Dans un communiqué du 20 septembre 2022, le Berliner Beauftragte für Datenschutz und Informationsfreiheit a annoncé avoir prononcé une amende de Euros 525’000.—contre une société en raison des conflits d’intérêts de son Data Protection Officer (DPO ; cf. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressmitteilung, 20 septembre 2022 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf).

Dans le cas d’espèce, l’intéressé occupait les fonctions de DPO dans la société A, tout en exerçant par ailleurs des fonctions dirigeantes (Geschäftsführer) dans deux sociétés de service (B et C) qui traitaient avec A ; A, B et C faisaient par ailleurs partie d’un même Groupe de sociétés.

L’art. 38 par. 6 RGPD prévoit que le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.

Selon les Guidelines on Data Protection Officers (‘DPOs’) du 13 décembre 2016, élaborées par le ARTICLE 29 DATA PROTECTION WORKING PARTY (ch. 3.5 ; cf. (https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf), l’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPO soient autorisés à exercer d’autres fonctions, un DPO ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. Cet aspect doit être étudié au cas par cas. 

En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. En outre, il peut également y avoir conflit d’intérêts, par exemple, si un DPO externe est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données.

Pour le Berliner Beauftragte für Datenschutz und Informationsfreiheit, la situation du DPO n’était pas admissible dans le cas d’espèce car il devait (en tant que DPO de A) s’assurer du respect des dispositions légales concernant la protection des données chez B et C, alors qu’il définissait lui-même par ailleurs en tout cas partiellement les finalités et moyens de traitement en tant que Geschäftsführer des sociétés B et C.

La décision illustre les pièges que peuvent poser des situations où le DPO exerce diverses fonctions au sein d’un Groupe de sociétés.

On lira aussi à ce propos Mauro Provenzano, DPO CONFLICT OF INTERESTS: The struggle is real. publié le 10 octobre 2022 sur https://www.linkedin.com/pulse/dpo-conflict-interests-struggle-real-mauro-provenzano/?trackingId=xyBCyMlY3oq0ersnMjtM0w%3D%3D).

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)