Par Alexandre MANDIL, Avocat au barreau de Paris Cabinet Lex-Squared
Véritable « chef d’orchestre » de la conformité des traitements de données à caractère personnel réalisés au sein de l’organisme qui l’a désigné, le délégué à la protection des données (en anglais, data protection officer – DPO) est devenu un maillon essentiel de la gouvernance de la donnée.
Prévue par le Règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données (RGPD), la désignation d’un DPO est obligatoire, sous peine de sanction, pour tous les organismes et autorités publics, ainsi que pour les entreprises et associations dont l’activité de base consiste en un suivi régulier et systématique à grande échelle d’individus et / ou qui traitent à grande échelle des données à caractère personnel dites « sensibles » (données biométrique, données de santé, données révélant les opinions politiques…) ou relatives à des relatives à des infractions pénales.
En dehors de ces cas de désignation obligatoire, la désignation d’un DPO est vivement encouragée par les autorités de contrôle, afin de permettre une meilleure coordination des actions à mener en matière de protection des données à caractère personnel.
Toutefois, la désignation d’un DPO n’implique pas forcément de créer un poste à temps plein supplémentaire, le RGPD prévoyant expressément la possibilité, sous certaines conditions, de mutualiser un DPO entre plusieurs entreprises et / ou d’en désigner un à temps partiel. En outre, le RGPD prévoit la possibilité de recourir aux services d’un DPO externe, qu’il s’agisse d’une personne physique ou morale.
C’est dans ce contexte que de nombreuses entreprises et administrations choisissent d’externaliser la fonction de DPO à un cabinet d’avocats ou à un avocat indépendant.
Le Conseil national des barreaux n’a d’ailleurs pas attendu l’entrée en application du RGPD le 25 mai 2018 pour modifier, par une décision du 27 janvier 2017, les dispositions de l’article 6 du Règlement intérieur national de la profession d’avocat (RIN) afin de tenir compte de la possibilité offertes aux avocats d’exercer les fonctions de DPO à titre principal ou accessoire. L’article 6.4 du RIN impose néanmoins à tout avocat entendant exercer dans le cadre de son activité des fonctions de DPO d’en informer le bâtonnier par lette ou courriel, de même que pour les autres missions particulières ouvertes aux avocats prévues à l’article 6.3 du RIN.
De fait, les avocats, habitués à protéger les libertés publiques et individuelles, disposent de solides atouts pour assumer la fonction de DPO. En effet, de par leur formation, leur expertise, les règles déontologiques auxquelles ils sont assujettis et les moyens de veille et d’analyse qu’ils peuvent mobiliser, les avocats présentent toutes les garanties juridiques de compétences techniques et d’indépendance requises.
L’article 37.5 du RGPD insiste, par exemple, sur les qualités professionnelles dont le DPO doit disposer et, en particulier, sur ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Expert dans son domaine et déontologiquement tenu de se former régulièrement, l’Avocat DPO dispose de plus généralement d’une bonne connaissance et d’une vision globale du secteur d’activité de ses clients. L’avocat DPO est donc particulièrement bien placé pour exercer les missions dévolues au DPO, et en particulier informer et conseiller l’organisme qui l’a désigné et ses employés, formuler des recommandations à leur intention et contrôler le respect du RGPD en adoptant une approche par le risque.
En outre, en application de l’article 38.3 du RGPD, le DPO doit pouvoir rendre compte de son action au plus haut niveau de la direction de l’organisme qui l’a désigné et ne doit recevoir aucune instruction de ce dernier en ce qui concerne l’exercice de ses missions. De fait, les avocats ont l’habitude de conseiller au plus haut niveau leurs clients, tout en sachant préserver leur indépendance, principe essentiel de la profession d’avocat s’il en est, ce qui pourrait s’avérer moins aisé pour un DPO salarié.
Les avocats DPO sont également particulièrement bien armés pour éviter les potentiels conflits d’intérêts avec leurs éventuelles autres missions et tâches, comme ils y sont tenus conformément à l’article 38.6 du RGPD. En effet, contrairement à un DPO interne qui ne peut en principe pas occuper de fonctions le conduisant à déterminer les finalités et les moyens d’un traitement (secrétaire général, directeur général, directeur opérationnel, directeur financier, responsable des ressources humaines, responsable du service informatique…), l’avocat, en sa qualité de conseil, dispose de l’expérience nécessaire pour exercer sa mission tout en étant peu susceptible d’être à la fois « juge et partie ». L’article 6.3.3. §2 du RIN restreint toutefois la possibilité pour l’avocat DPO de représenter l’organisme qui l’a désigné dans le cadre de procédures administratives ou judiciaires mettant en cause ce dernier, par exemple, s’il voit sa responsabilité civile engagée au titre de l’article 82 du RGPD ou en cas de poursuites pénales au visa des articles 226-16 à 226-24 du code pénal (collecte illégale de données personnelles sensibles, détournement de finalités…). Dans un tel contexte, et en dépit de l’obligation d’indépendance à laquelle l’avocat est assujetti à l’égard de son client, la défense des intérêts de ce dernier apparait ainsi comme étant incompatible avec l’exigence d’impartialité et le rôle d’intermédiaire auprès de l’autorité de contrôle du DPO.
De même, garant d’un secret professionnel général, absolu et illimité dans le temps, les avocats sont mieux que quiconque en mesure de respecter le secret professionnel auquel est soumis le DPO au titre de l’article 38.5 du RGPD. A ce titre, aucune obligation de dénonciation de son client ne peut être mise à la charge de l’avocat, y compris dans le cadre de sa mission de DPO.
Le paragraphe 1 de l’article 6.3.3. du RIN prévoit par ailleurs, en complément du RGPD, l’obligation pour l’avocat DPO de mettre un terme à sa mission s’il estime ne pas être en mesure de l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de son client, sans pouvoir le dénoncer à l’autorité de contrôle. Une telle disposition s’applique bien évidemment aux conflits d’intérêts qui pourraient surgir entre l’avocat DPO et son client mais également à la situation dans laquelle l’avocat DPO constaterait, de la part de son client, des violations caractérisées et délibérées de la règlementation en matière de protection des données. Elle pourrait de plus s’appliquer dans l’hypothèse où le client ne mettrait pas à disposition de l’avocat DPO les ressources nécessaires pour exercer ces missions ou ne l’associerait pas à toutes les questions relatives à la protection des données, contrairement à ses obligations au titre des points 1 et 2 de l’article 38 du RGPD.
Enfin, à l’inverse d’un DPO non-avocat qui, en application des lignes directrices du Comité européen de la protection des données, n’est pas personnellement responsable dans le cadre de l’exercice de ses fonctions en cas de non-conformité de son organisme avec le RGPD (sauf à ce qu’il enfreigne intentionnellement les dispositions du RGPD), l’avocat DPO est lui susceptible d’engager sa responsabilité professionnelle d’avocat, ce qui est protecteur pour les entreprises.