LES ÉTAPES CLEFS POUR LA MISE EN CONFORMITÉ DES ORGANISATIONS 71 B. Le statut 1. L'indépendance du CPDCP ou DPD Le CPDCP ou DPD exerce ses missions d'une manière indépendante. En particulier, il ne reçoit pas d'instructions du responsable de traitement. Il doit être en mesure d'exercer ses missions avec un degré suffisant d'autonomie. Il ne peut être contraint par le responsable du traitement d'adopter un certain point de vue sur une question liée à la législation en matière de protection des données à caractère personnel, par exemple, une interprétation particulière du droit. Il fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. Le positionnement hiérarchique le plus naturel serait donc de le rattacher aux services qui reportent directement à la direction tel que le directeur général ou son adjoint ou encore le secrétaire général3. Si le responsable du traitement ou le sous-traitant prend des décisions qui sont incompatibles avec la législation et l'avis du CPDCP ou DPD, ce dernier devrait avoir la possibilité d'indiquer clairement son avis divergent au niveau le plus élevé de la direction et aux décideurs4. L'autonomie du CPDCP ou DPD ne signifie cependant pas qu'il dispose de pouvoirs de décision allant au-delà des missions qui lui incombent conformément à la législation. Il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant dans le cadre de l'exercice de ses missions. Cela renforce l'autonomie du CPDCP ou DPD. Dans certains pays, avant la révocation du CPDCP ou DPD, le responsable du traitement se doit d'informer préalablement l'autorité de contrôle. Ce qui pourrait conduire à faire du CPDCP ou DPD une sorte de « travailleur protégé sui generis » à l'image du délégué du personnel en droit du travail. 2. L'obligation de confidentialité du CPDCP ou DPD Le CPDCP ou DPD est tenu d'un devoir de confidentialité sur les informations recueillies à l'occasion de l'exercice de ses missions. 3. Voir modèle type d'organigramme avec positionnement hiérarchique du CPDCP ou DPD en annexe du présent ouvrage. 4. G29, Lignes directrices concernant les délégués à la protection des données (DPD) adoptées le 13 décembre 2016.