[Brèves] RGPD : protection du délégué à la protection des données contre le licenciement

► Le droit de l’Union européenne ne s’oppose pas à ce qu’une réglementation nationale prévoie qu’un employeur ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.

Faits et procédure. Une salariée, ayant les fonctions de déléguée à la protection des données, a été licenciée au motif d’une mesure de restructuration de la société et d’une externalisation du service de protection des données. Elle saisit la juridiction nationale compétente d’une demande de contestation de la validité de son licenciement. Cette juridiction invalide le licenciement en application du droit du travail allemand qui prévoit l’unique possibilité de licencier un délégué de protection des données pour motif grave.

Elle relève, toutefois, que l’applicabilité des dispositions nationales dépend du point de savoir si le droit de l’Union, et, en particulier, l’article 38, paragraphe 3, deuxième phrase, du règlement n° 2016/679 du 27 avril 2016, dit « RGPD » N° Lexbase : L0189K8I, autorise une réglementation d’un État membre soumettant le licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union. 

Dans ces conditions, la CJUE a été saisie de plusieurs questions préjudicielles :

« 1)      l’article 38, paragraphe 3, deuxième phrase, du [RGPD] doit-il être interprété en ce sens qu’il s’oppose à des dispositions de droit national, telles que, en l’occurrence, les dispositions combinées de l’article 38, paragraphes 1 et 2, et de l’article 6, paragraphe 4, deuxième phrase, du Code du travail allemand, qui déclarent illégal le licenciement avec préavis du délégué à la protection des données par le responsable du traitement qui est son employeur, indépendamment du point de savoir si ce licenciement intervient en lien avec l’exercice des missions du délégué ?

2)      en cas de réponse affirmative à la première question : l’article 38, paragraphe 3, deuxième phrase, du RGPD s’oppose-t-il également à de telles dispositions du droit national lorsque la désignation du délégué à la protection des données est obligatoire non pas en vertu de l’article 37, paragraphe 1, du RGPD, mais uniquement en vertu du droit de l’État membre ?

3)      en cas de réponse affirmative à la première question : l’article 38, paragraphe 3, deuxième phrase, du RGPD repose-t-il sur une base juridique suffisante, notamment en ce qu’il vise des délégués à la protection des données qui sont liés au responsable du traitement par un contrat de travail ? ».

La solution. Énonçant la solution susvisée, la CJUE affirme que la protection du délégué à la protection des données contre le licenciement a ses limites. 

Outre le licenciement pour faute grave, un employeur peut licencier un délégué à la protection des données lorsque celui-ci ne possède plus les qualités professionnelles requises pour exercer ses missions ou qu’il ne s’acquitte plus de celles-ci conformément aux dispositions du RGPD.

© Reproduction interdite, sauf autorisation écrite préalable