14/03/2023
Cybersecurity Insights
Le Compliance Officer peut-il être désigné comme DPO, du point de vue du RGPD ?
On observe, dans certaines entreprises, une tendance à nommer une même personne en tant que délégué à la protection des données personnelles (DPO) et Compliance Officer. Cette pratique est-elle conforme au RGPD ? Il y a-t-il conflit d’intérêts entre ces deux fonctions ? Nous allons répondre à ces questions en analysant les dernières décisions.
D’abord, il convient de faire un petit rappel sur les rôles de ces deux acteurs.
Les rôles du Compliance Officer et du DPO
Rôle du Compliance Officer.
Les compétences ne sont pas définies par la loi. L’entreprise n’a pas d’obligation de le nommer. Les missions sont habituellement les suivantes :
- Pilote le programme de conformité et définit les modalités de mise en œuvre
- Contrôle la conformité et définit les mesures correctives
- Assure la veille des bonnes pratiques et des évolutions de la réglementation
- Lutte contre la fraude, le blanchiment d’argent
- Pilote la réalisation des audits
Rôle du DPO.
Ses compétences sont définies par la loi. Dans certains cas, le DPO doit être obligatoirement désigné.
- Rôle de conseil auprès du responsable du traitement ou du sous-traitant en matière de Protection des Données Personnelles (PDP)
- Contrôle du respect du RGPD et des autres dispositions en matière de PDP
- Coopération avec l’autorité de contrôle
- Point de contact pour l’autorité de contrôle
Niveau d’indépendance exigé – Absence de conflit d’intérêts
Focus sur la notion de conflit d’intérêts
Définition légale.
- Il n’y a pas de définition légale du conflit d’intérêts dans le secteur privé.
- La seule définition légale du conflit d’intérêts concerne le secteur public. Il s’agit de « toute situation d’interférence entre un intérêt public et des intérêts publics ou privés qui est de nature à influencer ou paraître influencer l’exercice indépendant, impartial et objectif d’une fonction » (art. 2, I° de la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique).
- L’Agence Française Anticorruption (AFA) propose la définition suivante : « constitue un conflit d’intérêts toute situation d’interférence entre la fonction exercée au sein d’une entreprise et un intérêt personnel, de sorte que cette interférence influe ou paraisse influer l’exercice loyal de la fonction pour le compte de cette entreprise ».
Précisions de la CNIL.
Sur cette notion de conflit d’intérêts, les lignes directrices concernant les DPO précisent que le DPO ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel.
Précisions du G29.
Selon le G29 les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein d’un organisme sont les fonctions d’encadrement supérieur (par ex., directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement (Guidelines on Data Protection Officers wp243rev.01).
Des exemples pratiques
Pour répondre à la question de savoir si un Compliance Officer peut être désigné DPO, nous allons nous pencher sur des cas jugés par des autorités de contrôle.
Malgré des mesures mises en place par la société pour éviter un conflit d’intérêts, l’autorité de protection des données a jugé qu’un risque de conflit d’intérêts était bien présent.
La société argumente avoir mis en place des mesures pour ségréguer les différentes fonctions. La société a constaté l’existence d’un éventuel conflit d’intérêt pour les traitements relatifs aux AML/KYC porté par la fonction compliance. Ainsi, pour éviter ce conflit d’intérêt, la société a décidé de faire porter ce traitement par d’autres équipes. La fonction DPO pouvait ensuite être amené à se prononcer sur la conformité des traitements mis en en œuvre par ces équipes.
La société s’est ensuite dotée d’une politique de gestion des conflits internes et externes qui prévoit la gestion d’un éventuel conflit d’intérêts qui impacterait la fonction de DPO. Elle a ensuite décidé de nommer en 2019 un nouveau DPO de façon à ce que les fonctions de DPO et de Chief Compliance Officer ne soient plus cumulées dans le chef d’une unique personne.
L’ensemble de ces mesures garantissent-elles l’absence de conflit d’intérêts ? Selon l’autorité de contrôle luxembourgeoise les mesures sont insuffisantes pour garantir l’absence de risque de conflit d’intérêts.
La mise en œuvre de ces différentes mesures, notamment la gestion du traitement AML/KYC par une autre équipe, n’a pas suffi à garantir l’absence de risque de conflit d’intérêts dans le cadre des missions du DPO. Selon l’autorité de protection des données il n’est pas établi avec suffisance que le Compliance Officer, cumulant cette fonction avec celle de DPO au moment de l’enquête, ne participe pas à la détermination des finalités et des moyens du traitement de données à caractère personnel mis en œuvre dans le cadre des activités opérationnelles AML/KYC. Par conséquent, ce mode de fonctionnement présente un risque de conflit d’intérêts dans les fonctions du DPO, ce qui est contraire à l’article 38.6 du RGPD.
Relevons que ce qui est reproché en l’espèce, par la formation restreinte de l’autorité de contrôle, est l’existence d’un risque de conflit d’intérêts dans le cadre des missions du DPO. Cela, malgré les mesures prises par la société pour limiter ce risque.
En exigeant, non seulement une absence de conflit d’intérêts, mais l’absence même d’un risque de conflit d’intérêts, il convient de constater que l’autorité de contrôle est plutôt rigoureuse.
Les mesures mises en place par la société sont jugées insuffisantes. Ainsi, il serait possible de nommer la même personne à condition de mettre en place des mesures suffisantes. Quelles seraient ces mesures ? Quelles sont les mesures à mettre en place pour éliminer tout risque de conflit d’intérêts ?
Le chef d’enquête conseille la mise en place de mesures correctrices suivantes :
- Ordonner la mise en place de mesures assurant que les différentes missions et tâches, actuelles ou passées, de la personne exerçant la fonction DPO n’entraînent pas de conflit d’intérêts.
- Une des possibilités de parvenir à ce résultat, selon le chef d’enquête, serait d’impliquer une tierce personne, bénéficiant des compétences nécessaires, pour la revue des traitements pour lesquels il existe un conflit d’intérêts (en l’occurrence les traitements AML/KYC).
- Une autre possibilité serait d’occuper le poste de DPO par une personne différente du Compliance Officer et ne disposant pas d’un autre risque de conflit.
Ainsi, selon l’autorité luxembourgeoise, les mesures permettant d’assurer l’absence de conflit d’intérêts consiste à ce qu’une autre personne intervienne, ce qui en l’espèce n’avait pas suffisamment été démontré. Ainsi le cumul des fonctions dans le chef d’une même personne n’est pas une solution envisagée dans ce cas d’espèce.
Sanction prononcée :
- Rappel à l’ordre.
- Injonction de mise en conformité dans un délai de 4 mois.
Autorité belge de protection des données, décision 18/2020 du 28 avril 2020 (dossier AH-2019-0013).
Il ressort de cet arrêt que la fonction de directeur des risques conformité et audit interne est incompatible avec celle de DPO.
L’affaire concerne une entreprise dans laquelle une même personne est responsable de la compliance, du risk management, de l’audit interne et délégué à la protection des données personnelles.
La société argumente l’absence de conflit d’intérêt, puisqu’en l’espèce le rôle Audit/Compliance/Risk n’a qu’une fonction consultative sur les traitements de données et n’intervient pas dans le choix des finalités des traitements.
Toutefois, pour l’autorité de contrôle belge cet argument n’est pas suffisant car elle considère que l’existence d’un conflit d’intérêts n’est pas limitée aux cas où une personne détermine les finalités des traitements. Les conflits d’intérêts doivent toujours être évalués au cas par cas.
En l’espèce, l’autorité belge constate dans son rôle de Audit/Compliance/Risk, le collaborateur n’a pas qu’une fonction consultative mais effectue des tâches opérationnelles pour la mise en œuvre des traitements de données.
Pour l’autorité de contrôle ces tâches apparaissent en conflit avec le rôle de DPO et ainsi que ce cumul de fonction ne peut pas avoir lieu de manière indépendante.
Sanction prononcée :
- Injonction de mise en conformité dans un délai de 3 mois.
- Amende administrative de 50 000 euros.
Cour de justice de l’Union européenne (CJUE), affaire C-453/21
L’affaire concerne une entreprise dans laquelle une même personne exerçait les fonctions de DPO ainsi que président du comité d’entreprise, et vice-président du comité central d’entreprise.
Cet arrêt ne porte pas sur la fonction de Compliance Officer, mais demeure intéressant dans la mesure où la CJUE est amenée à se prononcer au sujet de l’interprétation de l’article 38.6 du RGPD (qui porte sur le conflit d’intérêts). La question était la suivante : un conflit d’intérêts existe-t-il lorsque le DPO est en même temps titulaire de la fonction de président du comité d’entreprise du responsable du traitement ?
La CJUE commence par rappeler qu’en principe, le RGPD n’établit pas d’incompatibilité entre les fonctions de DPO et celles d’un autre rôle. La CJUE poursuit en précisant que le RGPD pose tout de même une condition, il s’agit de veiller à ce que les autres missions du DPO n’entraînent pas de conflit d’intérêts. En d’autres termes, le DPO ne doit pas se voir confier l’exécution de missions ou de tâches qui seraient susceptibles de nuire à l’exercice de ses fonctions qu’il exerce en tant que DPO. Puis, la CJUE rappelle en quoi consiste les missions du DPO en vertu de l’article 39 du RGPD.
Sur la notion de conflit d’intérêts, la CJUE énonce que le DPO ne doit pas se voir confier des tâches qui le conduiraient à déterminer les finalités et les moyens de traitement de données à caractère personnel car le contrôle de ces finalités et moyens de traitement doit être effectué de manière indépendante par le DPO. Jusqu’ici, rien de nouveau, comme nous l’avons vu en début d’article, cette précision figure dans les recommandations de la CNIL.
La CJUE ajoute que l’appréciation de ces éléments (évaluer si les autres fonctions exercées par le DPO l’amènent à déterminer les finalités et moyens de traitement) doit être réalisée par le juge national, et qu’il s’agit d’une appréciation au cas par cas qui se fait sur la base des éléments suivants : ensemble des circonstances pertinentes comme la structure organisationnelle du responsable du traitement (RT) ou de son sous-traitant (ST), l’ensemble de la règlementation applicable y compris d’éventuelles règles internes des RT et ST.
Désigner la même personne en tant que compliance officer et DPO, quelles conditions faut-il respecter pour éviter tout risque de conflit d’intérêts ?
Maria IDJOUBAR
Consultante Governance, Risks & Compliance