Le conflit d’intérêts est un élément déterminant pour nommer un délégué à la protection des données (DPD – DPO)
Naturellement, un DPD doit pouvoir se prévaloir de qualifications et connaissances juridiques, informatiques, métiers et relationnelles pour être nommé. Cela ne suffit cependant pas car ce DPD ne devra jamais se retrouver en situation d’être pris dans un conflit d’intérêts personnel lors de l’exercice de sa mission.
La CNIL fournit une liste non exhaustive d’exemples de fonctions internes incompatibles avec une mission DPD. Mais qu’en est-il d’un prestataire ou d’un éditeur de logiciel qui proposerait également des prestations de DPD. Ce cas peut en particulier se poser pour un éditeur de solutions destinées à faciliter la gestion du référentiel RGPD.
L’argument des qualités demandées au consultant serait a priori rempli ici. Cependant, que ce passerait-il si le DPD venait à devoir gérer une situation où le logiciel de sa société utilisé dans l’établissement où il est en mission venait à poser problème au respect de la conformité RGPD (bug, …) ? Le délégué serait clairement pris dans l’arbitrage de l’intérêt du respect de la mission de son client et du respect du contrat de travail de son employeur.
On rappellera que pour la RGPD, le risque de conflit d’intérêts peut être réel ou apparent, ce qui veut dire que l’intégrité personnelle du DPD n’est pas a priori en cause. Le simple fait qu’une telle situation puisse exister est problématique.
Ce cas peut également se retrouver sous une autre forme pour un prestataire de service qui proposerait un service de DPD/DPO plus autre chose, comme par exemple un cabinet d’avocat RH.
Conclusion : en cas de problème, la CNIL pourrait parfaitement être amenée à juger qu’une telle situation relève bien du conflit d’intérêts. Dans ce cas, les travaux de conformité de cet établissement pourraient être eux-aussi contestés. Mieux vaut clairement séparer les activités.
CNIL : “devenir délégué à la protection des données”
A titre d’exemple, les fonctions suivantes sont susceptibles de donner lieu à un conflit d’intérêts : secrétaire général, directeur général des services, directeur général, directeur opérationnel, directeur financier, médecin-chef, responsable du département marketing, responsable des ressources humaines ou responsable du service informatique, mais également d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. Un conflit d’intérêt peut également exister par exemple si un délégué sur la base d’un contrat de service représente l’organisme devant les tribunaux dans des dossiers impliquant des sujets en matière de données à caractère personnel.