Basé sur l’article en anglais de Malcolm Dowden et Christian Brundell dans “Privacy World” UK Data Protection Reform: who would want to be a “Senior Responsible Individual »?
Le Projet de loi anglais « sur la protection des données personnelles et l’information numérique », visant à réformer avec « bon sens » le droit anglais issu du Règlement Général de la Protection des Données (« RGPD »), dont nous avons décrit les grandes lignes dans un précédent article, prévoit notamment de supprimer l’obligation de nommer un « délégué à la protection des données » (« DPD » ou « DPO » en anglais ).
En lieu et place, (i) les organismes du secteur public, et (ii) les organisations dont le traitement des données personnelles est susceptible d’entraîner un « risque élevé » pour les droits et libertés des individus auront l’obligation de nommer une personne physique « Haut Responsable » (« Senior Responsible Individual » ou « SRI »).
Présentée comme une mesure visant à réduire la charge et le coût de la mise en conformité, cette obligation pourrait cependant avoir l’effet inverse, tout en créant un risque personnel important pour quiconque exercerait le rôle de Haut Responsable.
Organisations concernées dans le secteur privé
Le fait que l’obligation de désignation ne s’applique qu’aux organisations privées effectuant des traitements à « risque élevé » semble, de prime abord, restreindre sa portée par rapport à celle du RGPD. Cependant, il est probable que dans les faits de nombreuses organisations seront concernées.
L’autorité de contrôle britannique (« ICO ») adopte en effet une conception très large de ce qui constitue un traitement à « risque élevé », sachant qu’elle y inclut notamment l’utilisation de technologies innovantes, le profilage à grande échelle, le suivi/traçage des personnes et l’utilisation de données biométriques. Tout recours à l’intelligence artificielle (IA) ou à l’apprentissage automatique dans la prise de décisions ayant un effet juridique pour un individu ou l’affectant de façon similaire, tomberait dans le champ d’application. Toute mesure de publicité ciblée ou comportementale serait également concernée.
La taille de l’entreprise importe peu. Il s’agit de prendre en compte les risques qui découlent du traitement des données personnelles. Par conséquent, toute entreprise, de la start-up à la multinationale, pourrait être obligée de nommer un Haut Responsable pour le Royaume-Uni.
Cadre supérieur ou conseil indépendant ?
La proposition de rationalisation de cette fonction, telle qu’envisagée par le gouvernement britannique, ne présente véritablement d’intérêt que pour les organisations qui opèrent exclusivement au Royaume-Uni et dont les traitements de données personnelles ne sont soumis qu’à la loi britannique sur la protection des données. Une organisation traitant des données personnelles soumise au RGPD devra, comme par le passé, aussi envisager de nommer un DPO.
Or, un DPO ne peut occuper de fonctions, au sein de l’organisme, qui entraînent un conflit d’intérêts ou qui le conduisent à déterminer les finalités et les moyens d’un traitement des données, ce qui exclut les fonctions d’encadrement supérieur. Alors qu’un Haut Responsable doit être un cadre supérieur, à savoir une personne jouant « un rôle important dans la prise de décisions sur la manière dont l’ensemble ou une partie substantielle de ses activités doivent être gérées ou organisées ». Il est donc très peu probable que la même personne puisse remplir à la fois le rôle de DPO et celui de Haut Responsable.
La nécessité de nommer un Haut Responsable aux fins de la loi britannique et un DPO aux fins du RGPD augmenterait inévitablement les coûts et pourrait générer des situations potentiellement insolubles si ces personnes se trouvent en désaccord sur des questions de conformité ayant un impact sur l’ensemble de l’organisation.
Pour éviter toute confusion, il est à noter incidemment que bien que cadre supérieur, lorsque l’exécution de l’une de ses tâches entraînerait un conflit d’intérêts, le Haut Responsable doit veiller à ce que celle-ci soit exécutée par une autre personne.
Un défi pour les groupes ?
Le Projet de loi anglais exige que le Haut Responsable soit un cadre supérieur de l’organisme en question.
Dans un groupe, chaque société constituerait une organisation distincte, agissant selon le cas comme responsable du traitement ou sous-traitant.
Par conséquent, il peut s’avérer difficile voire impossible de nommer une seule et même personne comme Haut Responsable pour l’ensemble d’un groupe, à moins que la personne en question soit membre de la direction générale de chacune des sociétés. L’individu devra donc être employé par et/ou disposer d’un mandat social de chaque société du groupe. Cette position diffère sensiblement de la situation du DPO qui peut être mutualisé au sein d’un groupe.
Les groupes britanniques (et les Haut Responsable potentiels) devraient évaluer s’il est plus couteux et compliqué de nommer autant de Hauts Responsables que de sociétés du groupe, ou que la même personne agisse comme cadre supérieur (employé ou mandataire social) de toutes les sociétés du groupe afin qu’elle puisse aussi agir comme Haut Responsable pour l’ensemble d’entre elles. Dans le second cas, il faudra mettre en place un partage du temps entre les différentes sociétés, et cette organisation pourrait s’avérer plus compliquée et couteuse que la désignation d’un DPO mutualisé.
Une nouvelle obligation ou un problème de rédaction ?
Le Projet de loi anglais énumère les tâches du Haut Responsable et inclut ce qui apparaît comme une nouvelle obligation extrêmement lourde.
En vertu du RGPD, tant les responsables du traitement que les sous-traitants peuvent être tenus de désigner un DPO. Il en va de même pour la désignation du Haut Responsable dans le Projet de loi anglais. Ce dernier prévoit des missions plus limitées pour le Haut Responsable désigné par un sous-traitant que par un responsable du traitement. Jusqu’ici, rien de surprenant.
Le RGPD prévoit ensuite que les missions du DPO incluent une mission « d’informer et de conseiller le responsable du traitement ou [selon le cas][1] le sous-traitant et les employés qui effectuent le traitement sur leurs obligations […] en matière de protection des données ». En pratique, cela signifie qu’un DPO nommé par le responsable du traitement a une obligation envers ledit responsable du traitement, tandis qu’un DPO nommé par le sous-traitant a une obligation envers ledit sous-traitant.
Le Projet de loi anglais adopte une approche différente. Il stipule que lorsqu’un Haut Responsable est nommé par un responsable du traitement, ses tâches consistent à « informer et conseiller » « de leurs obligations en vertu de la législation sur la protection des données », non seulement « le responsable du traitement […] et les employés du responsable du traitement qui effectuent le traitement de données personnelles » mais aussi « tout sous-traitant engagé par le responsable du traitement ».
Le Haut Responsable d’un responsable du traitement semble par conséquent expressément chargé non seulement d’informer tout sous-traitant de ses obligations au titre de la législation sur la protection des données, mais également de le conseiller. Lorsqu’une loi prend la peine d’utiliser des termes différents, c’est qu’ils sont censés avoir une signification différente. Par conséquent, « conseiller » signifie nécessairement autre chose qu’« informer ». Si le Haut Responsable d’un responsable du traitement a pour tâche de « conseiller » tout sous-traitant, il y a un risque que le Haut Responsable puisse engager sa responsabilité personnelle envers tout tiers sous-traitant quant à la façon dont il exécutera son obligation de conseil.
Indépendamment du risque de responsabilité, il semble absurde d’exiger que le Haut Responsable d’un responsable du traitement ait à informer et conseiller tout sous-traitant. Le responsable du traitement peut être une PME britannique ou une entreprise dont l’activité n’est pas centrée sur les données personnelles ou leur protection. Alors que le sous-traitant, lui, pourrait bien être une grande entreprise internationale commercialisant, par exemple, des services cloud. Compte tenu de la sophistication, des ressources et de la force de négociation de ce type de prestataires, les conseils qu’ils recevraient du Haut Responsable d’un responsable du traitement britannique pourront leurs sembler inutiles, voire dérisoires.
Il reste à espérer que cette disposition qui rend le rôle de Haut Responsable particulièrement peu attractif sera supprimée dans le processus législatif.
Cette perspective britannique sur la désignation et les missions du Haut Responsable est particulièrement intéressante dans le contexte du travail d’analyse coordonné entrepris par l’EDPB sur le DPO, voir notre article Actions prioritaires du Cadre d’Application Coordonné de l’EDPB : après le Cloud, le Délégué à la Protection des Données (DPO).
[1] Texte ajouté