DPO, soyez attentif à votre responsabilité

Le Règlement Général sur la Protection des Données entré en vigueur le 25 mai dernier (« RGPD ») instaure un cadre nouveau de conformité fondé sur la responsabilité en matière de protection des données personnelles en Europe. En tant que DPO, vous êtes un des acteurs majeurs de ce cadre nouveau de responsabilisation.  En effet, étant chargé de mettre en œuvre, au sein de l’organisme qui vous a désigné, la conformité au RGPD de l’ensemble des traitements mis en œuvre, l’une des tâches vous incombant est le contrôle du respect du Règlement (article 39 paragraphe 1 point b).
Aussi se pose la question de votre responsabilité propre car, si le RGPD entend vous protéger en limitant votre responsabilité par rapport à celle du responsable de traitement ou du sous-traitant qui vous a désigné, vous n’êtes n’est pas à l’abri d’une mise en cause pénale.

La responsabilité du DPO est encadrée par le RPGD

Le contrôle du respect du RGPD ne signifie pas que le DPO soit personnellement responsable du non-respect dudit Règlement. En effet, il est clairement établit par le règlement lui-même que le respect de la protection des données à caractère personnel relève de la responsabilité du responsable de traitement ou du sous-traitant. Il leur revient donc, et principalement au responsable de traitement, conformément à l’article 24 paragraphe 1 du RGPD, de « mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».

Mais quid d’un DPO en position de conflit d’intérêts ?

Une des exigences à la désignation d’un DPO est l’absence de conflit d’intérêts avec d’autres missions et tâches possibles (article 38 point 6 du RGPD).

Selon le Comité européen de la protection des données – CEPD (ex. G29), cela signifie tout d’abord que le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. A cet égard, le CEPD précise qu’en règle générale, les fonctions d’encadrement supérieur sont susceptibles de donner lieu à des conflits d’intérêts avec celle de DPO au sein d’un organisme, et donne pour exemple les fonctions de « directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique ». Cependant, le CEPD ajoute que « d’autres rôles à un niveau inférieur de la structure organisationnelle peuvent être source de conflit d’intérêts si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement ». Dans une autre mesure, « un DPO externe se trouvera en conflit d’intérêt s’il est appelé à représenter le responsable du traitement ou le sous-traitant devant les tribunaux dans des affaires ayant trait à des questions liées à la protection des données ».

Dans la mesure où l’absence de conflit d’intérêts est un des éléments clés garantissant l’indépendance du DPO, la CNIL recommande aux responsables de traitement et sous-traitant de procéder, avant la désignation d’un DPO, au recensement des fonctions qui seraient incompatibles avec celle de DPO et d’établir des règles internes afin d’éviter les conflits d’intérêts.

Donc, les situations de conflit d’intérêts ne relèvent pas de la responsabilité première du DPO mais de celle du responsable de traitement ou du sous-traitant qui le désigne.

Et qu’en est-il au plan du droit du social ?

Un DPO salarié pourra être personnellement mis en cause par son employeur et faire l’objet d’un licenciement s’il manque à son devoir de conseil et d’information au sens du Règlement ou s’il commet des négligences ou des erreurs dans l’exercice de sa mission.

Si le DPO détient une autre fonction au sein de l’entreprise, il pourra être uniquement relevé de sa fonction de DPO sans encourir le licenciement, notamment si les négligences ou erreurs commises ont pour origine un conflit d’intérêts, sans remettre en cause ses qualités professionnelles.

En tout état de cause, même si le DPO ne bénéficie pas du statut de salarié protégé au sens du droit social, son licenciement (tout comme toute mesure le concernant) doit être parfaitement encadré afin d’éviter un contentieux prud’homal ultérieur. D’autant plus que, le RGPD précise qu’un DPO ne peut être relevé de ses fonctions ni être pénalisé par son entreprise du fait de ses attributions.

De même, le CEPD considère que l’indépendance du DPO est garantie notamment par l’interdiction faite au responsable du traitement (ou au sous-traitant) de le licencier ou de le sanctionner pour l’exercice de ses missions. Ainsi, prévient le CEPD, il est interdit, par exemple, de retarder ou de refuser l’octroi d’une promotion ou de refuser le versement d’une prime à un DPO alors que d’autres salariés y ont droit.

 

Mais le DPO peut voir sa responsabilité pénale engagée

Lorsqu’une infraction est commise au sein d’une entreprise, c’est le dirigeant qui encourt la sanction et non le salarié. L’unique option pour le dirigeant de transférer sa responsabilité pénale est la délégation de pouvoir, sauf s’il a personnellement participé à l’infraction ou lorsqu’il a commis une faute distincte de celle du délégataire. S’agissant de manquements aux dispositions du RGPD, ce même principe s’applique. Le DPO salarié ne sera responsable pénalement que s’il est muni d’une délégation de pouvoir. Or, le nouveau principe d’accountabiliy institué par le règlement, qui est principalement l’affirmation de la responsabilité de l’entreprise, tend à limiter les champs de délégation du dirigeant dans ce domaine. En outre, l’exigence d’absence de situation de conflit d’intérêts et d’indépendance du DPO dans l’accomplissement de sa mission, est totalement incompatible avec le mécanisme de la délégation. C’est pourquoi, la responsabilité pénale du DPO ne peut être recherchée dans cette hypothèse.

Cependant, dans une autre hypothèse où le DPO enfreindrait intentionnellement les dispositions des articles 226-16 à 226-22-1 du Code pénal ou des articles R625-10 à R625-13 du même code, relatives aux atteintes au droit de la personne résultant des fichiers ou des traitements informatiques (non remises en cause par le RGPD – article 84 point 1), notamment comme complice du responsable du traitement ou du sous-traitant, il encourrait les sanctions pénales prévues par lesdits articles, savoir :

  •  5 ans d’emprisonnement et amende de 300.000 € (infractions visées aux art. 226-16, 226-16-1 A, 226-16-1, 226-17, 226-17-1, 226-18, 228-18-1, 226-19, 226-19-1, 226-20, 226-21, 226-22, 226-22-1 du Code pénal)
  • 1.500€ d’amende ou 3.000€ d’amende en cas de récidive (amendes prévues pour les contraventions de la cinquième classe –  art. R. 625-10, R. 625-11, R. 625-12 du Code pénal)

A ces sanctions, pourraient s’ajouter celles prévues par l’article 51 de la Loi Informatique et Libertés en cas d’entrave à l’action de la CNIL, savoir : – 1 an d’emprisonnement et 15.000€ d’amende.

Toutes ces sanctions sont explicitées sur le site de la CNIL : www.cnil.fr/fr/les-sanctions-penales