Dans un arrêt du 9 février 2023, la Cour de Justice de l’Union européenne a précisé les éléments à prendre en compte pour déterminer si les missions parallèles d’un DPO entraînent un conflit d’intérêts.
Le délégué à la protection des données (ou data protection officer, DPO) est présenté par la CNIL comme le « Chef d’orchestre » de la conformité au RGPD[1].
Le DPO doit en conséquence être associé à l’ensemble des décisions relatives à la protection des données personnelles de son organisme. Il doit pouvoir exercer ses missions de manière indépendante et bénéficier d’une protection suffisante dans l’exercice de ses fonctions.
Cet impératif d’indépendance rend impossible l’exercice en parallèle de certaines fonctions afin de prévenir tout risque de conflit d’intérêts.
La Cour de Justice de l’Union Européenne (CJUE) a récemment eu l’occasion de se prononcer sur la possibilité de révoquer en DPO en situation de conflits d’intérêts.
En l’espèce, le salarié d’une société allemande exerçait les fonctions de président du comité d’entreprise et de DPO. Son employeur l’avait relevé de ses fonctions de DPO au motif qu’il existait un risque de conflit d’intérêts entre ces différentes missions.
L’indépendance du DPO doit être appréciée à la lumière de l’ensemble des circonstances pertinentes
Le rôle du DPO est de piloter la conformité de son organisme au RGPD. Pour ce faire, il est tenu de l’informer et de le conseiller. Il est aussi le point de contact avec les autorités de contrôle et les personnes concernées.
Ce rôle de pilotage implique également le contrôle du respect de la réglementation par son organisme.
Le DPO peut parallèlement exercer d’autres missions[2] à condition qu’elles n’entrainent pas de conflits d’intérêts, c’est-à-dire qu’elles ne nuisent pas à l’exercice indépendant de ses fonctions de DPO[3].
À cet égard, le DPO ne doit pas exercer au sein de l’organisme des missions qui l’amèneraient à décider des finalités et moyens des traitements de données personnelles qu’il contrôle par ailleurs.
Dans son arrêt, la CJUE a rappelé cette position et apporté des précisions sur la manière d’apprécier l’existence d’un conflit d’intérêts. Pour la Cour, ce conflit s’apprécie au regard des circonstances pertinentes, telles que la structure organisationnelle de l’organisme.
Ainsi, des fonctions d’encadrement supérieur comme celles de directeur financier, de responsable des ressources humaines ou de responsable du service informatique sont incompatibles avec celles de DPO.
Le DPO peut être révoqué lorsqu’il ne possède plus les « qualités professionnelles requises »
L’indépendance fait partie des qualités professionnelles requises d’un DPO. Elle est garantie par le fait que son organisme ne peut le relever de ses fonctions ou le pénaliser pour un motif tiré de l’exercice de ses missions. Ce principe vise à garantir au DPO sa liberté pour émettre des analyses et recommandations, sans crainte de représailles.
Cette protection n’est cependant pas absolue et un DPO peut notamment être relevé de ses fonctions lorsque son indépendance est mise à mal, ce qui était le cas en l’espèce[4].
À noter qu’en l’espèce, le droit national allemand était plus protecteur du DPO en conditionnant son licenciement à un motif grave. La CJUE a jugé que chaque État membre est libre de prévoir des dispositions plus protectrices en matière de révocation du DPO, dès lors que cette protection accrue n’a pas pour effet d’empêcher l’organisme de le révoquer.
Lire l’arrêt de la CJUE du 9 février 2023, C-453/21
[1] Règlement (UE) 2016/679 général sur la protection des données (RGPD).
[3] L’organisme traitant des données est invité à documenter l’analyse conduisant à exclure l’existence de conflit d’intérêts lors de la nomination de son DPO.
[4] Les juridictions françaises ont déjà eu l’occasion de se prononcer sur la révocation du DPO lorsqu’il ne possède plus les qualités professionnelles requises pour exercer ses missions ou s’il ne s’acquitte pas de celles-ci (Conseil d’État le 21 octobre 2022, 459254).