SHOULD I APPOINT A DPO?

Par Jean-François Henrotte, Avocat / Lexing – Belgium, https://lexing.be

Si vous aboutissez au terme de votre analyse à estimer que votre cabinet traite à grande échelle des données sensibles et/ou particulières, vous devez désigner et déclarer un DPO/DPD. Ce DPD peut être choisi en interne ou en externe, du moment qu’il est sans conflit d’intérêts. Pourquoi ne pas valoriser un avocat-collaborateur à cette occasion ?

Dans quels cas dois-je désigner un délégué à la protection des données ?

A. Pour rappel, aux termes du RGPD[2], ce délégué n’est obligatoire que dans trois cas, à savoir (1) pour les autorités publiques ou organismes publics, (2) en cas d’activités de base de suivi régulier et systématique à grande échelle des personnes concernées, (3) en cas en cas d’activités de base consistant en un traitement à grande échelle de données particulières (anciennes données « sensibles ») ou de données relatives à des infractions ou condamnations pénales.

  1. La première hypothèse ne vise pas les cabinets d’avocats.
  2. S’agissant de la deuxième hypothèse, le considérant 97 du RGPD dispose que « les activités de base d’un responsable du traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire ». Le Comité Européen de la Protection des Données (CEPD) estime donc que « les « activités de base » peuvent être considérées comme les opérations essentielles nécessaires pour atteindre les objectifs du responsable du traitement ou du sous-traitant ».

L’activité de base d’un cabinet ne porte normalement pas sur le profilage.

  1. La seule hypothèse réellement applicable est donc la troisième puisque l’activité de base d’un cabinet d’avocats peut l’amener à traiter des données sensibles (médicales, syndicales…) et/ou pénales.

L’article 37, § 1er, c), exige toutefois que le traitement des données à caractère personnel soit effectué à grande échelle pour que la désignation d’un délégué à la protection des données (DPD, DPO, en anglais) soit obligatoire.

Si le RGPD ne définit pas la notion de traitement à « grande échelle », le considérant 91 fournit toutefois certaines orientations. En effet, ce considérant indique spécifiquement que le « traitement de données à caractère personnel ne devrait pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel ».

Pour le Comité Européen de la Protection des Données (CEPD), qui a rédigé des Lignes directrices WP 243 rev 01 concernant les délégués à la protection des données (DPD), destinées à interpréter le RGPD, « il n’est pas possible de donner un chiffre précis, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés, qui soit applicable dans toutes les situations. Cela n’exclut toutefois pas la possibilité qu’au fil du temps, une pratique courante puisse émerger, permettant de déterminer en des termes plus spécifiques ou quantitatifs ce qui constitue un traitement « à grande échelle » pour certains types d’activités de traitement courantes. Le [CEPD] prévoit également de contribuer à cette évolution, en partageant et faisant connaître des exemples de seuils pertinents pour la désignation d’un DPD.

En tout état de cause, le [CEPD] recommande que les facteurs suivants, en particulier, soient pris en considération pour déterminer si le traitement est mis en œuvre à grande échelle :

  • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée ;
  • le volume de données et/ou le spectre des données traitées ;
  • la durée, ou la permanence, des activités de traitement des données ;
  • l’étendue géographique de l’activité de traitement. » [3]

B. On notera également que la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel[4] dispose que lorsque le traitement de données à caractère personnel peut engendrer un risque élevé tel que visé par l’article 35 du RGPD, un sous-traitant qui traite des données à caractère personnel pour le compte d’une autorité publique fédérale ou d’un organisme public fédéral ou à qui une autorité publique fédérale ou un organisme public fédéral a transféré des données à caractère personnel doit désigner un délégué à la protection des données.

C. Dans les autres hypothèses, il sera toujours possible de désigner un délégué à la protection des données sur une base volontaire.

Attention toutefois que « lorsqu’un organisme désigne un DPD sur une base volontaire, les conditions prévues aux articles 37 à 39 s’appliquent à la désignation, à la fonction et aux missions de celui-ci comme si la désignation avait été obligatoire » [5].

D. « Le DPD, que sa désignation soit obligatoire ou volontaire, est désigné pour toutes les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant. » [6]

E. À moins qu’il soit évident qu’un organisme n’est pas tenu de désigner un DPD, le [CEPD] recommande que les responsables du traitement et les sous-traitants documentent l’analyse interne effectuée afin de déterminer si, oui ou non, il y a lieu de désigner un DPD, afin qu’ils soient en mesure de démontrer considération que les facteurs pertinents ont été correctement pris en considération (principe d’accountability[7])[8]. De même, il rappelle qu’il y a lieu de maintenir à jour cette analyse. L’activité d’un cabinet est en effet susceptible d’évoluer…

Un délégué à la protection des données, oui mais comment le choisir ?

A. Une fois prise la décision de désigner un délégué à la protection, reste encore l’épineuse question de savoir qui désigner à ce poste.

B. Aucune formation spécifique n’est requise. Le délégué devra uniquement disposer d’une expertise en droit national et européen de la protection des données et d’une compréhension approfondie du RGPD. Il comprendra les opérations de traitement effectuées par le responsable du traitement ou le sous-traitant et les technologies de l’information et de la sécurité des données. [9]

C. Il ne sera pas non plus nécessaire que le candidat délégué soit approuvé par l’autorité de protection des données (APD). « [L’autorité de protection des données] peut toutefois contrôler si les articles 37 à 39 du RGPD réglementant la désignation, la fonction et les missions du DPO sont respectés.» [10]

D. Le délégué peut faire partie du personnel du cabinet et être chargé d’autres tâches, mais il faut alors s’assurer qu’il ne soit pas en position de conflit d’intérêts. Les éclaircissements du CEPD s’avèrent également utiles sur ce point, dès lors qu’ils relèvent que les missions de délégué à la protection des données sont incompatibles avec les fonctions de directeur financier, directeur du marketing, directeur des ressources humaines ou directeur du département IT. En effet, un tel délégué serait tiraillé entre les intérêts défendus par ces fonctions et ceux de la protection des données à caractère personnel, ou pourrait à tout le moins manquer du recul nécessaire. Un conflit d’intérêts entre la fonction de délégué et de manager IT a déjà été sanctionné en octobre 2016 par l’autorité bavaroise de protection des données[11]. Par principe, il faut éviter l’autocontrôle, et donc l’hypothèse où la personne qui décide des modalités du traitement de données doit aussi s’interroger sur la compatibilité de ces modalités avec le RGPD.

Le DPD ne sera donc pas un associé du cabinet ou un de ses directeurs salariés. Un collaborateur du cabinet, versé dans la matière, ou un avocat extérieur spécialisé pourrait être le candidat idéal.

D. Les lignes directrices du 19 mai 2017 du CCBE « sur les principales nouvelles mesures de conformité des avocats au règlement général sur la protection des données (RGPD) »[12] et la section 7 au chapitre 2 du titre 2 du Code de déontologie de l’avocat consacrée au délégué à la protection des données[13].

Aux termes des lignes directrices, « l’assimilation de ces deux fonctions (avocat et DPD) et le risque de confusion entre celles-ci constituent un élément clé pour l’avocat susceptible d’être désigné DPD à la demande d’un client. Un avocat qui se retrouve dans cette situation devra vraisemblablement alterner entre la fonction de DPD et celle d’avocat exerçant une profession réglementée. Un avocat agissant en qualité de DPD sera tenu de garantir l’indépendance et d’éviter les conflits d’intérêts, en particulier ceux qui peuvent découler de la double fonction simultanée de personne de contact et d’autorité de protection des données. Ce rôle implique des obligations de communication à l’autorité même dans les cas où cela va à l’encontre de l’intérêt du responsable du traitement ou du sous-traitant. L’avocat qui assumera une telle fonction sera par ailleurs tenu de représenter les intérêts de son client dans la mesure où la loi le permet. Compte tenu de l’éventualité d’un conflit d’intérêts, il serait bon que les barreaux recommandent aux avocats d’endosser la responsabilité d’un DPD pour un client extérieur uniquement s’ils n’ont pas agi en tant qu’avocats dans des matières qui relèvent de la responsabilité du DPD ou si, au cours de leur mandat de DPD, ils n’agiront pas en tant qu’avocat dans des matières dans lesquelles ils étaient ou sont impliqués comme DPD. » (Ce conflit d’intérêts avait été clairement identifié par le CEPD dans ses lignes directrices[14]).

C’est ce qu’AVOCATS.BE a fait en indiquant, à l’article 2.44 de son Code de déontologie que « l’avocat qui exerce une activité de délégué à la protection des données ne peut intervenir comme conseil de toute personne ou organisme pour lequel il exerce l’activité de délégué à la protection des données dans le cadre de procédures administratives ou judiciaires ou d’une forme alternative de résolution des litiges mettant en cause cette personne ou organisme pour des questions relatives à la protection des données personnelles. »

Il a précisé également, à l’article 2.45 du Code de déontologie, que « l’avocat ne peut intervenir pour une partie qui est ou devient l’adversaire du responsable de traitement dont il est le délégué à la protection des données.

Il ne peut non plus, une fois son mandat expiré, intervenir pour ou contre le responsable du traitement, à moins qu’il n’existe aucun conflit d’intérêts avec son précédent mandat ni aucune suspicion d’atteinte à son secret professionnel. En cas de doute, il n’intervient pas ».

Cette question de conflit d’intérêts ne se pose que pour un avocat extérieur au cabinet puisque le collaborateur interne ne peut évidemment pas déontologiquement représenter ou assigner son cabinet.

Conclusion

Interrogez votre pratique, à l’aune des critères dégagés par la CEPD dans ses lignes directrices, afin de déterminer si vous devez légalement (ou de façon souhaitable) désigner un DPD et documentez cette réflexion, qui sera régulièrement mise à jour, afin de satisfaire au principe d’accountability[15].

Les responsables du traitement et les sous-traitants doivent se conformer aux articles 37 à 39 du RGPD, et notamment communiquer les coordonnées du délégué à la protection des données à l’autorité de protection des données. N’oubliez donc pas de déclarer en tout état de cause, à l’APD, le délégué à la protection des données que vous avez désigné, en veillant à ce qu’il ne soit pas en situation de conflits d’intérêts[16].

[1] Cette contribution a été publiée une première fois dans LAWYERSNOW, Luxembourg, Legitech, 2019/2, pp. 2-6.

[2] Article 37 §1er du RGPD (Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données), JOUE L 119 du 4 mai 2016, p. 1)).

[3] Lignes directrices WP 243 rev.01, CEPD, pp. 8-9, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.

[4] en son article 21, M.B, 5 septembre 2018.

[5] Lignes directrices WP 243 rev.01, op. cit., p. 7.

[6] Lignes directrices WP 243 rev.01, op. cit., p. 7.

[7] Voy. C. Denoual et C. Leonelli, LawyersNow, #1 mars 2019, p. 6

[8] Lignes directrices WP 243 rev.01, op. cit., p. 7.

[9] 7, FAQ, https://cnpd.public.lu/fr/professionnels/dpo.html

[10] 9, FAQ, https://cnpd.public.lu/fr/professionnels/dpo.html

[11] https://www.lda.bayern.de/media/pm2016_08.pdf

[12] https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Position_papers/FR_ITL_20170519_CCBE-Guidance-on-main-new-compliance-measures-for-lawyers-regarding-GDPR.pdf

[13] M.B., 5 avril 2019, 2e éd. La police d’assurance RC collective des barreaux belges couvre expressément cette activité depuis le 1er janvier 2019.

[14] Lignes directrices WP 243 rev.01, op. cit., 3.5, p. 19.

[15] Voy. C. Denoual et C. Leonelli, cette revue, #1 mars 2019, p. 6

[16] https://www.autoriteprotectiondonnees.be/formulaire-de-communication-des-coordonnees-du-delegue-a-la-protection-des-donnees