délégué à la protection des données

Apparition d’une nouvelle figure : le délégué à la protection des données (DPO)

Le paysage du droit de la protection des données à caractère personnel se modifie progressivement, notamment avec l’adoption et l’application imminente du nouveau règlement général sur la protection des données (RGPD). Parmi les nouveautés figure l’apparition du délégué à la protection des données (« DPO » – Data Protection Officer).

Ce nouvel acteur doit – dans certaines circonstances – être désigné au sein de l’entreprise qui agit en qualité de responsable de traitement ou de sous-traitant.

Le DPO est principalement chargé de contrôler le respect par l’entreprise de la réglementation ainsi que de la conseiller et de l’informer en la matière. Il est également le principal contact avec l’autorité de contrôle.

Le délégué, qui peut être interne ou externe à l’organisme qui le désigne, doit disposer de qualités professionnelles et de connaissances spécifiques dans le domaine du droit et des pratiques en matière de protection des données. Il devra par ailleurs exercer ses fonctions et missions en toute indépendance.

Les avocats particulièrement concernés par la fonction de DPO

Les avocats qui suivent de près les évolutions en la matière n’ont évidemment pas manqué d’exprimer leur grand intérêt à l’exercice de cette nouvelle fonction. Ces derniers sont, en outre, de plus en plus sollicités par leurs clients en vue de répondre à cette nouvelle obligation légale.

Contrairement aux autres professions juridiques (tels que les juristes), les avocats – en tant qu’intermédiaire entre les justiciables et les institutions judiciaires au sens large – sont tenus dans l’exercice général de leur profession au strict respect d’une déontologie exigeante.

Alors que le statut, les missions et les responsabilités du DPO sont progressivement interprétés et précisés par les instances nationales et internationales compétentes en la matière, les avocats s’interrogeaient sur les enjeux déontologiques qu’impliqueraient l’exercice de cette fonction.

Avocat, déontologie et DPO : « Oui mais… »

L’Ordre bruxellois des avocats a récemment modifié le Code de déontologie afin d’autoriser et d’encadrer l’exercice en tant qu’avocat de la fonction de délégué à la protection des données (Articles 2.100.a – 2.100.f du RDB).

L’Ordre reconnait en premier chef la compatibilité de la fonction de DPO avec l’exercice de la profession d’avocat. Et de poursuivre que cette compatibilité de principe est néanmoins soumise à certaines conditions :

  • Respect d’un devoir d’information : l’avocat qui souhaite exercer une fonction de DPO devra au préalable en avertir son Bâtonnier.
  • Respect du devoir d’indépendance : l’avocat DPO devra exercer ses missions de DPO en toute indépendance. Si celle-ci est mise à mal dans le cadre de ses missions, l’avocat devra mettre un terme à sa fonction, après en avoir préalablement informé et effectué les démarches nécessaires auprès du responsable de traitement.
  • Interdiction des conflits d’intérêts : à l’instar de son obligation déontologique d’éviter tout conflit d’intérêts dans l’exercice de sa profession d’avocat, celui-ci devra – en tant que DPO – éviter de se trouver dans une telle situation.
    • Dès lors, l’avocat DPO ne pourra pas représenter en justice le responsable de traitement et/ou le sous-traitant dans une procédure judiciaire ou administrative qui remet en cause ce dernier pour des questions relatives à la protection des données à caractère personnel.
    • De même que l’avocat DPO ne peut pas intervenir en faveur d’une partie qui est ou devient l’adversaire du responsable du traitement dont il est le DPO.
    • L’interdiction d’intervenir pour ou contre son responsable du traitement/sous-traitant persiste même après l’expiration du mandat de DPO, sauf s’il n’existe aucun conflit d’intérêts et aucune suspicion d’atteinte au secret professionnel.

Un choix difficile ?

En conclusion, le RGPD offre de nouvelles opportunités professionnelles aux avocats mais limitent également leur pouvoir d’intervention. En effet, en choisissant d’endosser les missions de DPO pour le compte d’un client, l’avocat renonce – en principe – à toute intervention ultérieure en lien avec ce dernier.

Chloë De Clercq, avocate au barreau de Bruxelles

CategoryIP/IT

Lex4u, cabinet d'avocats d'affaires
Avenue Louise 54
1050 Bruxelles