Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 01 au 05 novembre 2021

Rédigée par Lyes Bendou, Alexandre Cusanno, Mathilde de Biasi, Léa Dupont, Vincent Kerharou, Louis Poulain, Emmy Paret, Manon Roy, Oriane Serrot , Alexis Spagnolo, Emma Walter, Mélanie Welisarage, étudiants de Master 1 Management & Droit des affaires SKEMA/ULCO, sous la direction de Mme Isabelle Bufflier et M. Frédéric Munier, professeurs SKEMA BS

Lyes Bendou

Lyes Bendou

23 ans
Alexandre Cusanno

Alexandre Cusanno

20 ans
Mathilde De Biasi

Mathilde De Biasi

21 ans
Léa Dupont

Léa Dupont

21 ans
Vincent Kerharou

Vincent Kerharou

20 ans
Louis Poulain

Louis Poulain

21 ans
Emmy Paret

Emmy Paret

21 ans
Manon Roy

Manon Roy

22 ans
Oriane Serrot

Oriane Serrot

21 ans
Alexis Spagnolo

Alexis Spagnolo

22 ans
Emma Walter

Emma Walter

20 ans
Mélanie Welisarage

Mélanie Welisarage

21ans
Alphabet lance une société dédiée à la découverte de médicaments par intelligence artificielle

La filiale d’Alphabet Isomorphic Labs a pour but de révolutionner la découverte de médicaments, en s’inspirant des travaux de DeepMind, un laboratoire spécialisé dans l’intelligence artificielle. Son but n’est pas de commercialiser ces médicaments mais d’en vendre les modèles à des entreprises pharmaceutiques, d’où ses nombreux partenariats.

Pourquoi cette actu ? Après de multiples cyberattaques subis par les hôpitaux français et la fragilité révélée récemment des QR codes des passes sanitaires, cet article nous a paru digne d’intérêt, puisque l’usage de l’intelligence artificielle semble pouvoir permettre de mieux lutter contre la pandémie sanitaire. Toutefois, si le projet en question ne semble pas utiliser pour le moment les données sensibles des personnes soignées, mais uniquement des informations scientifiques et techniques, il est sans doute probable que ces données soient utiles dans ce type de projet. Il serait donc nécessaire que les responsables du projet puissent s’engager au respect de toutes données sensibles de santé des personnes physiques et à ne pas les exploiter contre leur gré. Après l’émission de France 2 Cash investigation qui a révélé récemment des dysfonctionnements relativement au consentement des clients de plusieurs pharmacies, une réflexion plus aboutie telle celle menée par la CNIL semble bienvenue (voir autre actu dans cette revue de presse).

Facebook : le géant des réseaux sociaux met un terme à l’usage de la reconnaissance faciale

Le 2 novembre 2021, Facebook a annoncé abandonner la reconnaissance faciale sur les photos de ses utilisateurs et s’engage à effacer les données collectées auprès d’eux : une véritable révolution numérique alors que le réseau social utilise les données faciales de ses clients depuis 2009. Ce changement de stratégie s’explique sans doute aussi par le fait que Facebook s’est fait condamner en août dernier par les autorités sud-coréennes à verser une amende de 6,46 milliards de wons (environ 4,3 millions d’euros) pour son utilisation de la reconnaissance faciale à l’insu des utilisateurs. Pour les mêmes raisons, l’entreprise avait été contrainte à verser 550 millions de dollars, à l’issue d’un recours collectif mené par des internautes américains dans l’Illinois.

Pourquoi cette actu ? La question de l’identification par le biais de la reconnaissance faciale nous concerne et nous inquiète, puisque nous, jeunes étudiants nés dans les années 2000 et issus de la génération du numérique, ne cessons de publier et de partager du contenu numérique sur les réseaux sociaux, dont ceux que Facebook pilote. Nous nous interrogeons sur les pratiques utilisées par la plateforme quant à l’enregistrement de nos données, ainsi qu’à leur utilisation au regard des règles relatives à la protection des données à caractère personnel issues du RGPD et du respect de notre vie privée.

CNIL : la question de la protection des données dans l’industrie pharmaceutique

Le 2 novembre 2021, la CNIL a lancé une consultation publique sur un projet de référentiel ayant pour but d’encadrer les traitements des données personnelles que les officines pharmaceutiques mettent en œuvre, tant d’un point de vue technique que juridique. Ainsi, le référentiel proposé devra indiquer les potentiels destinataires des différentes données des officines pharmaceutiques (identité du patient, identifiant national de santé, numéro de sécurité sociale, données relatives à la santé, traces fonctionnelles et technique), la durée de leur conservation ainsi que les obligations en termes d’informations et de sécurité (RGPD). La consultation est ouverte jusqu’au 19 novembre prochain.

Pourquoi cette actu ? La question de la protection des données personnelles est cruciale quand elle concerne un domaine aussi sensible que celui de la santé. En effet, à l’ère du numérique, il est essentiel de rappeler les principes inhérents au traitement des données sensibles aux officines pharmaceutiques dans leurs démarches de mise en conformité et de respect du RGPD. On se souvient que l’émission de France 2 Cash investigation, diffusée en mai dernier, avait révélé que la société américaine IQVIA avait été autorisée par la CNIL à collecter des données de santé recueillies par 14 000 pharmacies. Certes, cette collecte visait à étudier la consommation des médicaments en France maiscertains clients n’avaient pas été informé et n’avaient pas donné leur consentementce qui contrevenait à l’évidence au RGPD. Après les problèmes récents liés au défaut de sécurité des QR codes des passes sanitaires au sein du réseau européen, il est essentiel de sécuriser les données de santé recueillies en officines.

Devise numérique chinoise : la position de la banque centrale quant à l’usage du e-yuan

Le 3 novembre 2021, lors de la Semaine Fintech de Hong Kong 2021, le président de la banque centrale chinoise, Yi Gang, a réaffirmé la position de la Banque populaire de Chine concernant la protection des données personnelles, en exhortant les institutions financières à collecter, utiliser et stocker des informations à des fins légitimes et dans le strict respect des principes de légalité, et de nécessité minimale. Toutefois, il ne s’est pas prononcé sur des risques identiques concernant le yuan numérique (e-CNY) testé et mis en place en Chine depuis avril 2020. Trois sénateurs américains avaient pourtant souligné en juillet dernier les risques « sans précédent » de l’utilisation du Yuan numérique en vue de « surveiller les citoyens chinois et ceux qui visitent la Chine ». Ils ont demandé à l’US Olympic and Paralympic Committee (USOPC) « d’interdire aux athlètes américains de recevoir ou d’utiliser des yuans numériques pendant les Jeux olympiques de Pékin de 2022 ».

Pourquoi cette actu ? Il nous a paru important de relever cette actualité qui souligne comment la plus haute instance financière de Chine mène une campagne médiatique intensive pour rassurer l’opinion sur la protection des données à caractère personnel. Pourtant, même si les textes chinois récemment adoptés en ce domaine peuvent ressembler au RGPD européen, l’objectif en est bien éloigné. En Europe, il s’agit de permettre aux individus de se défendre contre la constitution de fichiers de leurs données sans leur consentement. En Chine, au contraire c’est un outil potentiel afin d’obtenir «l’obéissance spontanée des individus, grâce par exemple à la surveillance ou à l’évaluation ». De ce point de vue, la question des données peut servir d’observatoire des libertés publiques et, partant, du niveau de démocratie au sein d’un État.

L’affaire Pegasus : les États-Unis tapent du poing sur la table contre NSO Group

Le Département du commerce américain a placé sur liste noire l’entreprise israélienne NSO Group. Cette dernière commercialise le logiciel espion Pegasus. D’après Washington, elle menacerait « la sécurité nationale » et « les intérêts de la politique étrangère des États-Unis ».

Pourquoi cette actu ? Un rebondissement de plus dans cette affaire de surveillance ciblée qui avait rythmé le début de l’été dernier. Il est intéressant de voir comment le Département du commerce américain qui hausse le ton contre NSO group pendant que la France, elle, joue l’apaisement. Il est vrai que le rapport de force est en faveur des États-Unis de Joe Biden, moins favorable à l’État d’Israël que son prédécesseur…

1,8 milliard d’euros : le déploiement d’un plan de support pour le cloud français et européen

Le 2 novembre dernier, le gouvernement français a présenté un plan de soutien au cloud français et européen. Au total, sur quatre ans, 1,8 milliard d’euros seront attribués à ce secteur, dont 667 millions par l’État.

Pourquoi cette actu ? La bataille entre les acteurs américains et européens du secteur ne semble pas terminée. La France et l’Union européenne cherchent à faire obstacle aux géants du cloud tels que Google, Amazon Web Services ou encore Microsoft. Après l’entrée en bourse réussie de OVHCloud, il y a de quoi nous tenir en haleine ! To be continued…

Un nouveau groupe cybercriminel détecté par l’ANSSI

Le 3 novembre 2021, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT) de l’Agence nationale de la sécurité des systèmes d’information (Anssi) a annoncé avoir détecté un nouveau groupe cybercriminel, baptisé « Lockean ». Actif depuis le mois de juin 2020, Lockean est accusé d’avoir ciblé plusieurs entités françaises, dont Ouest-France, Gefco, ainsi que le laboratoire Pierre Fabre, en ayant recours à des techniques sophistiquées utilisées traditionnellement lors d’opérations d’espionnage informatiques entre États.

Pourquoi cette actu ? Cette information nous a paru intéressante car l’Anssi a remarqué au cours de ses investigations que Lockean avait l’habitude d’éviter de cibler les entreprises présentes dans les pays de la Communauté des Etats Indépendants (CEI), une entité intergouvernementale créée par 11 pays de l’ex-URSS (Arménie, Azerbaïdjan, Biélorussie, Kazakhstan, Kirghizstan, Moldavie, Ouzbékistan, Russie, Tadjikistan, Turkménistan, Ukraine) et rejointe par la Géorgie. Toutefois en attaquant Gefco, multinationale française de référence dans le secteur du transport et de la logistique, Lockean a en réalité touché indirectement la Russie puisque la société appartient à 75% aux chemins de fer russes.

Gouvernance numérique : de nouvelles solutions technologiques sont en marche

La gestion des données ne cesse de se complexifier et de se densifier. Une nouvelle approche, le as-a-service, est en train de conquérir les entreprises. Son but est de simplifier la gestion des données afin de gagner du temps et de l’argent !

Pourquoi cette actu ? Cet article nous a plu car il explique de façon simple les inconvénients et les avantages de la gestion de données et également, les moyens de la rendre toujours plus innovante.

Données personnelles : la CNIL condamne la RATP à une amende de 400 000 euros

Le 4 novembre 2021, la CNIL a condamné la RATP à une amende de 400 000 euros, après avoir été saisie par la CGT-RATP. Elle a pu constater que plusieurs centres d’autobus avaient indiqué le motif d’absence lié à l’exercice du droit de grève dans un fichier destiné à préparer le choix des promotions.

Pourquoi cette actualité ? Le fait que la RATP, un groupe comptant plus de 65 000 employés dont 16 000 conducteurs de bus, soit condamné pour ne pas être en conformité avec le RGPD nous a surpris. Il n’y a pas que les géants du numérique qui peuvent porter atteinte aux données personnelles. Sa condamnation nous semble témoigner de deux choses : d’une part, du bon fonctionnement de l’Etat de droit mais d’autre part du fait qu’il est plus facile de faire respecter le droit à une entreprise nationale qu’à un géant multinational dont le lobbying est difficile à contrecarrer.

Focus de la semaine

L’organisation internationale des autorités de protection des données a adopté cinq résolutions importantes relatives à la protection des données

L’Assemblée mondiale pour la protection de la vie privée (ou Global Privacy Assembly) est un lieu d’échanges à l’échelle mondiale qui réunit plus de 80 pays sur des sujets d’intérêt commun en lien avec la protection de la vie privée. A l’occasion de sa réunion annuelle, qui s’est tenue du 18 au 21 octobre 2021, cinq résolutions ont été adoptées. La CNIL, représentante tricolore, a contribué activement à l’élaboration de ces textes dont voici les principaux points :

  • L’encadrement de l’accès par les gouvernements aux données détenues par le secteur privé. Cette résolution est le premier texte international posant des principes pour le respect de la vie privée lorsqu’un gouvernement accède à des données personnelles pour des raisons de sécurité nationale ou de sécurité publique. La CNIL est coauteur de ce texte, aux côtés de l’autorité du Canada (OPC) et de l’autorité du Japon (PPC). Les représentants des États-Unis et de Hong Kong se sont abstenus de la signer, officiellement, pour des questions de compétence ;
  • La nécessaire protection des droits numériques des enfants. Ce texte rappelle l’importance de développer des politiques dédiées à la protection des mineurs sur Internet, en s’appuyant sur plusieurs méthodes : réglementations adaptées, campagnes de sensibilisation et d’éducation, etc ;
  • Le lancement de travaux sur le partage de données pour le bien commun. Ce sujet apparaît en effet aujourd’hui comme étant d’une importance toute particulière, par exemple au regard de la pandémie de Covid-19 ;
  • L’adoption d’un plan stratégique pour les années 2021 à 2023, qui portera notamment sur les technologies de surveillance ;
  • L’ultime résolution porte sur la mise en place d’un secrétariat indépendant et financé par les contributions de ses membres.

Pourquoi ce focus ? Adopter de telles résolutions au moment où les données personnelles font l’objet d’atteintes de toutes parts nous a paru très intéressant car une défense internationale peut être la solution. Néanmoins, force est de constater d’une part que certains États où des atteintes ont été récemment mises en lumière n’ont pas signé la première résolution, une des plus importantes des cinq et d’autre part, comme souvent en matière internationale, ces résolutions n’ont aucune force obligatoire.

 

Le point de vue étudiant

DPO, conflit d’intérêts et remise en cause potentielle de la validité du RGPD

Dès son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) adopté en 2016 a été considéré comme l’instrument incontournable pour protéger les données personnelles des citoyens européens. Ce dispositif vise à harmoniser et instaurer un cadre juridique unique, applicable à tous les États membres. Toutefois, c’est un Règlement « hybride » qui, bien qu’étant entré en application directement dans l’ordre juridique de tous les États membres à la date du 25 mai 2018, leur a laissé une certaine marge de manœuvre en leur permettant de préciser ou de compléter une cinquantaine de dispositions. Trois ans après sa mise en place, certaines zones d’ombre subsistent, deux notamment : la première concerne le rôle du délégué à la protection des données (DPD ou DPO) lorsqu’il est interne à l’entreprise ; la seconde est relative à la compatibilité du droit européen via le Règlement avec le droit national. Une récente affaire C-453/21 opposant « X-FAB Dresden GmbH & Co.KG » à « FC » dont la Cour de justice de l’Union européenne (CJUE) a été saisie le 29 septembre dernier a le mérite d’embrasser l’ensemble de ces deux points.  

L’affaire opposait un salarié de l’entreprise concernée X-FAB Dresden GmbH & Co.KG, groupe composé d’une société mère avec plusieurs filiales. En 2017, ce salarié avait été nommé délégué à la protection des données de la société mère, mais aussi des filiales situées en Allemagne. Après l’entrée en vigueur du RGPD, le 25 mai 2018, ce salarié a fait l’objet d’une révocation immédiate par son employeur. Ce dernier invoquait l’article 38, paragraphe 3 du RGPD et des motifs liés à l’entreprise, notamment le fait que ce salarié était également président du comité d’entreprise ce qui induisait un conflit d’intérêts entre les deux fonctions, jugées incompatibles. Le RGPD interdisant dans ce même article de révoquer un DPO, le salarié intenta une action contre son employeur. Il obtint en première instance et en appel que soit invalidée sa révocation. Un pourvoi en « révision » fut alors intenté par l’employeur devant la Cour fédérale du travail allemande (la Bundesarbeitsgericht). Celui-ci se fondait sur la loi fédérale allemande relative aux données à caractère personnel (Bundesdatenschutzgesetz), permettant cette révocation en cas de « motif grave. Dans cette affaire, deux questions principales se posaient : d’une part le RGPD et la loi allemande étaient-ils compatibles et, si oui, le RGPD devait-il prévaloir ; d’autre part, y avait-il conflit d’intérêts entre la fonction de DPO et celle de président du comité d’entreprise ? 

La compatibilité entre le RGPD et le droit national allemand

La première question posée à la CJUE renvoie à l’interprétation de l’article 38, paragraphe 3, deuxième phrase du RGPD au regard du droit national allemand. Cet article précise que « le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ». La question est de savoir s’il est en opposition avec l’article 6 paragraphe 4, première phrase, de la loi fédérale sur la protection des données énonçant que « le contrat de travail du délégué à la protection des données ne peut être résilié que s’il existe des faits qui donnent à l’organisme public un motif grave de résiliation sans préavis ». L’enjeu est de taille puisque le Règlement interdit formellement la révocation du DPO de ses fonctions si la raison émane de ses missions, tandis que le droit allemand le permet, en cas de « motif grave » sans vraiment préciser les cas en relevant. Le conflit ici est donc un conflit de normes et pose la question de savoir si le RGPD doit primer la législation nationale. Pour mieux cerner la question, quelques précisions s’imposent.

En principe, et contrairement à une directive, un règlement communautaire n’a pas besoin d’être transposé dans chaque État membre de l’Union ; il entre en vigueur à la date indiquée dans l’ensemble des États. Cependant, il est souvent nécessaire d’adapter le droit national afin de le rendre compatible avec le Règlement. Ainsi par exemple, en France, une loi du 20 juin 2018 et un décret n° 2019-536 du 29 mai 2019 ont été adoptés pour modifier la fameuse loi informatique et libertés du 6 janvier 1978 et la rendre compatible avec le RGPD. 

Tout règlement communautaire bénéficie ainsi, une fois son entrée en vigueur, du principe d’effet direct, en vertu duquel les pays ou les particuliers peuvent invoquer toute norme communautaire devant les juridictions nationales ou européennes. L’article 288 alinéa 2 du TFUE (Traité sur le Fonctionnement de l’Union Européenne) précise ainsi que « le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre », rappelé également par l’article 99 paragraphe 2 du RGPD. Les États membres ne peuvent donc pas déroger à la transposition des règlements européens en droit interne. Ainsi, l’Allemagne était-elle tenue d’intégrer et d’appliquer le Règlement et en particulier l’article 38, paragraphe 3, deuxième phrase du RGPD. 

Rappelons également que tout État membre de l’UE est soumis au principe de primauté du droit de l’Union. Consacrée par la Cour de Justice de l’Union Européenne (CJUE), il garantit la supériorité du droit européen sur les droits nationaux des États membres, qui doivent veiller à ce que les règles nationales soient conformes aux actes européens, lors de leur transposition.

Dans la présente affaire, la CJUE devrait donc trancher le conflit de norme en faveur du RGPD et écarter la loi allemande qui est en contradiction avec lui, ce qui devrait conduire la Cour allemande saisie à écarter en définitive le pourvoi en révision et donner raison au DPO. Même si le RGPD a donné une certaine marge de manœuvre aux États membres, le refus de la révocation du DPO n’en faisait pas partie. Force est de constater qu’ici c’est l’article 38 du RGPD qui devrait l’emporter.

Une autre question a été posée à la CJUE. Dans la mesure où la cessation des fonctions de DPO, liée par un contrat de travail à son employeur, entraîne nécessairement une modification de son contrat de travail en tant que salarié, le droit européen par le biais du RGPD est-il compétent pour traiter d’une question de droit du travail qui n’est pas a priori de la Compétence de l’UE et ne faut-il pas, dans ce cas, faire primer le droit allemand du travail ? En d’autres termes, le RGPD serait intervenu dans un domaine hors compétence de l’UE. Dans le cas qui nous occupe, le droit du travail allemand devrait être privilégié. 

Rappelons que les différents traités européens ont conféré des compétences à l’Union européenne dans certaines matières. Ce principe d’attribution est évoqué aux articles 2 à 6 du TFUE et à l’article 5, paragraphes 1 et 2 du Traité sur l’Union européenne (TUE). Les États membres disposent d’une action dans les domaines où l’UE n’a pas de compétences exclusives, particulières ou d’appui. Au paragraphe 33, la décision de l’affaire C-453/21, précise ainsi que le RGPD a été adopté sur le fondement de l’article 16 du TFUE. Plus précisément son paragraphe 2, qui renvoie à la « libre circulation des données ». Si l’on s’en tient uniquement à cet article, il semblerait que l’Union européenne soit compétente en la matière pour prendre des dispositions en matière de données personnelles. Toutefois, le paragraphe 34 de la décision indique les matières touchant au marché intérieur qui relèvent aussi de sa compétence et celles qui n’y figurent pas (article 114, paragraphe 2 du TFUE). Force est de constater que ce texte exclut bien les droits et intérêts des travailleurs de son champ d’application. 

 

L’affaire C-453/21 portant sur le cas d’un DPO salarié, l’UE ne serait donc pas compétente pour réglementer le droit du travail des États membres sur ce point et ne pourrait que l’accompagner ou le compléter, en application de l’article 153 du TFUE. Ainsi, le RGPD n’aurait pas vocation à régir la situation du DPO salarié et en particulier sa révocation et serait donc sur ce point invalide. La loi allemande en appliquant au DPO salarié des règles similaires à celles du droit du travail invocable à l’égard de tout salarié et en autorisant sa révocation pour « motif grave » ne ferait que manifester la compétence du droit de l’État membre.

La position de la CJUE sur ce point sera intéressante car elle pourrait contribuer à invalider, ou pas, une partie du RGPD. Au moment où une gouvernance mondiale des données commence à se mettre en place, cela serait de nature à faire « tâche d’huile » et à affaiblir l’Union européenne…

Le conflit d’intérêt du DPO salarié

Passons maintenant au second point soulevé par l’affaire X-FAB Dresden GmbH & Co.KG : la question du conflit d’intérêts entre la fonction de DPO et celle de président du comité d’entreprise. Rappelons d’abord que le DPO veille à la protection des données à caractère personnel. Sa nomination est obligatoire si l’entité est un organisme public ou si l’activité de l’entreprise porte sur le suivi de données à grande échelle ou encore celles qui sont sensibles (article 37 du RGPD). Dans les autres cas, son existence est fortement recommandée car le DPO est considéré comme un « véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne » (CNIL ; article 39 du GDPR). 

Selon l’article 38, paragraphe 6 du RGPD, le responsable du traitement ou le sous-traitant veillent à ce que les missions et tâches confiées par ailleurs au DPO n’entraînent pas de conflit d’intérêts. Dans le cas contraire, rien n’interdit ainsi au DPO d’exercer d’autres missions. C’est pourquoi, la quatrième question de la Cour fédérale du travail allemande porte sur l’ambivalence de la fonction du DPO. Il peut exister dans la pratique, un conflit d’intérêt lorsque le DPO est salarié de l’entreprise et assure des tâches qui peuvent l’amener à déterminer les finalités et les moyens du traitement des données. Il serait donc dans ce cas à la fois « juge et partie ». 

La question du conflit d’intérêts auquel peut être soumis un DPO salarié avait déjà été abordé par le Groupe travail 29 (ou G29) mis en place au niveau européen avant l’entrée en vigueur du RGPD dans ses lignes directrices du G29. Il y précisait que « l’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance. Bien que les DPD (Data Protection Delegate) soient autorisés à exercer d’autres fonctions, un DPD ne peut se voir confier d’autres missions et tâches qu’à condition que celles-ci ne donnent pas lieu à un conflit d’intérêts. Cela signifie en particulier que le DPD ne peut exercer au sein de l’organisme une fonction qui l’amène à déterminer les finalités et les moyens du traitement de données à caractère personnel. En raison de la structure organisationnelle spécifique de chaque organisme, cet aspect doit être étudié́ au cas par cas. En règle générale, parmi les fonctions susceptibles de donner lieu à un conflit d’intérêts au sein de l’organisme peuvent figurer les fonctions d’encadrement supérieur (par exemple, directeur général, directeur opérationnel…), mais aussi d’autres rôles à un niveau inférieur de la structure organisationnelle si ces fonctions ou rôles supposent la détermination des finalités et des moyens du traitement. » La CNIL a rappelé à la suite de l’adoption du RGPD qu’il était crucial que le DPO soit indépendant et ne soit pas placé dans une situation de conflits d’intérêt en reprenant les exemples du G29 mais sans donner d’indication précise sur le cumul avec une mission de délégué du personnel comme ici.

Dans le cas qui nous occupe, la question était de savoir s’il y avait conflit d’intérêts entre la fonction de DPO et la qualité du président du comité d’entreprise. La Cour fédérale considère à cet égard dans le paragraphe 43 de l’affaire C-453/21 qu’il n’y a pas d’incompatibilité entre les fonctions de DPO et celles de membres du comité d’entreprise et que cette charge, même en tant que président, ne conduit pas le DPO à déterminer les finalités et les moyens de traitement.

Peu de décisions de justice se sont prononcées sur cette question d’où l’intérêt d’attendre la position de la CJUE sur ce point. Toutefois, cette question a été récemment posée à l’autorité belge de protection des données qui a rendu une décision en date du 28 avril 2020. Cette dernière a considéré qu’un DPO exerçant à la fois la fonction de directeur audit, risque et compliance « ne se trouvait pas dans une position suffisamment protégée d’un conflit d’intérêts ». Elle a considéré qu’en qualité de directeur de l’audit, des risques et de la compliance, le DPO devait agir en qualité de responsable des traitements mis en œuvre dans le cadre de ses fonctions (Autorité belge de protection des données, ch. contentieuse, décision quant au fond 18/2020, 28 avr. 2020, dossier n° AH-2019-0013 : https://autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-18-2020.pdf)

Il n’existe donc pas de règle générale en matière d’identification des conflits d’intérêts. C’est au responsable de traitement, l’employeur ici, de les caractériser, in concreto, en raison de l’organisation de l’entreprise (taille, structure, activités…). Néanmoins, les lignes directrices du G29  ont mis en évidence une série de bonnes pratiques à implémenter au sein des différents organismes. Sont considérées comme des « best practices » : la cartographie des fonctions inconciliables avec celles du DPO, la mise en place d’un règlement intérieur fixant les règles internes afin de prévenir le risque de conflits d’intérêts, ou encore la rédaction de clauses dans le contrat de travail portant ses missions. 

La balle est donc désormais dans le camp de la CJUE qui devra se prononcer à la fois sur la compatibilité du RGPD avec la loi allemande en matière de droit du travail et également sur l’indépendante et les conflits d’intérêts auxquelles peuvent être soumis les DPO salariés.  

Lien vers l’article révélant cette affaire : https://droitdu.net/2021/11/la-validite-du-gdpr-remise-en-cause/

Par Inès Chenouf, étudiante en M2 DDA, sous la supervision d’Isabelle Bufflier et de Frédéric Munier