Permettre au délégué à la protection des données d’exercer ses missions en toute indépendance
Le RGPD exige que l'organisation aide son délégué à la protection des données (DPO) activement en lui fournissant l'accès aux données à caractère personnel et aux opérations de traitement ainsi qu'en mettant à sa disposition les ressources nécessaires pour exercer ses missions, et en lui permettant d’entretenir ses connaissances spécialisées.
Plus les traitements sont complexes et/ou sensibles, plus il convient d'offrir des ressources au DPO. À cet égard, il convient notamment de prévoir ce qui suit :
- Soutien actif de la fonction de DPO par le management supérieur (par exemple au niveau de la direction) ;
- Temps suffisant pour le DPO afin de remplir ses missions ;
- Soutien suffisant en termes de moyens financiers, d'infrastructure (site, installations, équipement) et, si nécessaire, de personnel ;
- Communication officielle sur la désignation du DPO à l'ensemble des collaborateurs ;
- L'accès requis aux autres services au sein de l'organisation de sorte que le DPO reçoive de ces autres départements le soutien, la contribution et les informations indispensables à l’exercice complet de ses missions ;
- Une formation continue permettant au DPO de maintenir l’actualité de ses connaissances de la législation, de la jurisprudence et des pratiques en matière de protection des données ;
- Selon la taille,la structure de l’organisation, et les activités de traitements, il est possible qu’il faille mettre à disposition une équipe au DPO.
Ceci a été précisé dans la décision quant au fond n° 41/2020 du 29 juillet 2022 concernant le droit d’accès auprès de l'ancien employeur et dans la décision quant au font n° 45/2022 du 30 mars 2022 concernant les délais d'expiration de la base de données SIDIS SUITE.
Le DPO doit pouvoir exercer sa fonction en toute indépendance. Le RGPD reprend différentes garanties pour que cette exigence soit une réalité sur le terrain.
- Le délégué ne reçoit aucune instruction sur la manière d'exécuter ses missions en tant que délégué ;
- Le délégué ne peut pas être relevé de ses fonctions ou pénalisé pour l’exercice de ses missions ;
- Il ne peut y avoir de conflit d'intérêts entre les missions de DPO et les éventuelles autres missions ou fonctions du DPO. Bien que le délégué puisse exercer d'autres fonctions, il ne exercer d'autres missions et responsabilités que si celles-ci n'engendrent pas de conflit d'intérêt. Cela implique notamment que le délégué ne peut occuper une fonction au sein de l’organisme qui le conduit à déterminer les finalités et les moyens du traitement de données à caractère personnel. En règle générale, les fonctions/positions conflictuelles au sein d’une entreprise peuvent comprendre des postes de direction, mais peuvent également comprendre des fonctions se situant à un niveau inférieur de la structure organisationnelle. Ainsi, le DPO d’une organisation ne peut pas en même temps être directeur de cette organisation. Plus de détails sont à retrouver dans la décision quant au fond n° 18/2020 du 28 avril 2020 concernant la responsabilité des fuites de données et la position du délégué à la protection des données et dans la décision quant au fond n° 141/2021 du 16 décembre 2021 concernant l'exercice des droits de la personne concernée à l’égard des systèmes d'information d'une banque.
Questions
Le délégué à la protection des données ne peut pas être licencié pour des motifs liés à l’exercice de sa fonction de délégué. Ceci ne signifie pas que le délégué est « intouchable ». Il peut être licencié dans le respect des dispositions légales nationales applicables en droit des contrats, en droit du travail ou de droit pénal par exemple. Il pourrait être mis fin à la fonction du délégué pour des motifs légitimes, en cas de vol, harcèlement ou faute grave similaire. La Cour de Justice de l’Union Européenne a décidé dans son arrêt dans l'affaire C-534/20 du 22 juin 2022 que le DPO peut être licencié s’il ne possède plus les qualités professionnelles requises pour exercer ses missions ou s’il ne s’acquitte pas de ses missions conformément aux dispositions du RGPD.
Cependant le délégué ne peut pas être licencié en raison d’un conseil qu’il aurait donné en matière de protection des données, en raison de la détection et du signalement d’un manquement du responsable de traitement ou du sous-traitant à l’une de leurs obligations en matière de protection des données ou de sa coopération avec l’autorité de contrôle par exemple.
Le délégué ne peut pas non plus être pénalisé en raison de l’exercice de sa fonction. Il ne peut par exemple être pénalisé dans son parcours de carrière dans l’entreprise pour des motifs liés à l’exercice de sa fonction, voir son avancement retardé ou se voir refuser des avantages que d’autres employés reçoivent. La simple menace de telles sanctions suffit sans qu’il soit besoin qu’elles soient effectivement mises en œuvre.
Non. Il peut exercer sa fonction de délégué en complément d’autres activités pour l’organisme (en interne) ou pour d’autres clients par exemple (en externe). Il ne peut toutefois être sujet à un conflit d’intérêt en raison de ce cumul. La Cour de Justice de l’Union européenne a décidé dans son arrêt dans l'affaire C-453/21 du 9 février 2023 qu’il y a un conflit d’intérêt dans le chef du DPO au sens de l’article 38.6 RGPD lorsque le DPO se voit confier des missions dans lesquelles il détermine les finalités et les moyens du traitement.