Accueil " DPD et conflit d'intérêts : le DPA belge inflige une amende de 50 000 euros

Le 28 avril 2020, l'Autorité belge de protection des données ("DPA") a infligé une amende de 50 000 euros à une entreprise belge pour violation de l'article 38 (6) du RGPD. La Chambre des Litiges de l'APD a estimé que le DPD n'occupait pas une position suffisamment exempte de conflit d'intérêts parce qu'il remplissait également la fonction de directeur de l'audit, du risque et de la conformité.

La Chambre des Litiges a indiqué que l'amende administrative n'a pas été imposée dans l'intention de mettre fin à l'infraction, mais plutôt dans le but de faire respecter vigoureusement les règles du RGPD. A cet égard, la Chambre des Litiges a précisé que, bien qu'il n'y ait pas d'élément démontrant une infraction intentionnelle, il y a eu une négligence grave de la part de la partie défenderesse. Veuillez trouver ci-dessous une traduction anglaise non officielle de l'extrait de la décision qui couvre le conflit d'intérêt du DPD.

Suivez ce lien pour lire la version intégrale de la décision du DPA (disponible uniquement en néerlandais) : https://lnkd.in/dNXzrUt

TRADUCTION ANGLAISE NON OFFICIELLE

Décision de l'Autorité belge de protection des données du 28 avril 2020 :

DPD conflit d'intérêt

Chambre des litiges

Décision sur la substance 18/2020 du 28 avril 2020

Numéro de dossier : AH-2019-0013

Objet : Rapport d'inspection sur la responsabilité en cas de fuites de données et le poste de délégué à la protection des données

[...]

Page 13 :

d) Fonction du délégué à la protection des données (article 38 RGPD)

43. Le rapport du service d'inspection fait les observations suivantes sur le poste de délégué à la protection des données :

Outre cette fonction, le DPD de la partie défenderesse exerce également la fonction de directeur de l'audit, du risque et de la conformité dans les locaux de la partie défenderesse.

Ce dossier montre que le DPD n'occupe pas une position suffisamment exempte de conflit d'intérêts (comme l'impose l'article 38, paragraphe 6, du RGPD) et qu'il n'est pas suffisamment impliqué dans les discussions sur les violations de données à caractère personnel (comme l'impose l'article 38, paragraphe 1, du RGPD).

Implication insuffisante du DPD :

• Le DPD de la partie défenderesse est uniquement informé du résultat de l'évaluation des risques. À cet égard, nous renvoyons à la lettre du 12/06/2019 dans laquelle la matrice RACI au point 1.4.2.2 indique que son DPD est seulement "informé" et non "consulté". Or, l'article 38, paragraphe 1, du RGPD exige que le DPD soit dûment associé, en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
• Les champs " DPO's advice " n'étaient jusqu'à récemment systématiquement pas remplis par la partie défenderesse. Il ressort de l'explication de la section 1.4.2.2 de la lettre du défendeur du 12/06/2019 (document 13) que la discussion sur le risque appartient au "business" (ce qui se reflète également dans la matrice RACI susmentionnée) et que, jusqu'à récemment, l'avis du délégué à la protection des données n'était pas inclus dans le formulaire type du défendeur ("Rapport d'enquête sur la violation de données à caractère personnel").

Conflit d'intérêts du délégué à la protection des données

• Tâches contradictoires. Le défendeur indique dans ses lettres du 03/04/2019 et du 12/06/2019 que son délégué à la protection des données n'a qu'un rôle consultatif et ne peut pas prendre de décisions sur les finalités et les moyens du traitement, ce qui est également mentionné dans les [lignes directrices du groupe de travail "Article 29" pour les délégués à la protection des données (DPD)]. Lignes directrices du groupe de travail "Article 29" à l'intention des délégués à la protection des données (DPD)].[1] Toutefois, l'existence d'un conflit d'intérêts ne se limite pas aux cas où une personne détermine les finalités et les moyens du traitement. Les conflits d'intérêts doivent toujours être évalués au cas par cas. La lettre susmentionnée de la partie défenderesse montre que son délégué à la protection des données fait plus que conseiller la partie défenderesse en interne, car cette personne exerce des tâches conflictuelles au sein de Y (la partie défenderesse) qui impliquent une responsabilité opérationnelle importante pour les processus de traitement des données relevant du domaine de l'audit, du risque et de la conformité.
• Approche pragmatique en Allemagne et dans la doctrine juridique,[2] qui [...] se réfèrent à des critères tels que (1) l'existence ou l'absence d'autocontrôle par un titulaire de fonction dirigeante au sein de l'entreprise, (2) l'existence ou l'absence de règles internes sur les conflits d'intérêts, et (3) l'exercice d'une responsabilité opérationnelle significative ayant un impact sur les données à caractère personnel, ....
• Jusqu'à récemment, la défenderesse n'avait pas de politique de prévention des conflits d'intérêts. Ce n'est qu'après les lettres recommandées du DPA du 04/03/2019 et du 16/05/2019 remettant en cause la position du délégué à la protection des données, qu'un document non daté " Y (défendeur) DPO Charter " a été remis via la lettre du défendeur du 12/06/2019, devant encore être mis à l'ordre du jour du Comité d'audit et de conformité en juillet 2019 (comme mentionné à la page 6 de la lettre du défendeur susmentionnée). La rédaction d'un tel document n'implique pas que l'indépendance du DPD soit suffisamment démontrée.

En ce qui concerne l'implication du délégué à la protection des données, la défense souligne que la conclusion du service d'inspection est fondée sur une interprétation erronée en droit et en fait.

Selon la défenderesse, comme indiqué dans ses écritures, il suffirait, aux fins de l'article 38.1 RGPD, que le DPD soit informé, dans le cadre de son intervention, mais cette disposition n'impose pas une obligation spécifique de consultation, contrairement à ce qui est indiqué dans le rapport d'inspection.

La Chambre des Litiges est d'avis que la position de la partie défenderesse n'est pas conforme à la ratio legis et ne constitue pas une interprétation pertinente de l'article 38.1 RGPD, qui prévoit que le DPD "est dûment et rapidement impliqué dans toutes les questions relatives à la protection des données à caractère personnel". En réduisant l'implication du DPD à la simple information (ex post) d'une décision, sa fonction est érodée.

Dans ce contexte, la chambre du contentieux se réfère en particulier aux lignes directrices du groupe de travail "Article 29" pour les DPD[3], qui soulignent l'importance cruciale de l'implication du DPD le plus tôt possible dans toutes les questions liées à la protection des données. En veillant à ce que le DPD soit informé et, plus important encore, consulté dès le départ, il sera possible de se conformer au règlement général sur la protection des données.

En outre, cela favorise le respect d'une approche de la protection des données dès la conception, comme le prévoit l'article 25 RGPD, qui devrait donc devenir la procédure standard au sein de la direction de l'organisation.

La Chambre du contentieux estime que la partie défenderesse a mal interprété l'article 38.1 RGPD. Toutefois, il a été suffisamment démontré à la Chambre du contentieux que, en ce qui concerne le processus d'évaluation des risques, dans la pratique, le délégué à la protection des données est impliqué et effectue lui-même une analyse indépendante du risque pour la vie privée, avant la décision finale sur le risque, en fournissant des conseils et son assistance en tant que conseiller.

Lorsque l'évaluation des risques aboutit à une décision finale prise par les représentants de l'équipe ou du service responsable des services ou des clients concernés, le délégué à la protection des données est uniquement informé, et non consulté. Cela correspond à l'article 38.1 en liaison avec l'article 39.1. (a) RGPD exigeant que le délégué à la protection des données agisse en tant que conseiller du responsable du traitement mais ne soit pas co-responsable de la décision finale. Sur cette base, la Chambre des Litiges confirme que le DPD ne sera informé que de la décision finale sur le risque.

La Chambre des Litiges décide que, d'une part, la partie défenderesse interprète mal la position du délégué à la protection des données, mais que, d'autre part, il est plausible que, dans la pratique, le délégué à la protection des données soit suffisamment impliqué. Par conséquent, aucune violation de l'article 38.1 RGPD ne peut être établie.

En ce qui concerne la constatation par le service d'inspection de l'existence d'un conflit d'intérêts à l'égard du DPD en raison du fait qu'il est également responsable de la conformité, de la gestion des risques et de l'audit interne, la partie défenderesse fait valoir que dans l'exercice de chacune de ces fonctions, l'intéressé ne prend pas lui-même de décisions, mais que son rôle est purement consultatif. En outre, les mesures nécessaires auraient été prises en interne pour éviter les risques de conflits d'intérêts. Ces mesures ont été formalisées dans une charte DPO qui a été validée par le comité d'audit du défendeur le 29 juillet 2019.

Au cours de l'audience, la chambre du contentieux a examiné l'impact du DPD sur la prise de décision dans le cadre de ses autres fonctions. En ce qui concerne le rôle du délégué à la protection des données, la chambre du contentieux s'interroge sur sa compatibilité avec la fonction d'audit interne, dans le cadre de laquelle un rapport peut mettre en évidence certains éléments susceptibles d'entraîner le licenciement d'un employé donné, le cas échéant. Dans ce contexte, il est important de savoir si le délégué à la protection des données, qui occupe également la fonction de chef de l'audit interne, dispose également du droit de décision en cette qualité.

La Chambre des Litiges souligne qu'il existe une différence entre la simple analyse des processus et l'évaluation du fonctionnement des employés par le biais de l'audit interne, ce qui est en contradiction avec la position de confiance occupée par le délégué à la protection des données au sein de l'entreprise. A cet égard, la partie défenderesse fait valoir qu'il n'y a pas de problème de compatibilité car le délégué à la protection des données, en tant que responsable de l'audit interne, ne prend pas et ne contrôle pas les décisions individuelles concernant les employés.

La Chambre des Litiges note que dans sa conclusion, la partie défenderesse développe longuement l'indépendance et le rôle consultatif de chacun des trois départements, à savoir le département Compliance, le département Audit interne et le département Gestion des risques, vis-à-vis des autres départements de la société. Ainsi, la partie défenderesse affirme que les rôles d'audit, de conformité et de risque ne comportent que des risques limités de conflits d'intérêts, parce qu'ils ont des fonctions "consultatives" et n'ont pas de pouvoir de décision en ce qui concerne les activités de traitement. Cela conduit la défenderesse à affirmer que le délégué à la protection des données n'a pas de fonctions (y compris à travers ses fonctions dans chacun des départements) qui lui permettraient de prendre des décisions sur les finalités et les moyens de tout traitement de données à caractère personnel[4].

La Chambre des Litiges estime que cela ne démontre pas que le délégué à la protection des données qui fait partie de chacun de ces services et y occupe une position de responsabilité n'effectue pas des tâches incompatibles avec sa fonction de délégué à la protection des données.

La Chambre des Litiges constate ainsi que l'indépendance et le rôle consultatif du service en tant que tel ne peuvent pas être simplement étendus à la personne qui occupe simultanément la fonction de délégué à la protection des données et celle de responsable du traitement au sein d'un service.

La Chambre des Litiges devrait évaluer comment et dans quelle mesure l'indépendance du délégué à la protection des données est assurée à l'égard de chacun de ces trois services, en particulier dans une situation comme la présente où le délégué à la protection des données non seulement fait partie de ces services, mais assume également le rôle de responsable du traitement des données pour ces services.

En effet, la partie défenderesse indique explicitement que, outre les responsabilités de responsable du traitement, la même personne est également responsable de la conformité, de la gestion des risques et de l'audit interne[5]. La partie défenderesse elle-même désigne donc la même personne physique comme responsable du traitement pour chacun des trois départements et comme délégué à la protection des données. Cette responsabilité pour chacun de ces trois départements implique indubitablement que cette personne détermine en cette qualité les finalités et les moyens du traitement des données à caractère personnel au sein de ces trois départements et est donc responsable des processus de traitement des données qui relèvent du domaine de la conformité, de la gestion des risques et de l'audit interne tels qu'identifiés dans le rapport d'inspection.

Les lignes directrices du groupe de travail "Article 29" pour les délégués à la protection des données[6] expliquent que le délégué à la protection des données ne peut pas occuper un poste au sein de l'organisation dans laquelle il doit déterminer les finalités et les moyens du traitement des données à caractère personnel. Il s'agit donc d'un conflit d'intérêts essentiel. Le rôle de responsable de service est donc incompatible avec la fonction de délégué à la protection des données, qui doit être en mesure d'accomplir ses tâches en toute indépendance. Le cumul de la fonction de responsable du traitement pour chacun des trois services concernés d'une part, et de la fonction de délégué à la protection des données d'autre part, sur la base d'une même personne physique, est dépourvu de toute possibilité de contrôle indépendant par le délégué à la protection des données pour chacun de ces trois services. En outre, le cumul de ces fonctions peut conduire à une garantie insuffisante du secret et de la confidentialité vis-à-vis des membres du personnel conformément à l'article 38.5 du RGPD. Par conséquent, la Chambre des Litiges est d'avis que la violation de l'article 38.6 RGPD est avérée.

Il est important que le délégué à la protection des données puisse s'acquitter de ses tâches et de ses fonctions dans le respect du poste qui lui a été attribué en vertu de l'article 38 RGPD, en particulier qu'il puisse agir sans conflit d'intérêts. Par conséquent, la chambre du contentieux demande à la partie défenderesse de mettre le traitement à cet égard en conformité avec l'article 38, paragraphe 6, du RGPD et de veiller ainsi à ce que ces tâches ou fonctions n'entraînent pas de conflit d'intérêts.

Compte tenu du fait que le RGPD a attribué un rôle clé au délégué à la protection des données en lui conférant un rôle d'information et de conseil à l'égard du responsable du traitement pour toutes les questions relatives à la protection des données à caractère personnel, y compris la notification des violations de données, la Chambre des Litiges imposera également une amende administrative.

Outre la mesure corrective visant à mettre le traitement en conformité avec l'article 38.6 du RGPD, la Chambre des Litiges décide également d'imposer une amende administrative qui n'est pas destinée à mettre fin à une violation commise, mais en vue de faire respecter vigoureusement les règles du RGPD. Comme il ressort du considérant 148, le RGPD exige qu'en cas d'infractions graves, des sanctions, y compris des amendes administratives, soient imposées en plus ou à la place de mesures appropriées[7], ce que fait la Chambre des Litiges en application de l'article 58.2 i) RGPD. L'instrument de l'amende administrative n'est donc en aucun cas destiné à mettre fin aux infractions. A cet effet, le RGPD et les WOG[8] prévoient un certain nombre de mesures correctives, dont les ordonnances visées à l'article 100, §1, 8° et 9° WOG. Tout d'abord, la nature et la gravité de l'infraction sont prises en compte par la Chambre des Litiges pour justifier l'imposition de cette sanction et son montant.

A cet égard, la Chambre des Litiges constate que, bien qu'aucun élément ne démontre l'existence d'une infraction intentionnelle, il existe une négligence grave de la part de la partie défenderesse. Bien que le DPD soit une fonction que le RGPD a rendu obligatoire au niveau européen pour la première fois, le concept de DPD n'est pas nouveau et existe depuis longtemps dans de nombreux États membres et dans de nombreuses organisations[9].

En outre, le groupe de travail "Article 29" a déjà adopté des lignes directrices pour ces fonctionnaires le 13 décembre 2016. Ces lignes directrices ont été révisées le 5 avril 2017 à la suite d'une vaste consultation publique. Comme indiqué ci-dessous, ces lignes directrices sont claires sur la mesure dans laquelle le DPD peut également exercer d'autres fonctions au sein de l'entreprise, en tenant compte de la structure organisationnelle propre à chaque organisation et à évaluer au cas par cas.

En résumé, de l'avis de la Chambre du contentieux, il ne fait aucun doute que le cumul de la fonction de délégué à l'informatique avec une fonction de chef de service devant être supervisée par le délégué à l'informatique ne peut se faire de manière indépendante.

On peut s'attendre à ce qu'une organisation telle que la défenderesse se prépare soigneusement à l'introduction du RGPD et qu'elle le fasse dès l'entrée en vigueur du RGPD , conformément à l'article 99 du RGPD en mai 2016. Après tout, le traitement de données à caractère personnel est une activité de base de la défenderesse, qui, en outre, traite des données à caractère personnel à très grande échelle, y compris des données à caractère personnel qui peuvent présenter un degré élevé de sensibilité pour les personnes concernées, en partie parce qu'elles permettent une observation régulière et systématique[10].

La durée de la violation est également prise en compte. Le délégué à la protection des données a été créé dans le RGPD applicable depuis le 25 mai 2018, de sorte que le manquement à l'article 38.6 RGPD est établi depuis cette date. En tout état de cause, le manquement s'est poursuivi à la date de l'audience, soit le 14 février 2020.

Enfin, la partie défenderesse traite les données personnelles de millions de personnes. Des garanties inefficaces pour la protection des données à caractère personnel, en particulier la nomination d'un délégué à la protection des données qui ne répond pas à l'exigence d'indépendance et ne peut donc pas agir à l'abri de tout conflit d'intérêts, ont donc un impact potentiel sur des millions de personnes concernées.

L'ensemble des éléments exposés ci-dessus justifie une sanction effective, proportionnée et dissuasive, telle que prévue à l'article 83 du RGPD, compte tenu des critères d'appréciation qui y sont prévus, d'un montant de 50 000 euros. La chambre du contentieux souligne que les autres critères énoncés à l'article 83.2. RGPD en l'espèce ne sont pas de nature à entraîner une amende administrative autre que celle établie par la Chambre du contentieux dans le cadre de la présente décision.

e) Publication de la décision

Compte tenu de l'importance de la transparence de la décision de la chambre du contentieux, cette décision est publiée sur le site web de l'autorité de protection des données. Toutefois, il n'est pas nécessaire que l'identification des parties soit publiée directement à cette fin.

POUR CES RAISONS,

la chambre des litiges de l'autorité de protection des données, après délibération, décide de :

- En application de l'article 100, §1, 9° WOG, ordonner à la partie défenderesse de mettre le traitement en conformité avec l'article 38.6 RGPD. A cette fin, la Chambre des Litiges accorde à la partie défenderesse un délai de trois mois et la Chambre des Litiges attend de la partie défenderesse qu'elle lui fasse rapport pour le 31 juillet 2020 au plus tard sur la mise en conformité du traitement avec les dispositions précitées ;

- d'infliger une amende administrative de 50 000 euros en vertu de l'article 100, §1, 13° WOG et de l'article 101 WOG.

Un recours contre cette décision peut être introduit auprès de la Cour du Marché[11] dans un délai de trente jours à compter de la notification, conformément à l'article 108, §1 du WOG, avec l'Autorité de protection des données comme défendeur.

(sgd.) Hielke Hijmans

Président de la Chambre du contentieux

_____

[1] WP 243Rev01, pp 20-21.

[2] Communiqué de presse de l'autorité de contrôle bavaroise du 20/10/2016 sur un responsable informatique publié sur https://www.lda.bayern.de/media/pm2016 OS.pdf et commenté sur https://iapp.org/news/a/german-company-fined-for-dpoconflict-of-interest/ ainsi que la doctrine juridique sur le sujet (notamment F. SCHRAM, Le délégué à la protection des données, Cahier édition 2, Politeia, 2019, 119-121).

[Il est essentiel que le DPD, ou son équipe, soit impliqué le plus tôt possible dans toutes les questions liées à la protection des données. En ce qui concerne les analyses d'impact relatives à la protection des données, le règlement général sur la protection des données mentionne explicitement que le DPD doit être impliqué à un stade précoce et précise que le responsable du traitement doit demander l'avis du DPD lorsqu'il procède à ces analyses d'impact. Le fait de veiller à ce que le DPD soit informé et consulté dès le départ permettra de se conformer au règlement général sur la protection des données et de promouvoir une approche de la protection de la vie privée dès la conception, qui devrait donc devenir une procédure standard au sein de la direction de l'organisation. Il est également important que le DPD soit considéré comme un interlocuteur au sein de l'organisation et qu'il fasse partie des groupes de travail pertinents traitant du traitement des données au sein de l'organisation", WP24301 Rev, paragraphe 3.1. des lignes directrices, souligné par la Chambre des Litiges.

[4] Conclusion défenderesse, n° 166 et 167.

[5] Voir la lettre à la DPA datée du 3 avril 2019, citée dans la conclusion.

[6] Conformément à l'article 38, paragraphe 6, les délégués à la protection des données peuvent "exercer d'autres fonctions et tâches". Toutefois, à cette fin, l'organisation doit veiller à ce que "ces tâches ou fonctions ne donnent pas lieu à un conflit d'intérêts".

L'absence de conflit d'intérêts est étroitement liée à l'exigence d'autonomie. Bien que les DPD puissent exercer d'autres fonctions, ils ne peuvent se voir confier d'autres tâches et missions que si elles ne donnent lieu à aucun conflit d'intérêts. En particulier, cela signifie que le DPD ne peut pas occuper un poste au sein de l'organisation dans laquelle il doit déterminer les finalités et les moyens du traitement des données à caractère personnel. Compte tenu de la structure organisationnelle spécifique de chaque organisation, cette question doit être évaluée au cas par cas.

En règle générale, les postes au sein de l'organisation qui impliquent un conflit d'intérêts sont considérés comme des postes de direction (par exemple, directeur général, directeur des opérations, directeur financier, directeur médical, directeur du marketing, directeur des ressources humaines ou directeur des technologies de l'information), ainsi que des postes de niveau inférieur au sein de la structure organisationnelle lorsque ces personnes sont tenues de déterminer les finalités et les moyens du traitement des données. En outre, un conflit d'intérêts peut également survenir, par exemple lorsqu'il est demandé à un délégué à la protection des données externe de représenter le responsable du traitement ou le sous-traitant devant un tribunal dans le cadre d'un litige portant sur des questions de protection des données.

En fonction des activités, de la taille et de la structure de l'organisation, il peut s'agir d'une bonne pratique pour les responsables du traitement des données ou pour les sous-traitants :

• identifier les fonctions qui peuvent être incompatibles avec le poste de délégué à la protection des données ;
• établir des règles internes à cette fin afin d'éviter les conflits d'intérêts ;
• inclure une explication plus générale des conflits d'intérêts ;
• déclarer que leur DPD n'a pas de conflit d'intérêts dans sa fonction de DPD, afin de sensibiliser les autres à cette exigence ;
• inclure des garanties dans le règlement intérieur de l'organisation et veiller à ce que l'offre d'emploi pour le poste de délégué à la protection des données ou le contrat de service soit suffisamment précise et détaillée pour éviter les conflits d'intérêts. À cet égard, il faut tenir compte du fait que les conflits d'intérêts peuvent prendre différentes formes selon que le DPD est recruté en interne ou en externe.

WP243Rev01, paragraphe 3.5, souligné par la Chambre des Litiges.

[Le considérant 148 indique que "pour renforcer l'application des règles du présent règlement, des sanctions, y compris des sanctions administratives pécuniaires, devraient être imposées pour toute violation du règlement, en plus ou à la place des mesures appropriées imposées par les autorités de contrôle en vertu du présent règlement". Dans le cas d'une violation mineure ou lorsque l'amende probable imposerait une charge disproportionnée à une personne physique, un blâme peut être choisi à la place d'une amende. Toutefois, il convient de tenir compte de la nature, de la gravité et de la durée de la violation, du caractère intentionnel de la violation, des mesures de réduction du préjudice, du degré de responsabilité ou des violations antérieures pertinentes, de la manière dont la violation a été portée à la connaissance de l'autorité de contrôle, du respect des mesures prises à l'encontre du responsable du traitement ou du sous-traitant, de l'adhésion à un code de conduite et de toute autre circonstance aggravante ou atténuante. L'imposition de sanctions, y compris d'amendes administratives, devrait être soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris un recours effectif et une procédure régulière.

[8] Loi du 3 décembre 2017 instituant l'Autorité de protection des données, ci-après dénommée WOG.

[9] Voir notamment WP243Rev01, paragraphe 1.

[10] Il est fait référence, entre autres, à l'article 37, paragraphe 1. RGPD. Voir également dans ce contexte la jurisprudence de la Cour de justice de l'Union européenne sur la nature potentiellement sensible des données de télécommunications, par exemple les affaires jointes C-293/12 et C-594/12, Digital Rights Ireland et Seitlinger et autres, ECLI:EU:C:2014:238, paragraphe 37.

[Il s'agit d'une section de la Cour d'appel de Bruxelles qui est (exclusivement) compétente pour des types d'affaires spécifiques tels que les recours contre les décisions de l'Autorité de la concurrence, de la FSMA, de l'IBPT, de la CREG ou d'autres régulateurs.