Précisions déontologiques sur l'avocat délégué à la protection des données

 
Données personnelles.jpg
 
 

C’est bien avant l’entrée en vigueur du RGPD, que, par une décision du 27 janvier 2017 (prise suite à la délibération du 9 décembre 2016, DCN n°2016-002, AG du 9 décembre 2016), le Conseil national des barreaux a profondément modifié les dispositions de l’article 6 du Règlement intérieur national de la profession d’avocat (RIN) afin de tenir compte de la possibilité, désormais offertes aux avocats d’exercer les fonctions de délégué à la protection des données.

En effet, l’on savait que les avocats pouvaient exercer les fonctions de mandataires en transactions immobilières, mandataires sportifs, lobbyistes, ou syndic d’immeuble.

La décision en question ajoute donc à cette liste les fonctions de délégué à la protection des données personnelles.

L’obligation de déclaration au bâtonnier

L’article 6.4. du RIN impose tout d’abord à tout avocat qui entend exercer, dans le cadre de son activité, des fonctions de délégué à la protection d’en informer, par une déclaration écrite, le bâtonnier, de même que pour les fonctions précitées de mandataire en transactions immobilières, mandataire sportif, ou lobbyiste — cette déclaration peut toutefois prendre la forme d’un simple mail.

En plus de l’obligation de déclaration. la révision de 2017 a consacré un article complet (l’article 6.3.3. du RIN) aux fonctions de délégué à la protection des données de l’avocat.

La règlementation des conflits d’intérêt

L’apport essentiel de cet article est de préciser les règles de prévention des conflits d’intérêt susceptibles d’apparaître, dans l’exercice des missions de DPO.

Ainsi, l’article 6.3.3. paragraphe 2 du RIN précise que:

« l’avocat Délégué à la Protection des Données doit refuser de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de correspondant à la protection des données à caractère personnel (CIL) ou de Délégué à la Protection des Données dans le cadre de procédures administratives ou judiciaires mettant en cause le responsable des traitements ».

Il en ressort que l’indépendance qui caractérise la position du Délégué à la protection des données, par rapport à son Responsable du traitement, conformément aux articles 37, 38 et 39 du RGPD, lui interdit d’assumer la défense de ce dernier, dans le cadre d’une procédure administrative ou contentieuse.

En effet, avant d’être un simple conseiller en matière de protection des données, le délégué à la protection des données doit avant tout être conçu comme un tiers indépendant, qui apporte un regard impartial sur le respect, par le Responsable du traitement, des règles en matière de protection des données, et, le cas échéant, sert d’interface dans le jeu des relations tripartites entre Responsable du traitement, autorité de contrôle et personnes concernées. C’est là en effet ce qui ressort de la rédaction de l’article 38 RGPD, qui précise notamment les garanties d’indépendance devant caractériser une telle fonction, et rappelle son rôle d’intermédiaire.

Dans un tel contexte, et en dépit de l’obligation d’indépendance qu’est tenu d’entretenir l’avocat par rapport à son client, il apparaît que la défense des intérêts de ce dernier soit incompatible avec l’exercice impartial d’une mission de DPO.

Interdiction pour l’avocat-DPO de défendre et conseiller son Responsable du traitement lorsqu’il est poursuivi ou mis en cause du fait de son traitement

Ainsi, l’avocat-DPO ne pourra défendre, ou assister en tant que conseil le Responsable du traitement lorsque, par exemple, ce dernier voit sa responsabilité civile engagée du fait d’une violation de la protection des données personnelles, comme cela est désormais possible en application de l’article 82 du RGPD.

Tel sera le cas également le cas, en cas de poursuites pénales contre le Responsable du traitement du fait de la violation des règles en matière de protection des données, en application des article 226-16 à 226-24 du code pénal (détournement de finalités, non-respect des règles en matière de durées de conservation, collecte illégale de données personnelles sensibles, etc.).

Est-ce à dire également que l’avocat-DPO ne pourra pas assister son client-Responsable du traitement en dans le cadre d’une procédure de contrôle de la CNIL? En effet, l’article 6.3.3. du RIN se réfère également aux procédure administratives dans lesquelles serait mis en cause le Responsable du traitement.

Cela n’est pas certain: en effet, le fait d’assister le Responsable du traitement dans sa mise en conformité, quand bien même celle-ci serait motivée par un contrôle de la CNIL, entre pleinement dans le champ des missions confiées au DPO.

Une obligation de loyauté à son responsable du traitement

Le paragraphe 1 de l’article 6.3.3. précise quant à lui:

« L’avocat Délégué à la Protection des Données doit mettre un terme à sa mission s’il estime ne pas pouvoir l’exercer, après avoir préalablement informé et effectué les démarches nécessaires auprès de la personne responsable des traitements ; en aucun cas il ne peut dénoncer son client ».

De telles dispositions s’appliquent bien sûr aux conflits d’intérêts qui pourraient surgir entre l’avocat-DPO et son client. Dans ce sens, elles ne constituent, au fond, qu’un rappel des dispositions de l’article 4.1. paragraphe 2 du RIN.

Toutefois, elles s’appliquent également à la situation dans laquelle le Délégué à la protection des données constaterait, de la part du Responsable du traitement, des pratiques répréhensibles consistant en des violations caractérisées et délibérées des règles en matière de protection des données.

Dans un tel cas, toutefois, le texte précise de manière intéressante que l’avocat-DPO doit seulement démissionner, et ne doit pas dénoncer son Responsable du traitement.

Ainsi, l’obligation d’indépendance et d’impartialité auquel est tenu le délégué à la protection des données ne signifie pas que ce dernier ne doit pas pour autant être loyal à son Responsable du traitement.

L’exercice des missions de délégué à la protection des données doit-elle revêtir un caractère accessoire pour l’avocat?

Si le RIN peut préciser pour certaines activités, que celles-ci ne peuvent être exercées qu’à titre accessoires par l’avocat, tel que par exemple l’activité de mandataire d’artistes et d’auteurs (article 6.3.5. du RIN), il n’en va pas ainsi de l’activité de délégué à la protection des données.

D’ailleurs, l’activité de Délégué à la protection des donnée consiste intrinsèquement à délivrer des conseils juridiques. Ainsi, une grande part de cette activité aurait aussi bien pu être effectuée par l’avocat en tant qu’avocat, et non par l’avocat-DPO.

Enfin, l’on peut encore s’interroger sur l’opportunité de limiter une telle fonction à une part accessoire de l’activité d’avocat, au regard des nécessités de la défense de la profession. En effet, il est patent que l’activité de Délégué à la protection des données, et, plus généralement, le conseil juridique en matière de protection des données personnelles sont un terrain sur lequel la profession d’avocat doit affronter la — rude — concurrence d’autres professionnels, non-avocats, tels que les consultants RGPD, ou les cabinets de DPO, d’autant plus que ceux-ci sont vraisemblablement autorisé à délivrer des consultations juridiques dans le domaine de leur champ de compétence (article 59 et 60 de la loi loi n° 71-1130 du 31 décembre 1971).

Sur le même thème

 
Mis en avant
Le secret professionnel dans le règlement général sur la protection des données
Le secret professionnel dans le règlement général sur la protection des données

Article paru à la Revue française de droit administratif (RFDA), Dalloz, 2018, n°6 (novembre-décembre)

En savoir plus →
"RGPD : les avantages du recours à un délégué à la protection des données externalisé ? "
"RGPD : les avantages du recours à un délégué à la protection des données externalisé ? "

Article paru dans Le Journal du management juridique, n°67, novembre-décembre 2018, éditions du Village de la justice

En savoir plus →
RGPD et secret professionnel des avocats
RGPD et secret professionnel des avocats

Article paru à la Revue du droit de l’Union européenne (RDUE), Clément Juglar, 2018, n°1 (janvier-mars)

En savoir plus →
RGPD, avocatsAlexis DeroudilleRGPD, secret professionnel, avocats