Nous avons déjà eu l’occasion d’insister précédemment sur l’importance d’assurer l’absence de conflit d’intérêts lors de la désignation d’un délégué à la protection des données. Mais les précautions ne se limitent pas à cela.
En effet, l’Autorité de protection des données (APD) a récemment constaté une infraction au RGPD en raison de la manière dont un responsable du traitement avait désigné son délégué à la protection des données.
Faits
Dans le cadre de l’enquête, l’APD avait demandé au responsable du traitement de fournir :
- une copie de l’organigramme démontrant où s’y situait le délégué à la protection des données,
- des documents démontrant à quoi était consacré son emploi du temps,
- les documents qui démontraient ses compétences à exercer cette fonction,
- une copie des avis qu’il avait donnés. Aucun avis écrit du délégué à la protection des données n’a pu être fourni, la commune précisant uniquement qu’elle l’avait impliqué à tous les stades des nouveaux traitements de données ou des modifications des traitements existants.
Ce qu’a déploré l’APD, c’est tout d’abord le manque de connaissance par le délégué à la protection des données de la législation applicable, ensuite le manque de clarté des limites de la mission du délégué à la protection des données et enfin le fait qu’il ne rendait pas directement compte au plus haut niveau de direction :
Expertise du délégué à la protection des données
L’APD reproche concrètement à la commune de ne pas être en mesure de démontrer comment ont été analysées les qualités professionnelles du candidat délégué et, en particulier, son expertise dans le domaine du droit et des pratiques en matière de protection des données à caractère personnel. C’est donc sa capacité à effectuer les tâches confiées par le RGPD qui est mise en doute.
La commune expliquait que la procédure de recrutement avait été menée par un prestataire externe pour un recrutement d’un profil de fonction consultant en sécurité de l’information-délégué de la protection des données.
Elle soutenait que, en nommant le candidat estimé le plus adéquat à l’issue du processus de sélection, elle pouvait légitimement croire qu’il disposait des qualités professionnelles nécessaires.
L’Autorité estime que ce n’est pas parce que la personne est la plus adéquate pour un poste que cela signifie qu’elle est adéquate ! L’APD estime au contraire que la Commune ne s’est pas suffisamment assurée de l’expertise du candidat, dès lors que :
- l’annonce de recrutement précisait « une connaissance (approfondie) du RGPD est un plus ». Il ne ressort pas de cette formulation que les candidats devaient avoir connaissance de la législation en matière de protection des données.
- les questions qui ont été posées aux candidats dans le cadre de la sélection écrite et orale ne les ont pas suffisamment testés au sujet de leur connaissance de la législation en matière de protection des données à caractère personnel.
Il est important de noter que l’APD fait ainsi prévaloir la connaissance juridique sur la connaissance technique. Elle précise qu’une connaissance approfondie du système informatique interne et une connaissance des processus propres à l’entreprise constituent une plus-value pour l’exercice des fonctions de délégué à la protection des données. Par contre, la connaissance de la législation en matière de protection des données est un élément indispensable. L’APD suit en cela les lignes directrices du Comité européen à la protection des données sur ce point.
Délimitation de la mission du délégué et rapport au plus haut niveau de direction
En l’espèce, le délégué ne figurait pas sur l’organigramme de la commune.
Le Collège des bourgmestre et échevins avait en outre délégué la compétence en matière du RGPD au directeur général de l’administration communale. Seuls le plan de sécurité et le rapport annuel avaient été confiés au délégué à la protection des données.
L’APD reproche donc que le délégué à la protection des données ne puisse faire qu’un rapport annuel au Collège des bourgmestre et échevins, alors qu’il doit à tout moment rapporter au niveau de direction le plus élevé. La manière dont se déroule concrètement cette relation est de plus en plus scrutée par l’APD.
Sanction
En l’espèce, le responsable du traitement a été averti de veiller à l’avenir au respect du RGPD sur ces points. Aucune amende administrative n’aurait pu être prononcée, puisque le responsable du traitement était une commune, qui ne peut pas être sujette à une telle sanction en vertu de la loi du 30 juillet 2018.
L’issue serait certainement différente si l’APD avait eu à examiner le cas d’une entreprise privée…
Communication des coordonnées du délégué
Les coordonnées de contact du délégué à la protection des données doivent être communiquées aux personnes concernées. Il n’est pas nécessaire de préciser son nom, mais uniquement les données de contact, telle qu’une adresse privacy@…, afin de ne pas devoir modifier les documents en cas de changement de l’identité du délégué.
Si l’APD n’a pas constaté d’infraction sur ce point, elle a formulé des recommandations. Elle a confirmé ne pas être opposée à la désignation d’une équipe en tant que délégué, estimant au contraire qu’il est souhaitable de rassembler différentes expertises, conformément aux lignes directrices du Comité européen de protection des données.
Elle accepte également qu’une adresse e-mail neutre, accessible par les différents membres de l’équipe puisse être utilisée à cet effet.
L’APD encourage cependant d’une part à éclairer les personnes concernées sur la structure concrète d’une telle équipe, et d’autre part à insister sur la confidentialité des communications envoyées à cette adresse, telle que prévue à l’article 38, § 5 du RGPD.
Notre conseil :
Il convient d’abord de vérifier si vous devez désigner un délégué à la protection des données.
Que vous y soyez obligé ou que vous en désignez un spontanément, dans le cadre de l’obligation d’accountability, il est prudent de documenter le processus de sélection du délégué à la protection des données, et notamment les questions posées pour démontrer sa compétence en matière de législation et de pratiques de protection des données. Le cas échéant, il faut l’exiger de votre bureau de recrutement externe.
Une fois le délégué nommé, n’oubliez pas de :
- notifier son identité à l’APD,
- faire figurer ses coordonnées dans le registre des traitements.
- le faire figurer dans l’organigramme, directement sous le niveau de direction le plus élevé,
- faire figurer ses données de contact (et éventuellement des informations sur la structure de l’équipe “privacy ») dans votre politique de protection des données.
Enfin, les avis donnés par le délégué doivent être consignés par écrit, afin d’être en mesure de démontrer à l’APD qu’il exerce concrètement la mission confiée par le RGPD.