RGPD et désignation d’un DPO en interne : bonne ou mauvaise idée ?

Pour rappel, cette désignation est obligatoire dans certaines situations et pour certaines structures, à savoir :
 les autorités et organismes publics,
 les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
 les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Outre la nécessaire interprétation des notions inhérentes à cette désignation telles que « suivi régulier et systématique » ou « traitement à grande échelle » qui, à n’en pas douter, donnera du fil à retordre aux juristes consciencieux et littéraires dans l’âme, c’est d’avantage le statut du DPO ainsi désigné qui suscite l’intérêt.

L’Article 37.6 du RGPD prévoit en effet que « le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »

L’alternative est loin d’être anodine lorsque celle-ci est mise en relief avec les Articles 38 et 39 relatifs aux fonctions et missions du DPO.

En effet, ce dernier constitue l’interlocuteur privilégié quant à l’application du RGPD dans la structure dans la mesure où il sera à la fois chargé d’informer et de conseiller le responsable du traitement/le sous-traitant ainsi que les employés, contrôler le respect du règlement ou encore coopérer avec l’autorité de contrôle.

Une fois de plus, avis aux juristes ayant le sens aiguisé du mot juste : notons que l’Article 39 prend bien le soin d’indiquer que les missions du DPO sont « au moins » celles énoncées ci-avant : l’étendue précise de ses attributions semble donc être complexe à définir, y compris pour les rédacteurs du RGPD eux-mêmes !

Toujours est-il qu’afin d’accomplir ses différents engagements, le DPO bénéficie d’un statut particulier développé dans l’Article 38, et c’est à cet égard que l’opportunité de désigner un DPO en interne ou non doit être discutée.

On retrouve en effet plusieurs principes posés par le RGPD dans cet Article 38, parmi lesquels :
 l’octroi des ressources nécessaires pour exercer ses missions
 l’indépendance et l’absence d’instructions en ce qui concerne l’exercice de ses missions
 l’impossibilité d’être relevé de ses fonctions ou pénalisé par le responsable du traitement
 la nécessaire absence de conflit d’intérêt en cas d’exercice d’autres missions et tâches au sein de la structure

Force est de constater que le DPO relève ainsi d’un statut spécifique, à la fois proche de la Direction sans pour autant présenter de conflit d’intérêt, potentiellement salarié de la structure tout en étant indépendant et « intouchable » du moins pour les missions relevant de son statut de DPO.

Le DPO, s’il est désigné en interne, constituerait alors une sorte de salarié autonome : n’est-ce pas ici la création d’une parfaite antithèse d’un point de vue social ou, à tout le moins, d’un collaborateur sui generis ?

Si certaines situations similaires existent déjà, à l’instar de l’exercice d’un mandat prud’homal ou de fonctions syndicales, il n’en reste pas moins que le règlement de l’éventuelle porosité entre les deux sphères d’activité du salarié est relativement bien traité par les textes : tel n’est pas le cas ou du moins pas encore pour le statut de DPO, ce dernier n’étant en outre a priori pas considéré comme un salarié protégé au sens du droit social.

Cette contradiction évidente entre l’étendue des missions et le statut qu’elle requiert soulève plusieurs interrogations qui ne sont à ce jour pas tranchées et qui ne le seront probablement pas avant que la Haute Juridiction ne se prononce à leur égard.

Quelle sera l’étendue du pouvoir de direction et de sanction de l’employeur si l’exécution défectueuse des missions du DPO a des conséquences importantes sur la marche générale de l’entreprise ? Peut-on d’ailleurs parler d’ « exécution défectueuse » comme cela serait le cas pour des obligations contractuelles ? Quid d’une intention de nuire avérée du DPO ? L’impossibilité a priori totale de pénaliser le responsable du traitement sera-t-elle absolue ?

Qu’en est-il également de la charge de travail générée le cas échéant par les missions relevant du statut DPO ? Les éventuelles heures de dépassement seront-elles considérées comme des heures supplémentaires, alors même que ces dernières n’ont nécessairement pas pu être effectuées à la demande de l’employeur ?
Le droit prétorien relatif au contentieux des heures supplémentaires aura-t-il vocation à s’appliquer en pareil cas ?

D’un point de vue relationnel, que se passera-t-il si le DPO, n’ayant pas été préalablement consulté avant la mise en œuvre d’un traitement portant sur des données personnelles, émet en toute indépendance un avis négatif auprès de la Direction ? Peut-on objectivement affirmer que sa prise de position n’aura aucun effet sur l’exercice de ses fonctions salariales classiques ?
Si les textes semblent dresser une frontière ferme et imperméable entre la sphère « salarié » et la sphère « DPO », la réalité est parfois toute autre et il y a fort à parier que les relations de travail seront impactées malgré les précautions et recommandations prises par le RGPD.

Le projet de loi relatif à la protection des données personnelles du 13 décembre 2017 - qui fera l’objet d’une discussion en Séance publique le 19 avril 2018 prochain - ne semble pas plus, dans sa rédaction actuelle, régler ou à tout le moins prévoir ces hypothèses.

Nul doute que des contentieux viendront à naître dans la mise en application de ce RGPD, et les juges auront la lourde tâche de se prononcer en tenant compte de la double casquette qu’est celle du DPO.