Parmi les nouveautés instaurées par le règlement général européen sur la protection des données (RGPD), la fonction de délégué à la protection des données est essentielle.
Dans quels cas doit-il être désigné ?
Pour rappel, ce délégué ne sera obligatoire que dans 3 cas, à savoir
(1) pour les autorités publiques ou organismes publics,
(2) en cas de suivi régulier et systématique à grande échelle des personnes concernées,
(3) en cas de traitement à grande échelle de données particulières (anciennes données « sensibles ») ou de données relatives à des infractions ou condamnations.
Fort heureusement, le Comité européen de la protection des données (CEPD) a émis des lignes directrices pour aider les opérateurs à appréhender ces trois critères, car un manquement à cette obligation de désignation est passible d’une amende administrative pouvant s’élever jusqu’à 10 000 000 EUR, voire jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent si ce montant est plus élevé.
Dans les autres hypothèses, il sera toujours possible de désigner un délégué à la protection des données sur une base volontaire.
Un délégué à la protection des données, oui mais comment le choisir ?
Une fois prise la décision de désigner un délégué à la protection, reste encore l’épineuse question de savoir qui désigner à ce poste.
Aucune formation spécifique n’est requise. Le délégué doit uniquement disposer d’une expertise en droit national et européen de la protection des données et d’une compréhension approfondie du RGPD.
Il n’est pas non plus nécessaire que le candidat délégué soit approuvé par l’Autorité de protection des données, à l’inverse du poste, assez marginal en Belgique, de conseiller en sécurité de l’information.
Le délégué peut faire partie du personnel de l’entreprise ou de l’autorité publique et être chargé d’autres tâches, mais il faut alors s’assurer qu’il ne soit pas en position de conflit d’intérêts. Les éclaircissements du CEPD s’avèrent également utiles sur ce point, dès lors qu’ils relèvent que les missions de délégué à la protection des données sont incompatibles avec les fonctions de directeur financier, directeur du marketing, directeur des ressources humaines ou directeur du département IT. En effet, un tel délégué serait tiraillé entre les intérêts défendus par ces fonctions et ceux de la protection des données à caractère personnel, ou pourrait à tout le moins manquer du recul nécessaire. Un conflit d’intérêt entre la fonction de délégué et de manager IT a déjà été sanctionné en octobre 2016 par l’autorité bavaroise de protection des données. Par principe, il faut éviter l’autocontrôle, et donc l’hypothèse où la personne qui décide des modalités du traitement de données doit aussi s’interroger sur la compatibilité de ces modalités avec le RGPD. Une telle situation peut être sanctionnée d’une amende de 10 000 000 EUR ou correspondant à 2 % du chiffre d’affaire mondial, même si à l’origine la désignation d’un délégué à la protection des données n’était pas obligatoire pour l’entreprise en cause !
Par contre, les membres des départements juridique ou compliance semblent moins propices à ce type de conflit d’intérêts.
Enfin, la désignation d’un délégué externe permet par essence d’éviter de telles difficultés puisqu’il n’exercera pas d’autres fonctions au sein de l’entreprise.
Que faire ?
Dans tous les cas, il faut soigneusement choisir le délégué, parce qu’il bénéficie d’une certaine protection contre le licenciement.
Il faut aussi documenter le choix du délégué, car l’APD pose très souvent des questions à cet égard, même si au départ son enquête portait sur un autre point.
Ons advies:
Soyez prêt à justifier la décision de ne pas avoir désigné de délégué.
Si vous en désignez un, communiquez ses coordonnées à l’Autorité de protection des données.
Soyez aussi prêt à justifier pourquoi ce candidat a été choisi (formation-absence de conflit d’intérêts), ainsi que les modalités concrètes de communication avec le niveau le plus élevé de la direction.