AVIS
DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES
no. d’enregistrement RD-01-102/2023
Sofia, le 28 juin 2023
CONCERNANT : Postes directement subordonnés aux autorités du pouvoir exécutif : « délégué à la protection des données » et « agent chargé de l’examen des signalements » au titre de la Loi sur la protection des personnes signalant ou divulguant publiquement des violations (LPPSDPV)
La Commission de protection des données personnelles (CPDP), composée du président Ventsislav Karadjov et des membres Tsanko Tsolov, Mariya Mateva et Veselin Tselkov, a examiné dans les conditions de l’art. 12 du Règlement de fonctionnement de la CPDP et de son administration le courrier no. de réf. RD-01-102/15.06.2023, envoyé par le secrétaire général du Conseil des ministres de la République de Bulgarie. Le courrier indique que l’Administration du Conseil des ministres (ACM) est directement engagée avec la coordination et le suivi de la mise en place d’une structure de l’administration publique conforme à la loi et efficace. Le Conseil des ministres estime que la création d’une structure et de processus présentant un degré maximal d’uniformisation des administrations est une condition préalable fondamentale pour parvenir à leur efficacité. Conformément au cadre juridique en vigueur, les entités administratives sont structurées aux termes de la Loi sur l’administration (LAdm) et des lois spéciales concernées. De telles lois sont par exemple la Loi sur la protection des données personnelles (LPDP) et la Loi sur la protection des personnes signalant ou divulguant publiquement des violations (LPPSDPV), qui créent respectivement les rôles de « délégué à la protection des données personnelles » et d’« agent chargé de l’examen des signalements ».
Le Conseil des ministres envisage la préparation d’instructions ultérieures aux autorités du pouvoir exécutif visant à structurer de manière conforme à la loi, pertinente et potentiellement uniformisée les administrations qui relèvent de son autorité. Dans cette perspective, un avis est demandé à la CPDP sur les sujets suivants :
1. Sur l’opinion exprimée dans la demande de l’ACM quant au positionnement interne du « délégué à la protection des données personnelles » (DPD) ; et
2. Quels sont les unités ou les postes auxquels on peut imputer les fonctions d’« agent chargé de l’examen des signalements au titre de la LPPSDPV », compte tenu du fait que dans une partie des administrations, des inspections ont été créées au titre de la LAdm, tandis que dans les autres, la création de telles unités n’est pas prévue par la loi.
Sur le point 1, l’ACM considère que le poste de « délégué à la protection des données personnelles » ne doit pas être directement subordonné au chef de l’administration, hors de l’administration générale ou spécialisée. Le Conseil des ministres indique que les fonctions du délégué doivent être confiées à un agent faisant partie d’une direction de l’administration générale ou spécialisée, et que ses fonctions ne doivent pas être spécifiquement décrites dans le règlement d’organisation. Des motifs sont également présentés :
L’ACM précise que conformément à l’art. 5, alinéa 1 de la LAdm, l’administration peut être générale ou spécialisée, en fonction de la répartition des activités qu’elle exerce en soutien de l’autorité publique. Pour qu’un poste ou une unité soit créé(-e) hors de l’administration générale ou spécialisée, il est nécessaire qu’une telle possibilité soit prévue par la loi.
Selon la position exprimée par l’ACM, la LPDP n’exige pas la création d’un poste de « délégué à la protection des données personnelles » directement subordonné à l’autorité concernée, hors de l’administration générale ou spécialisée. Conformément à l’art. 69 de la LPDP, « le responsable du traitement des données personnelles désigne un délégué à la protection des données sur la base de ses qualités professionnelles et, notamment, de ses connaissances d’expert du droit et des pratiques en matière de protection des données personnelles, et de sa capacité à exercer les missions visées à l’art. 70. Le délégué à la protection des données peut être désigné conjointement par plusieurs responsables du traitement, compte tenu de leur structure organisationnelle et de leur ampleur ». Il ressort clairement de cette disposition que :
– Il n’est pas obligatoire que le délégué à la protection des données fasse partie du personnel du responsable du traitement. Le délégué peut faire partie du personnel, mais il peut également être une personne externe qui exécute ses obligations sur la base d’un contrat. Par conséquent, les responsables du traitement ne sont pas tenus de recruter spécifiquement un tel agent, mais ont l’obligation de désigner une personne pour exercer les fonctions de délégué à la protection des données.
– Rien n’empêche que l’agent désigné par le responsable du traitement comme délégué à la protection des données exerce aussi d’autres fonctions au sein de l’organisation. Les conditions dans lesquelles un délégué à la protection des données est désigné ou recruté sont entièrement à la discrétion du responsable du traitement des données personnelles.
L’ACM considère que puisque rien n’exige que la personne désignée pour exercer les fonctions de « délégué à la protection des données personnelles » soit positionnée hors de l’administration générale ou spécialisée, la solution la plus efficace et en même temps la plus conforme à la loi serait que les fonctions d’un tel délégué soient confiées à un agent des directions existantes de l’administration générale ou spécialisée.
Sur le point 2, l’ACM estime que l’« agent chargé de l’examen des signalements au titre de la LPPSDPV » ne doit pas occuper un poste directement subordonné au chef de l’administration, positionné hors de l’administration générale ou spécialisée. Selon les arguments avancés, les fonctions de cet agent doivent être confiées à un agent relevant d’une unité interne existante, sans qu’il y ait besoin que ces fonctions soient spécifiquement décrites dans le règlement d’organisation. L’ACM considère comme opportun, en ce qui concerne les administrations au sein desquelles des inspections ont été créées, de confier les fonctions d’examen des signalements à des agents de l’inspection, et dans le reste des cas, à un agent relevant d’une direction de l’administration générale ou spécialisée. Le courrier précise également que l’organisation de l’examen des signalements doit être définie dans la section « Organisation du travail » des règlements d’organisation.
Analyse juridique :
Le rôle de délégué à la protection des données est régi par le Règlement (UE) 2016/679 (Règlement général sur la protection des données, RGPD). Les dispositions citées dans la demande (art. 69 et art. 70 de la LPDP) concernent la désignation d’un délégué à la protection des données au sein des structures des autorités compétentes au sens de la Directive (UE) 2016/6801 (dite Directive de police).
En vertu de l’art. 37, paragraphe 1 du Règlement (UE) 2016/679, la désignation d’un délégué à la protection des données est obligatoirement requise dans trois cas de figure spécifiques :
а) lorsque le traitement est effectué par une autorité publique ou un organisme public ;
b) lorsque les activités essentielles du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
c) lorsque les activités essentielles du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle des catégories spéciales de données ou de données à caractère personnel relatives à des condamnations et infractions.
La désignation d’un délégué à la protection des données est également obligatoire pour les autorités compétentes visées à l’art. 32 de la Directive (UE) 2016/680 (respectivement les art. 69 et 70 de la LPDP). Les Lignes directrices concernant les délégués à la protection des données du Comité européen de la protection des données (adoptées le 13 décembre 2016 et dernièrement révisées et adoptées le 5 avril 2017) vont dans le même sens. Bien que ces lignes directrices concernent les délégués à la protection des données relevant du Règlement (UE) 2016/679, par analogie, elles sont également applicables aux délégués à la protection des données relevant de la Directive (UE) 2016/680. Cette distinction ne vient que du fait que les fonctions des délégués à la protection des données au sein des structures et au regard des objectifs des autorités compétentes au sens de la Directive (UE) 2016/680, respectivement du Chapitre 8 de la LPDP, ne peuvent être exercées par des personnes extérieures à l’autorité compétente. La seule exception en est la possibilité pour le délégué à la protection des données d’être désigné conjointement par plusieurs autorités compétentes, compte tenu de leur structure organisationnelle et de leur taille. (argument tiré de art. 32, paragraphe 3 de la Directive (UE) 2016/680 et respectivement de l’art. 69, alinéa 2 de la LPDP).
Conformément à l’art. 37, paragraphe 6 du Règlement (UE) 2016/679, le délégué à la protection des données peut :
• être membre du personnel (en interne), y compris mais pas uniquement :
– occuper un poste distinct de « délégué à la protection des données », à temps plein ;
– travailler à temps partiel pour plusieurs autorités administratives ;
– cumuler des fonctions, dans le respect des restrictions prévues par la Loi sur la fonction publique ou le Code du travail ;
– être chargé sur ordre de fonctions au sein de la structure administrative, etc.
• exercer ses missions sur la base d’un contrat de services conclu avec le responsable du traitement ou le sous-traitant (en externe), sauf lorsqu’il s’agit d’un délégué désigné au sein d’une autorité compétente au sens de la Directive (UE) 2016/680.
C’est dans cet esprit que sont également formulées les instructions de la CPDP concernant le respect de l’obligation des responsables du traitement et des sous-traitants de notifier à la CPDP la désignation d’un délégué à la protection des données. Elles sont publiées sur le site officiel de la Commission, dans la section « Délégués à la protection des données » (https://www.cpdp.bg/fr/index.php?p=pages&aid=55).
Un élément essentiel du statut du délégué à la protection des données est son indépendance. Conformément à l’art. 38, paragraphe 3 du Règlement (UE) 2016/679, le responsable du traitement et le sous-traitant sont tenus de garantir que le DPD2 ne reçoit « aucune instruction en ce qui concerne l’exercice des missions » et qu’il « fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ». Les règles du considérant (97) et de l’art. 38, paragraphe 6 du Règlement (UE) 2016/679 décrivent les traits distinctifs du poste du DPD : qu’il « exécute ses missions et tâches de manière indépendante » et que ses fonctions « n’entraînent pas de conflit d’intérêts », que le DPD soit ou non membre du personnel du responsable du traitement ou du sous-traitant, qu’il cumule sa fonction avec une autre ou qu’il exécute des missions dans le cadre d’un contrat de services. Les précisions apportées exigent que le DPD soit une personne différente du responsable du traitement ou du sous-traitant, ainsi que des personnes qui déterminent les objectifs et les moyens de traitement des données personnelles auprès du responsable du traitement ou du sous-traitant concerné (telles que le chef de l’autorité administrative, le directeur général/directeur exécutif, le directeur chargé des opérations, le directeur financier, le directeur médical, le responsable du service commercial, le responsable des ressources humaines ou le responsable du service informatique, mais aussi d’autres responsables situés plus bas dans la structure organisationnelle si les postes ou les fonctions en question sont liées à la détermination des objectifs et des moyens de traitement des données). Il est tout aussi important que le DPD soit protégé contre tout licenciement abusif ou résiliation de son contrat de services lorsqu’il exerce de bonne foi les missions et les tâches prévues par le Règlement (UE) 2016/679. Cette mesure garantit l’indépendance du DPD.
Quelle que soit la manière dont a été désigné le DPD (poste interne ou externe vis-à-vis de l’autorité administrative), le responsable du traitement doit veiller à son indépendance fonctionnelle en ce qui concerne les fonctions qui lui sont assignées à ce titre. Lors de l’exercice des fonctions de DPD, l’agent « ne reçoit aucune instruction en ce qui concerne l’exercice des missions » et « fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant », c’est-à-dire en cette qualité, il ne peut être subordonné à d’autres chefs administratifs qu’à la haute direction de l’autorité administrative.
Il n’existe pas d’obligation légale de réglementer la fonction du DPD dans le règlement d’organisation de l’autorité administrative, puisqu’elle est régie par le Règlement (UE) 2016/679 (art. 37 à 39). La fonction du DPD doit être sortie hors de la structure de l’administration générale ou spécialisée de l’organisme administratif et être directement subordonnée à la plus haute direction, ce qui veut dire qu’il ne s’agit pas d’une structure nouvelle, mais seulement d’une séparation fonctionnelle. Par exemple. une personne nommée à un poste d’expert dans l’administration générale ou spécialisée de l’autorité administrative et désignée sur ordre pour exercer les fonctions de DPD fait rapport respectivement devant :
• son supérieur direct au sein de l’unité structurelle de l’administration où elle est en poste : pour les fonctions de son poste d’expert, et
• directement à la plus haute direction : pour ses fonctions de DPD.
Comme il est indiqué à juste titre dans la demande, pour positionner un poste ou une unité hors de l’administration générale ou spécialisée, il est nécessaire que cette possibilité soit réglementée par la loi. En l’occurrence, c’est le Règlement (UE) 2016/679. Il est particulièrement important, lorsque la personne désignée pour exercer les fonctions de DPD occupe un tel poste distinct, que ce poste soit sorti hors de la structure de l’administration générale ou spécialisée. Dans les autres hypothèses d’exercice de cette fonction (cumul, assignée sur ordre, à temps partiel, auprès de plusieurs responsables du traitement, etc.), elle n’est séparée que fonctionnellement.
Il faut rappeler que par courrier no. d’enregistrement APO-20-13/17.10.2017 adressé au ministre du Travail et de la Politique sociale, la CPDP a émis un avis contenant les mêmes motifs en ce qui concerne l’inscription du poste de DPD dans la Classification nationale des professions et des fonctions.
Sur le point 2 de la demande, concernant « l’agent chargé de l’examen des signalements au titre de la LPPSDPV », il faut tenir compte de ce qui suit :
Conformément à l’art. 14, alinéa 2 de la LPPSDPV, les agents chargés de l’examen des signalements peuvent être des agents relevant de la structure de chacune des entités assujetties au sens de l’art. 12, alinéa 1, chargés du traitement et de la protection des données personnelles. La décision est à la discrétion de l’employeur qui est entité assujettie au regard de la loi. Les entités assujetties au titre de la LPPSDPV, qui n’ont pas d’obligation au titre de l’art. 37 du Règlement (UE) 2016/679 régissant la désignation d’une personne chargée du traitement et de la protection des données personnelles, désignent un autre agent chargé de l’examen des signalements. En ce sens, il n’y a aucun obstacle à ce que la fonction d’agent chargé de l’examen des signalements au titre de la LPPSDPV soit attribuée à un inspecteur(-s) ou à un autre agent des inspections au titre de la ZAdm. Il n’y a non plus aucun obstacle juridique à confier ces fonctions à une autre personne de l’administration, à condition de veiller à ce que son indépendance soit garantie lors de l’examen des signalements et qu’elle ne soit pas en conflit d’intérêts dans une telle hypothèse.
Indépendamment de la subordination hiérarchique administrative entre les structures et leurs divisions ou unités au sein de l’administration (par exemple ministère et agence exécutive; municipalité et entreprises municipales ou jardins d’enfants, etc.), la qualité qui est déterminante pour la naissance de l’obligation de mettre en place et d’entretenir un canal interne au titre de la LPPSDPV, est celle d’« employeur autonome » – au sens du §1, point 2 des Dispositions complémentaires de la LPPSDPV – de la structure, de la division ou de l’unité concernée, ainsi que le nombre des effectifs, et non la subordination hiérarchique de l’organisation, sa forme d’organisation juridique ou la façon dont est désigné/nommé et relevé son chef.
Il faut garder à l’esprit que per argumentum a contrario de l’art. 14, alinéa 5 de la LPPSDPV, il n’est pas permis que des entités assujetties au titre de l’art 12, alinéa 1, point 1 (c’est-à-dire des employeurs du secteur public) de cette loi confient les fonctions de réception, d’enregistrement et d’examen des signalements au titre de la LPPSDPV à des personnes physiques ou morales en dehors de leur structure. Par conséquent, si l’autorité administrative utilise les services d’un DPD externe, ce dernier ne peut exercer les fonctions d’agent chargé de l’examen des signalements au titre de la LPPSDPV.
Les entités assujetties au titre de la LPPSDPV doivent élaborer et adopter leurs propres règles et procédures pour la réception, l’enregistrement et l’examen des signalements oraux ou écrits au sens de la cette loi.
Sur ces motifs et en vertu de l’art. 58, paragraphe 3, lettre « b » du Règlement (UE) 2016/679 en lien avec l’art. 10а, alinéa 1 de la Loi sur la protection des données personnelles et de l’art. 51, point 2 du règlement de fonctionnement de la CPDP et de son administration, ainsi que du §7 des dispositions finales de la LPPSDPV et de l’art. 25а, alinéa 1, point 10 du règlement de fonctionnement de la CPDP et de son administration, la Commission de protection des données personnelles rend cet :
AVIS
1. Lors de la désignation obligatoire d’un délégué à la protection des données (DPD) par un responsable du traitement/sous-traitant qui est une autorité publique, ce dernier est tenu d’assurer et de veiller à l’indépendance et à l’absence de conflit d’intérêts de ce délégué, quel que soit son positionnement structurel au sein de l’administration de cette autorité. Afin que cette exigence soit remplie, le rôle du délégué doit être fonctionnellement séparée et placée hors de la structure de l’administration générale ou spécialisée et être directement subordonnée à la plus haute direction de cette autorité publique.
2. Conformément à l’art. 14, alinéa 2 de la LPPSDPV, les délégués à la protection des données au sein de la structure de chacune des entités assujetties au sens de l’art. 12, alinéa 1 de cette loi, peuvent être des agents chargés de l’examen des signalements. Rien n’empêche que la fonction d’agent chargé de l’examen des signalements au titre de la LPPSDPV soit confiée à un inspecteur(-s) ou à un autre agent(-s) des inspections au titre de la ZAdm. Il n’y a non plus aucun obstacle juridique à confier ces fonctions à une autre personne de l’administration, pour autant que son indépendance soit garantie lors de l’examen des signalements et qu’il ne soit pas en conflit d’intérêts dans cette hypothèse.
Le choix des personnes ou unités les plus appropriées au sein de l’entité assujettie du secteur public au titre de la LPPSDPV, qui peuvent être désignées comme compétentes pour examiner les signalements et y donner suite, dépend de la structure de l’entité, mais en tout état de cause, leurs fonctions doivent être susceptibles de garantir l’indépendance et l’absence de conflit d’intérêts. En ce sens, leur activité doit être fonctionnellement séparée et ne pas être concernée par la subordination hiérarchique existante au sein de l’administration générale ou spécialisée de l’autorité concernée.
____________
1 La Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des violations pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil a été transposée dans la législation nationale par le Chapitre 8 de la LPDP (art. 42 à 83), ainsi que par des dispositions de la Loi sur le ministère de l’Intérieur.
2 DPD :délégué à la protection des données
| PRESIDENT: | MEMBRES: | |
| Ventsislav Karadzhov /sgn./ |
Tsanko Tsolov /sgn./ | |
| Mariya Mateva /sgn./ | ||
| Veselin Tselkov /sgn./ |
