation serait atteint pas la situation dénoncée …
Or, en l’occurrence, il n’est guère discutable que l’objectif que le législateur avait en tête en créant la fonction de DPO intègre une très forte dose d’indépendance.
De quoi rendre le choix du DPO encore plus délicat …
Plus d’infos ?
En lisant la décision rendue et l’avis du Groupe 29, disponibles en annexe.