Une société sanctionnée 500K€ pour conflit d’intérêt de son DPO
Le Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBDI) , équivalent CNIL en Allemagne, a prononcé une sanction de 525 000 euros, le 20 septembre 2022, contre une société allemande, dont le DPO interne état aussi décideur dans d’autres sociétés du groupe.
L’art. 38 §6 du RGPD prévoit que le délégué à la protection des données peut exécuter d’autres missions et tâches, mais que le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance.
Pour le BBDI, la situation du DPO n’était pas admissible, car le DPO de la société mère devait s’assurer du respect des dispositions légales concernant la protection des données des autres sociétés du groupe, alors qu’il définissait lui-même par ailleurs en tout cas partiellement les finalités et moyens de traitement en tant que Directeur général des sociétés filiales.
La décision montre les pièges que peuvent poser des situations où le DPO exerce diverses fonctions au sein d’un Groupe de sociétés.
Les groupes MLM sont-ils concernés ?
Oui, même si on dit toujours « un distributeur ou un partenaire est indépendant et responsable ».
La réalité montre de nombreux exemples où le Leader, la Upline, prend des décisions et les « imposent » à ses partenaires downline. De ce fait, si le DPO interne de la société du Leader, exerce également des fonctions de DPO pour distributeurs downline, sans contrat direct avec eux, il peut y avoir conflit d’intérêts ou perte d’indépendance dans l’exercice de sa mission.
Que faire ?
La solution la plus adaptée est de faire appel à un DPO externe qui exercera pour chaque société, distributeur, partenaire ou sous-traitant.
Le risque ?
Le risque de ne rien faire est connu : sanction, amende, résiliation de licence, etc.
Le risque d’avoir un DPO interne sur une multiple structure est à déterminer au cas par cas.
Le risque d’avoir un DPO externe en MLM ou multisociétés, est le conflit entre le Dirigeant/leader et le DPO. En effet, le DPO exerce en toute indépendance, neutralité et impartialité ; il conseille chaque structure avec le même professionnalisme, mais la décision finale de suivre ou non ses recommandations, revient toujours au responsable de traitement (dirigeant). Dans un cas, extrême, le DPO pourrait être amené à conseiller à son client, distributeur, sous-traitant, filiale, de refuser la demande ou l’ordre du Leader ou dirigeant de la société mère ; nul doute, que ce dernier pourrait vouloir changer de DPO pour un autre plus conciliant.
Source : décision