Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?

Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).

Les sanctions encourrues par le représentant légal des personnes morales (sociétés), du fait de leurs propres faits ou des agissements de leurs sous-traitants, sont de deux ordres :

1) des sanctions administratives prononcées par la CNIL.

Le montant des sanctions encourues a été majoré par le RGPD :

jusqu’à 10M d’euros ou, si c’est un montant supérieur,à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…

jusqu’à 20M d’euros ou, si c’est un montant supérieur, à  4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…

2) des sanctions pénales (articles spécifiques du Code Pénal)

Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.

En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.

Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.

En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.

Deux conditions sont nécessaires pour une délégation valable :

– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;

– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.

Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.

Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.

Le DPO ne pourra pas recevoir de délégation pénale car son rôle ne va pas jusqu’à ce niveau de responsabilité stratégique. 

Le DSI pourra être délégataire quant à la conformité opérationnelle des systèmes ; exemple : le Directeur de la Relation Clientèle quant à l’effectivité de l’information des clients sur l’exercice de leurs droits.