Panorama rapide de l’actualité « Technologies de l’information » des semaines des 30 janvier et 6 février 2023

Protection des données

Licenciement d’un DPO et respect de l’indépendance prévu par le RGPD

• Le DPO (data protection officer) ou délégué à la protection des données (DPD) est un acteur incontournable de la conformité du responsable de traitement au RGPD. Il est toutefois dans une position ambivalente dès lors qu’il est également conçu, dans le RGPD, comme un relai du régulateur auprès du responsable de traitement. Cette double fonction implique qu’il jouisse d’une certaine autonomie et d’indépendance à l’égard du responsable de traitement y compris lorsqu’il est nommé en interne.
  Cette indépendance est notamment assurée par les dispositions du RGPD visant à garantir que le DPO n’est pas soumis aux instructions de son employeur dans le cadre de ses missions et à le protéger contre toute sanction à ce titre (RGPD, art. 38, §3). Le texte prévoit en outre que le DPO peut exercer d’autres fonctions et missions, et qu’il appartient à son employeur de veiller à l’absence de conflit d’intérêts. Toutefois, en dépit de ces quelques éléments, le statut et le régime applicable au DPO sont finalement empreint d’incertitude justifiant que toute interprétation et précision données par la Cour soient précieuses. Ici la Cour vient donc préciser à la fois les conditions de cette indépendance et la notion de conflit d’intérêts susceptible d’interdire l’exercice d’autres fonctions.
  En l’espèce, le DPO avait été démis de ses fonctions du fait qu’il était également président du comité d’entreprise. Son employeur estimait que ces deux postes étaient incompatibles.
  La Cour, saisie d’une question préjudicielle, apporte deux précisions d’interprétation quant au statut du DPO:
  - D’une part, l’alinéa 3 de l’article 38 « ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPD qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce DPD, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD »; Une protection accrue du DPO par la législation d’un État membre, au nom d’impératifs de protection des salariés, est donc possible à la condition que les objectifs du RGPD et notamment l’exigence d’absence de conflits d’intérêt, ne soient pas compromis.
  - D’autre part, un conflit d’intérêt peut exister lorsqu’un DPO exerce une autre mission ou d’autres fonctions qui le conduiraient à déterminer les finalités et les moyens du traitement - ce qu’il appartient aux juridictions nationales d’apprécier au cas par cas à l’aune notamment de la structure organisationnelle du responsable de traitement. (CJUE 9 févr. 2023, C‑453/21)

Collecte d’information, recrutement et protection des données

• Face aux questions innovantes dans le domaine du recrutement, telles que le recours à l’intelligence artificielle pour...