L’autorité de protection des données belge a prononcé une amende administrative de 50.000 euros contre Proximus SA, une entreprise belge de télécommunications, la première entreprise de télécommunications en Belgique, pour avoir insuffisamment vérifié que son délégué à la protection des données n’était pas en conflit d’intérêts.  

Selon l’autorité de protection des données, le responsable de la protection des données de la société n’était pas suffisamment impliqué dans le traitement des violations de données à caractère personnel. En effet, celui-ci disposait de nombreuses casquettes au sein de l’organisme, notamment celui de chef du département de conformité et d’audit. 

Selon l’article 38 du RGPD, il est possible que le délégué à la protection des données occupe d’autres fonctions que celles issues du règlement mais le responsable de traitement doit veiller à ce que les missions et les tâches qui lui sont confiés n’entrainent pas de conflit d’intérêts avec la mission de délégué à la protection des données. 

L’autorité rappelle que qu’il n’est pas possible pour le délégué de cumuler la fonction de délégué avec une autre fonction qui l’amène à déterminer les finalités et les moyens de traitements de données à caractère personnel : le délégué ne peut pas se confondre avec le responsable de traitement. 

Enfin, la société ne disposait pas d’un système permettant de prévenir un conflit d’intérêts du délégué, ce qui a conduit l’autorité de protection des données à conclure que le DPD de la société n’était pas en mesure de travailler de manière indépendante. 

Il semble qu’aujourd’hui, pour se prémunir contre les risques d’une sanction administrative (qui peut, rappelons-le, être particulièrement lourde : jusqu’à 20 millions d’euros), il devient nécessaire de bien mesurer les risques de conflit d’intérêts du délégué ou de privilégier une nomination externe à l’organisme.