Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

14/03/2023

Cybersecurity Insights

Le Compliance Officer peut-il être désigné comme DPO, du point de vue du RGPD ?

On observe, dans certaines entreprises, une tendance à nommer une même personne en tant que délégué à la protection des données personnelles (DPO) et Compliance Officer. Cette pratique est-elle conforme au RGPD ? Il y a-t-il conflit d’intérêts entre ces deux fonctions ? Nous allons répondre à ces questions en analysant les dernières décisions.
D’abord, il convient de faire un petit rappel sur les rôles de ces deux acteurs.

Les rôles du Compliance Officer et du DPO

Rôle du Compliance Officer.

Les compétences ne sont pas définies par la loi. L’entreprise n’a pas d’obligation de le nommer. Les missions sont habituellement les suivantes :

  • Pilote le programme de conformité et définit les modalités de mise en œuvre
  • Contrôle la conformité et définit les mesures correctives
  • Assure la veille des bonnes pratiques et des évolutions de la réglementation
  • Lutte contre la fraude, le blanchiment d’argent
  • Pilote la réalisation des audits

Rôle du DPO.

Ses compétences sont définies par la loi. Dans certains cas, le DPO doit être obligatoirement désigné.

  • Rôle de conseil auprès du responsable du traitement ou du sous-traitant en matière de Protection des Données Personnelles (PDP)
  • Contrôle du respect du RGPD et des autres dispositions en matière de PDP
  • Coopération avec l’autorité de contrôle
  • Point de contact pour l’autorité de contrôle

Niveau d’indépendance exigé – Absence de conflit d’intérêts

Il ressort de l’article 38.6 du RGPD que la condition à remplir pour qu’une même personne puisse assurer le rôle de Compliance Officer et de DPO est la suivante : les missions et les tâches du DPO ne doivent pas entrainer de conflit d’intérêts.

Focus sur la notion de conflit d’intérêts

Définition légale.

  • Il n’y a pas de définition légale du conflit d’intérêts dans le secteur privé.
  • La seule définition légale du conflit d’intérêts concerne le secteur public. Il s’agit de « toute situation d’interférence entre un intérêt public et des intérêts publics ou privés qui est de nature à influencer ou paraître influencer l’exercice indépendant, impartial et objectif d’une fonction » (art. 2, I° de la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique).
  • L’Agence Française Anticorruption (AFA) propose la définition suivante : « constitue un conflit d’intérêts toute situation d’interférence entre la fonction exercée au sein d’une entreprise et un intérêt personnel, de sorte que cette interférence influe ou paraisse influer l’exercice loyal de la fonction pour le compte de cette entreprise ».

Précisions de la CNIL.

Sur cette notion de conflit d’intérêts, les lignes directrices concernant les DPO précisent que le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.

Précisions du G29.

Selon le G29 les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein d’un organisme sont les fonctions d’encadrement supérieur (par ex., directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement (Guidelines on Data Protection Officers wp243rev.01).

Des exemples pratiques

Pour répondre à la question de savoir si un Compliance Officer peut être désigné DPO, nous allons nous pencher sur des cas jugés par des autorités de contrôle.

Autorité luxembourgeoise de protection des données, délibération n° 19FR/2021 du 31 mai 2021.

Malgré des mesures mises en place par la société pour éviter un conflit d’intérêts, l’autorité de protection des données a jugé qu’un risque de conflit d’intérêts était bien présent.

La société argumente avoir mis en place des mesures pour ségréguer les différentes fonctions. La société a constaté l’existence d’un éventuel conflit d’intérêt pour les traitements relatifs aux AML/KYC porté par la fonction compliance. Ainsi, pour éviter ce conflit d’intérêt, la société a décidé de faire porter ce traitement par d’autres équipes. La fonction DPO pouvait ensuite être amené à se prononcer sur la conformité des traitements mis en en œuvre par ces équipes.

La société s’est ensuite dotée d’une politique de gestion des conflits internes et externes qui prévoit la gestion d’un éventuel conflit d’intérêts qui impacterait la fonction de DPO. Elle a ensuite décidé de nommer en 2019 un nouveau DPO de façon à ce que les fonctions de DPO et de Chief Compliance Officer ne soient plus cumulées dans le chef d’une unique personne.

L’ensemble de ces mesures garantissent-elles l’absence de conflit d’intérêts ? Selon l’autorité de contrôle luxembourgeoise les mesures sont insuffisantes pour garantir l’absence de risque de conflit d’intérêts.

La mise en œuvre de ces différentes mesures, notamment la gestion du traitement AML/KYC par une autre équipe, n’a pas suffi à garantir l’absence de risque de conflit d’intérêts dans le cadre des missions du DPO. Selon l’autorité de protection des données il n’est pas établi avec suffisance que le Compliance Officer, cumulant cette fonction avec celle de DPO au moment de l’enquête, ne participe pas à la détermination des finalités et des moyens du traitement de données à caractère personnel mis en œuvre dans le cadre des activités opérationnelles AML/KYC. Par conséquent, ce mode de fonctionnement présente un risque de conflit d’intérêts dans les fonctions du DPO, ce qui est contraire à l’article 38.6 du RGPD.

Relevons que ce qui est reproché en l’espèce, par la formation restreinte de l’autorité de contrôle, est l’existence d’un risque de conflit d’intérêts dans le cadre des missions du DPO. Cela, malgré les mesures prises par la société pour limiter ce risque.

En exigeant, non seulement une absence de conflit d’intérêts, mais l’absence même d’un risque de conflit d’intérêts, il convient de constater que l’autorité de contrôle est plutôt rigoureuse.

Les mesures mises en place par la société sont jugées insuffisantes. Ainsi, il serait possible de nommer la même personne à condition de mettre en place des mesures suffisantes. Quelles seraient ces mesures ? Quelles sont les mesures à mettre en place pour éliminer tout risque de conflit d’intérêts ?

Le chef d’enquête conseille la mise en place de mesures correctrices suivantes :

  • Ordonner la mise en place de mesures assurant que les différentes missions et tâches, actuelles ou passées, de la personne exerçant la fonction DPO n’entraînent pas de conflit d’intérêts.
  • Une des possibilités de parvenir à ce résultat, selon le chef d’enquête, serait d’impliquer une tierce personne, bénéficiant des compétences nécessaires, pour la revue des traitements pour lesquels il existe un conflit d’intérêts (en l’occurrence les traitements AML/KYC).
  • Une autre possibilité serait d’occuper le poste de DPO par une personne différente du Compliance Officer et ne disposant pas d’un autre risque de conflit.

Ainsi, selon l’autorité luxembourgeoise, les mesures permettant d’assurer l’absence de conflit d’intérêts consiste à ce qu’une autre personne intervienne, ce qui en l’espèce n’avait pas suffisamment été démontré. Ainsi le cumul des fonctions dans le chef d’une même personne n’est pas une solution envisagée dans ce cas d’espèce.

Sanction prononcée :

  • Rappel à l’ordre.
  • Injonction de mise en conformité dans un délai de 4 mois.

Autorité belge de protection des données, décision 18/2020 du 28 avril 2020 (dossier AH-2019-0013).

Il ressort de cet arrêt que la fonction de directeur des risques conformité et audit interne est incompatible avec celle de DPO.

L’affaire concerne une entreprise dans laquelle une même personne est responsable de la compliance, du risk management, de l’audit interne et délégué à la protection des données personnelles.

La société argumente l’absence de conflit d’intérêt, puisqu’en l’espèce le rôle Audit/Compliance/Risk n’a qu’une fonction consultative sur les traitements de données et n’intervient pas dans le choix des finalités des traitements.

Toutefois, pour l’autorité de contrôle belge cet argument n’est pas suffisant car elle considère que l’existence d’un conflit d’intérêts n’est pas limitée aux cas où une personne détermine les finalités des traitements. Les conflits d’intérêts doivent toujours être évalués au cas par cas.

En l’espèce, l’autorité belge constate dans son rôle de Audit/Compliance/Risk, le collaborateur n’a pas qu’une fonction consultative mais effectue des tâches opérationnelles pour la mise en œuvre des traitements de données.

Pour l’autorité de contrôle ces tâches apparaissent en conflit avec le rôle de DPO et ainsi que ce cumul de fonction ne peut pas avoir lieu de manière indépendante.

Sanction prononcée :

  • Injonction de mise en conformité dans un délai de 3 mois.
  • Amende administrative de 50 000 euros.

Cour de justice de l’Union européenne (CJUE), affaire C-453/21

L’affaire concerne une entreprise dans laquelle une même personne exerçait les fonctions de DPO ainsi que président du comité d’entreprise, et vice-président du comité central d’entreprise.

Cet arrêt ne porte pas sur la fonction de Compliance Officer, mais demeure intéressant dans la mesure où la CJUE est amenée à se prononcer au sujet de l’interprétation de l’article 38.6 du RGPD (qui porte sur le conflit d’intérêts). La question était la suivante : un conflit d’intérêts existe-t-il lorsque le DPO est en même temps titulaire de la fonction de président du comité d’entreprise du responsable du traitement ?

La CJUE commence par rappeler qu’en principe, le RGPD n’établit pas d’incompatibilité entre les fonctions de DPO et celles d’un autre rôle. La CJUE poursuit en précisant que le RGPD pose tout de même une condition, il s’agit de veiller à ce que les autres missions du DPO n’entraînent pas de conflit d’intérêts. En d’autres termes, le DPO ne doit pas se voir confier l’exécution de missions ou de tâches qui seraient susceptibles de nuire à l’exercice de ses fonctions qu’il exerce en tant que DPO. Puis, la CJUE rappelle en quoi consiste les missions du DPO en vertu de l’article 39 du RGPD.

Sur la notion de conflit d’intérêts, la CJUE énonce que le DPO ne doit pas se voir confier des tâches qui le conduiraient à déterminer les finalités et les moyens de traitement de données à caractère personnel car le contrôle de ces finalités et moyens de traitement doit être effectué de manière indépendante par le DPO. Jusqu’ici, rien de nouveau, comme nous l’avons vu en début d’article, cette précision figure dans les recommandations de la CNIL.

La CJUE ajoute que l’appréciation de ces éléments (évaluer si les autres fonctions exercées par le DPO l’amènent à déterminer les finalités et moyens de traitement) doit être réalisée par le juge national, et qu’il s’agit d’une appréciation au cas par cas qui se fait sur la base des éléments suivants : ensemble des circonstances pertinentes comme la structure organisationnelle du responsable du traitement (RT) ou de son sous-traitant (ST), l’ensemble de la règlementation applicable y compris d’éventuelles règles internes des RT et ST.

Désigner la même personne en tant que compliance officer et DPO, quelles conditions faut-il respecter pour éviter tout risque de conflit d’intérêts ?

A la lecture de l’article 38.6 du RGPD, rien n’interdit explicitement qu’une même personne soit désignée Compliance Officer et DPO. Il est toutefois clairement imposé par les textes que le DPO doit exercer ses missions en l’absence de conflit d’intérêts. Toutefois, il n’y a pas de précision sur l’appréciation de cette notion. Or, il ressort des décisions citées ci-dessus que nommer une même personne en tant que Compliance Officer et DPO fait peser un fort risque de conflit d’intérêts. Il est donc hautement déconseillé de suivre cette pratique. Car malgré des mesures mises en place pour éviter la survenance d’un risque de conflit d’intérêts, au regard de la rigueur dont font preuve les autorités de contrôle, il est fort probable qu’elles y voient là des mesures insuffisantes. Lorsque les fonctions de Compliance Officer et de DPO sont exercées dans le chef d’une seule personne, l’absence de conflit d’intérêts apparait très difficile démontrer comme l’illustrent les différentes décisions citées dans cet article. Ainsi, nous recommandons fortement, afin d’éviter tout risque de non-conformité au RGPD, de ne pas confier les fonctions de DPO et de Compliance Officer à la même personne.

Maria IDJOUBAR

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 November 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
11 October 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
5 October 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
Read more
16 June 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
Read more
12 June 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
5 June 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
Read more
2 June 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
Read more
2 June 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
Read more
26 May 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
Read more
4 May 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.
Read more
The crew
Cyber Security
Secure Cloud &
Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram
Twitter Linkedin Facebook Youtube Instagram

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !