Le Règlement général sur la protection des données (RGPD) impose aux organisations la nomination d’un délégué à la protection des données (DPO) pour garantir le respect des obligations en matière de protection des données. L’indépendance de ce rôle est cruciale pour assurer un contrôle impartial. Récemment, l’Autorité polonaise de protection des données (UODO) a sanctionné Toyota Bank pour ne pas avoir respecté ce principe fondamental.
Un impact au-delà des frontières polonaises
Bien que cette décision concerne une entité située en Pologne, elle a des implications à l’échelle européenne. Le RGPD étant un règlement applicable à tous les États membres de l’Union européenne, les entreprises opérant dans l’UE doivent tirer des enseignements de cette affaire pour s’assurer de leur conformité et éviter de potentielles sanctions dans d’autres pays.
L’article 38 du RGPD encadre la fonction de délégué à la protection des données, et y prévoit plusieurs principes tels que l’indépendance et l’absence de conflits d’intérêt.
Contexte de l’affaire
La position du DPO au sein de Toyota Bank
Le DPO de Toyota Bank occupait simultanément un poste d’auditeur IT/spécialiste de la sécurité, initialement au sein de l’équipe de sécurité, puis dans le département de sécurité.
Conflit d’intérêts et problèmes de subordination
Le DPO était directement subordonné au directeur du département de sécurité, qui gérait également les processus de traitement des données. Cette situation a entraîné un conflit d’intérêts, compromettant l’indépendance requise du DPO selon le RGPD.
Les manquements identifiés
Absence de lien direct avec la direction
Le DPO n’était pas directement rattaché à la direction générale, contrairement aux exigences du RGPD qui disposentqu’il doit rapporter directement au niveau le plus élevé de la hiérarchie.
Conflit d’intérêts et impact sur la conformité
Le fait que le DPO soit sous l’autorité d’un directeur impliqué dans le traitement des données a créé une situation de conflit d’intérêt manifeste, restreignant sa capacité à exécuter ses missions en toute indépendance, et libre de toute hierarchie.
Décision de l’UODO
Après examen, l’Autorité polonaise de protection des données a conclu que Toyota Bank avait enfreint le RGPD en ne garantissant pas l’indépendance de son DPO. En conséquence, une amende a été imposée à la banque.
Enjeux et enseignements pour les entreprises
Une portée juridique à l’échelle de l’Union européenne
Cette décision de l’UODO sert de précédent pour d’autres autorités de protection des données dans l’UE. Toute entreprise traitant des données personnelles de citoyens européens, qu’elle soit en Pologne ou ailleurs, doit s’assurer de la conformité de son DPO pour éviter des sanctions similaires.
Garantir une subordination appropriée du DPO
Les organisations doivent veiller à ce que le DPO soit directement rattaché à la plus haute direction afin de garantir son indépendance.
Éviter les conflits d’intérêts
Le DPO ne doit pas occuper de fonctions pouvant le placer en situation de conflit d’intérêt, notamment dans des départements impliqués dans le traitement des données.
Former et sensibiliser les employés
Les organisations doivent former leurs cadres et employés sur l’importance de l’indépendance du DPO et les exigences du RGPD afin d’assurer une meilleure conformité.
L’affaire Toyota Bank met en évidence l’importance de garantir l’indépendance du DPO au sein des organisations. Cette affaire rappelle aux entreprises qu’une mauvaise structuration de ce rôle peut entraîner des sanctions financières et juridiques.
Au-delà du cas de Toyota Bank, cette décision réaffirme que le RGPD s’applique uniformément à toutes les entreprises traitant des données européennes. Il est donc essentiel de revoir la gouvernance du DPO pour assurer une conformité stricte au RGPD et anticiper d’éventuelles sanctions d’autres autorités européennes.
