Conflit d’intérêts : une préoccupation croissante pour les professionnels de la compliance

Plusieurs directeurs juridiques et compliance officers étaient invités le 4 octobre pour une journée de conférences organisée par l’IRC (Institut du Risk et de la Compliance), un think-tank qui regroupe des avocats, des juristes d’entreprises et des experts de la compliance. Au cœur du débat : la question du conflit d’intérêts. Quelle situation serait susceptible de constituer un conflit d’intérêts pour un DPO, un directeur juridique ou un compliance officer ? Comment s’en prémunir ?

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Pour Pascale Valerdi, directrice juridique et manager de transition au sein de la Direction Real Estate chez Hertz, le conflit d’intérêt se posera irrémédiablement si le directeur juridique, le compliance officer et le DPO reposent sur une seule et même personne ou bien s’il y a une combinaison qui s’opère entre ses fonctions. « Lorsque la fonction de DPO est combinée avec l’une des deux autres, on peut dire qu’il exerce sa fonction à temps partiel, ce qui est conforme à l’article 38 F du RGPD. Or, ce DPO ne peut occuper un autre poste qui le conduirait à déterminer les finalités et les moyens d'un traitement de données. En d'autres termes, il ne peut pas être "juge et partie". C’est dans cette mesure que le conflit d’intérêts peut se révéler ».

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

« Le conflit d’intérêts réside dans ces combinaisons qui sont très fréquentes dans les entreprises », estime la directrice juridique. Une situation à risque qui s’explique souvent selon Cécile Amado-Fischgrund, avocate chez Feugère Moizan Avocats, dans des structures de taille moyenne pour des raisons de contraintes budgétaires. « Une seule personne va se retrouver à porter plusieurs casquettes, en espérant qu’elle ait conscience des enjeux ». Pour Pascale Valerdi, la loi Sapin II, la loi française sur le devoir de vigilance et le RGPD restent des textes récents que les entreprises ont dû mettre en œuvre dans un timing serré. « C’est tout jeune », relativise-t-elle. « N’oublions pas le contexte compliqué par la pandémie et les difficultés de ressources qui a suivi leur entrée en application. Tout cela n’a pas simplifié la vie des entreprises. Cela ne fait donc en réalité pas si longtemps que les entreprises sont dessus. Le recul est nécessaire pour appréhender toutes les conséquences d’un texte ».

Mais les Autorités vont-elles faire preuve de clémence encore longtemps ? L’APD (Autorité de protection des données belge) a déjà donné une première réponse le 28 avril 2020, dans une affaire où le DPO était aussi responsable de la gestion de la conformité et des risques et de l’audit interne.

Or, a rappelé l’Autorité, le DPO doit se trouver dans une position suffisamment protégée du conflit d’intérêts selon l’article 38 paragraphe 6 du RGPD. Elle a donc condamné la société à une amende de 50 000 €, estimant qu’il s’agissait d'un conflit d'intérêts substantiel. « Le rôle de responsable d'un département n'est donc pas conciliable avec la fonction de délégué à la protection des données qui doit pouvoir exercer ses tâches en toute indépendance. Le cumul, du chef d'une même personne physique, de la fonction de responsable de chacun des trois départements en question distinctement d'une part et de la fonction de délégué à la protection des données d'autre part prive chacun de ces trois départements de toute possibilité de contrôle indépendant par le délégué à la protection des données ».

Alors comment se protéger ? Pour Cécile Amado-Fischgrund, le recours à un DPO externe permet d’« éviter cette situation de conflit d’intérêts tout en soulageant les entreprises ». Notamment celles qui, à l’origine, ne savaient pas qui nommer en tant que DPO, ou comment les former.

« Oui, un DPO externalisé, c’est une solution », approuve Pascale Valerdi. Mais « il faut faire attention. Ne pas faire appel à l’avocat de l’entreprise qui est chargé des dossiers de contentieux sur les données personnelles, sinon la situation révèlera un conflit d’intérêts ». Pour la directrice juridique, l’organisation doit être construite avec l’entreprise, en fonction de ses particularités. « C’est de la compliance by design. On doit être consulté quand il y a un projet significatif pour le groupe, tout en étant proche des équipes opérationnelles. Et avec pédagogie et fermeté, il faut arriver à faire prendre conscience des problématiques engendrées par la protection des données, la lutte contre la corruption. Aujourd’hui, la compliance n’est pas une option et cela représente par ailleurs un levier pour l’entreprise ».

« Avec pédagogie et fermeté, car on est dans la conduite du changement, il faut arriver à faire prendre conscience des problématiques engendrées par des sujets tels que la protection des données ou la lutte contre la corruption et ainsi irriguer les valeurs dans toutes les couches de l’entreprise. Par ailleurs, les juristes, compliance officers et DPO devraient également se former à la gestion de projet pour travailler efficacement de manière transversale avec les autres fonctions ». Cécile Amado-Fischgrund estime par ailleurs indispensable de prendre les décisions de manière collégiale. « On ne peut pas prendre de décision tout seul sur des sujets qui touchent les valeurs et les comportements. La collégialité, c’est essentiel et cela permet de s’éviter des errements ». « Les personnes qui sont DPO ou compliance officers ont une connaissance extrêmement fine du mode de fonctionnement de l’entreprise et elle est à mon sens insuffisamment exploitée au sein des organisations », ajoute l'avocate. 

Enfin, Pascale Valerdi préconise aux entreprises « de recenser les fonctions qui seraient incompatibles avec celle de DPO et d'établir des règles internes afin d’éviter les conflits d’intérêts. La décision Belge a mis en lumière un risque que les entreprises n’avaient sans doute pas envisagé, occupées à se mettre en conformité avec les textes ».