La lettre juridique n°919 du 6 octobre 2022 : Droit social européen

[Jurisprudence] Le délégué à la protection des données n’est pas un salarié protégé, mais est soumis à une protection spécifique dans la rupture de son contrat de travail

Réf. : CJUE, 22 juin 2022, aff. C-534/20 N° Lexbase : A168278S

Lecture: 16 min

N2814BZA

Citer l'article

Créer un lien vers ce contenu

[Jurisprudence] Le délégué à la protection des données n’est pas un salarié protégé, mais est soumis à une protection spécifique dans la rupture de son contrat de travail. Lire en ligne : https://www.lexbase.fr/article-juridique/88677783-jurisprudence-le-delegue-a-la-protection-des-donnees-nest-pas-un-salarie-protege-mais-est-soumis-a-u
Copier

par Jérôme Giusti, Avocat associé, Géraldine Salord, Avocate associée et Docteur en droit privé et Alexandre Philipponneau, Avocat, Cabinet Metalaw

le 05 Octobre 2022

Mots clés : délégué à la protection des données • DPO • RGPD • rupture des relations de travail • licenciement • faute grave • CJUE

Par application de l’article 38, § 3 du RGPD, il n’est pas possible de sanctionner ou licencier un délégué à la protection des données dans l’exercice de ses missions. N’étant toutefois pas un salarié protégé, ce dernier dispose ainsi d’une protection spécifique contre le licenciement sauf à commettre une faute dans l’exécution de ses fonctions, au sens du droit du travail, par exemple, une incapacité professionnelle, une violation de son indépendance ou violation du secret des affaires. En droit français, cette faute n’a pas à être caractérisée par une quelconque gravité.


Un arrêt récent de la Cour de justice de l’Union européenne nous offre l’opportunité de nous pencher sur la protection du délégué à la protection des données à l’occasion de la rupture de son contrat de travail, laquelle fait l’objet d’une disposition particulière dans le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la circulation de ces données, dit « RGPD » N° Lexbase : L0189K8I. L’article 38, § 3 du RGPD dispose en effet que « […] le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

Faits et question préjudicielle. Le litige ayant donné lieu à la décision commentée opposait une salariée, qui occupait les doubles fonctions de cheffe du service des affaires juridiques et de déléguée à la protection des données (DPO), à son ancien employeur, la société allemande Leistritz AG.

Durant l’été 2018, la salariée a été licenciée, avec préavis, en raison de la décision de son employeur d’externaliser la fonction de conseil juridique et de délégué à la protection des données au bénéfice d’un prestataire tiers. Or, et en application du droit interne allemand, la salariée, DPO de la société Leistritz AG, ne pouvait être licenciée que pour faute grave [1]. En application de cette disposition de droit interne, les juges du fond ont donné raison à la salariée en ce que la mesure de restructuration alléguée ne constituait pas une faute grave et ont jugé, par voie de conséquence, le licenciement illégal.

La Cour fédérale du travail d’Allemagne, saisi d’un recours en révision, fit observer que l’illégalité du licenciement, en application des dispositions de droit interne, dépendait du point de savoir si le droit de l’Union et en particulier, l’article 38, § 3 du RGPD, autorisait la législation d’un État membre à subordonner le licenciement d’un DPO à des conditions plus strictes que celles prévues par le droit de l’Union ; autrement dit, si le DPO pouvait n’être licencié que pour un motif grave.

C’est dans ces circonstances que la CJUE a été saisie d’une question préjudicielle par le Bundesarbeitsgericht [2].

Décision de la CJUE. En synthèse, la CJUE précise que l’interprétation de l’article 38, § 3 du RGPD doit se faire à la lumière des termes de cette disposition, mais aussi en prenant en compte son contexte et les objectifs poursuivis par la réglementation dont il fait partie. Au demeurant, la Cour relève que chaque État membre est libre de prévoir des dispositions particulières plus protectrices en matière de licenciement du délégué à la protection des données, pour autant que ces dispositions soient compatibles avec le droit de l’Union européenne. Ainsi, une protection accrue ne doit pas compromettre la réalisation des objectifs du RGPD, ce qui, selon la Cour, serait le cas si une telle réglementation « empêchait tout licenciement, par un responsable du traitement ou par un sous-traitant, d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD » [3]. En conclusion, la Cour considère qu’une réglementation nationale prévoyant le licenciement pour des motifs graves d’un délégué à la protection des données n’est pas contraire au droit de l’UE, sous réserve qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.

Les enseignements de l’arrêt de la CJUE

Qu’est-ce qui justifie une protection exceptionnelle contre la rupture des relations de travail au profit du DPO ?

Le RGPD se fixe deux objectifs principaux à savoir, d’une part, assurer un niveau cohérent et élevé de protection des personnes physiques à l’égard des traitements de leurs données à caractère personnel et d’autre part, lever les obstacles à la libre circulation des données à caractère personnel au sein du marché intérieur de l’UE [4].

Afin de remplir ces objectifs, il est nécessaire que les dispositions du RGPD soient appliquées uniformément dans l’UE, c’est-à-dire qu’il existe, au sein de cet espace géographique, un même niveau de droits opposables, d’obligations et de responsabilités pour les responsables de traitement et sous-traitants, des sanctions équivalentes et une coopération efficace entre les autorités de contrôle des différents États membres [5].

Le DPO est l’expert du responsable de traitement ou du sous-traitant en matière de droit des données personnelles. En effet, il est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données [6].

Le DPO a notamment pour mission de prodiguer des conseils personnels sur le traitement des données et de contrôler le respect des règles de protection des données [7] au sein de l'entreprise responsable de traitement ou du sous-traitant qui l’emploie. Il veille à la bonne application du RGPD au sein de l’entreprise. Il est la personne qui est en contact avec la Commission nationale de l’informatique et des libertés (CNIL), en France, en cas de contrôle.

Ce délégué est donc considéré comme un rouage essentiel de la bonne application du RGPD au sein des entreprises responsables de traitement ou sous-traitantes.

C’est pour ces raisons que le délégué à la protection des données doit pouvoir exercer ses fonctions et missions en toute indépendance [8], sans subir de pression de la part de son employeur ou de son donneur d’ordre.

Quelle protection pour le DPO ?

Au préalable, rappelons qu’en droit français, le DPO n’est pas un salarié protégé au sens des articles L. 2411-1 N° Lexbase : L8528LGX et suivants du Code du travail [9], si bien qu’il n’est pas nécessaire d’obtenir l’autorisation de l’Inspection du travail pour procéder à son licenciement.

Néanmoins, le DPO bénéficie d’une large protection dans l’exercice de ses missions. En effet, le RGPD est un règlement, soit un acte juridique de portée générale, obligatoire dans tous ses éléments et directement applicable dans l’ordre juridique des États membres à compter de son entrée en vigueur. Cela a notamment pour conséquence de permettre d’invoquer directement les dispositions qu’il contient devant les juridictions nationales.

Concernant plus spécifiquement les garanties matérielles instaurées par le RGPD pour protéger la fonction et l’indépendance du DPO au sein de l’entreprise/institution publique, l’on relèvera que celui-ci :

  • doit être associé, de manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel [10] ;
  • doit bénéficier des ressources nécessaires pour exercer ses missions, avoir accès aux données à caractère personnel du responsable de traitement et aux opérations de traitements et bénéficier de formations régulières afin d’entretenir ses connaissances [11] ;
  • ne doit recevoir aucune instruction relative à l’exercice de ses missions et doit directement être en rapport avec le niveau le plus élevé de direction du responsable de traitement ou du sous-traitant [12] ;
  • est soumis au secret professionnel et à une obligation de confidentialité [13] ;
  • n’est pas personnellement responsable en cas de non-respect du RGPD chez le responsable de traitement ou le sous-traitant qu’il conseille. En effet, le respect de la protection des données relève de la responsabilité du responsable de traitement ou du sous-traitant.

Mais surtout, le DPO ne peut être « relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions » [14].

En premier lieu, la CJUE relève que cette disposition protectrice s’applique indistinctement tant au DPO qui est lié au responsable de traitement ou au sous-traitant par un contrat de travail qu’à celui qui exerce ses missions sur la base d’un contrat de prestation de service conclu avec ces derniers [15]

En deuxième lieu, la protection accordée par l’article 38, § 3 du RGPD au DPO s’applique à la fois aux cas de rupture des relations de travail, mais également à toute mesure qui lui serait défavorable. Ainsi, le comité européen de la protection des données [16] (CDPE) précise à ce sujet que : « les sanctions peuvent prendre des formes diverses et peuvent être directes ou indirectes. Il peut s’agir, par exemple, d’absence de promotion ou de retard dans la promotion, de freins à l’avancement de carrière ou d’un refus de l’octroi d’avantages dont bénéficient d’autres travailleurs. Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le DPO pour des motifs liés à ses activités de DPO » [17].

En troisième lieu, le champ d’application de cette protection s’étend à toutes les sanctions prises pour un motif tiré de l’exercice des missions du DPO, ces missions étant déterminées à l’article 39, § 1 du RGPD [18].

Ainsi, les lignes directrices de la CEPD proposent un exemple de motif tiré de l’exercice des missions du DPO : « par exemple, si un DPD [DPO] considère qu’un traitement particulier est susceptible d’engendrer un risque élevé et conseille au responsable du traitement ou au sous-traitant de procéder à une analyse d’impact relative à la protection des données, mais que le responsable du traitement ou le sous-traitant n’est pas d’accord avec l’évaluation du DPD [DPO], ce dernier ne peut être relevé de ses fonctions pour avoir formulé cet avis » [19].

Il ressort de ce qui précède que le délégué peut être a contrario sanctionné pour des raisons relevant de la législation du travail, ou du contrat de prestation de services, comme le relève d’ailleurs l’EDPB (= CDPE en français) : « dans le cadre d’une gestion normale, et comme c’est le cas, pour tout autre employé ou sous-traitant conformément au droit des contrats ou au droit du travail […] un DPD [DPO] pourra toujours être licencié légitimement pour des motifs autres que l’exercice de ses missions (par exemple, en cas de vol, de harcèlement moral ou sexuel ou d’autres fautes graves similaires) » [20].

C’est d’ailleurs ce que rappelle également la CJUE dans l’arrêt commenté puisqu’elle précise que l’article 38, § 3 du RGPD n’a « pas pour objet de régir globalement les relations de travail, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation de ces objectifs » [21].

L’interdiction de sanctionner un DPO pour un motif tiré de l’exercice de ses fonctions entraîne-t-il un risque juridique si la sanction ou la rupture des relations de travail est justifiée par l’incompétence du délégué et/ou par l’existence de graves carences dans l’application de ses missions ?

Au préalable, relevons que le RGPD se contente uniquement de prescrire une interdiction de rompre les relations de travail avec le DPO pour un motif tiré de l’exercice de ses fonctions. L’article 38 du RGPD n’instaure aucune exception à cette interdiction. Quant aux lignes directrices de l’EDPB concernant les DPO, ou encore la dernière version de la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS, celles-ci sont muettes sur la possibilité de rompre les relations de travail pour incompétence ou en raison de l’existence de carence dans l’exercice des missions.

Comme le souligne, dans ses conclusions, Monsieur Richard de la Tour, Avocat général auprès de la CJUE dans cette affaire, peu d’États membres ont pris des dispositions particulières relatives au licenciement, en se limitant à l’interdiction pure et simple issue de l’article 38, § 3 du RGPD.

Toutefois, trois États, dont l’Allemagne, ont choisi de compléter et préciser cette interdiction. Ainsi, le législateur belge a choisi de rédiger cette disposition de la manière suivante : « [l]’employeur ou l’autorité compétente ne peut rompre le contrat du conseiller, mettre fin à l’occupation statutaire du conseiller ou l’écarter de sa fonction que pour des motifs qui sont étrangers à son indépendance ou pour des motifs qui démontrent qu’il est incompétent à exercer ses missions » [22]. Il en est de même du législateur espagnol qui a souhaité préciser que : « lorsque le délégué à la protection des données est une personne physique au sein de l’organisation du responsable du traitement ou du sous-traitant, il ne peut être ni révoqué ni sanctionné par le responsable du traitement ou le sous-traitant au titre de l’exercice de ses fonctions, sauf en cas de faute intentionnelle ou de négligence grave lors de l’exercice de celles-ci » [23].

Cette interprétation de l’article 38, § 3 du RGPD est d’ailleurs confirmée par l’Avocat général, mais également par la Cour, dans l’arrêt commenté, puisque cette dernière juge que la protection accrue du DPO « ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait tout licenciement, par un responsable du traitement ou par un sous-traitant, d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD » [24].

En conséquence, il nous semble possible de rompre la relation de travail avec un DPO pour un motif tiré de l’exercice de ses missions et ce, lorsque ce dernier :

  • s’avère ne pas disposer des qualités professionnelles et/ou des connaissances spécialisées du droit et des pratiques en matière de protection des données exigées par le RGPD lors de sa nomination [25] ;
  • lorsqu’il n’exerce pas de manière indépendante ses missions c’est-à-dire, d’une part, lorsqu’il reçoit des instructions concernant l’exercice de ses missions et, d’autre part, lorsqu’il n’est pas en lien direct avec le rapport le plus élevé de la direction du responsable de traitement ou du sous-traitant [26] ;
  • lorsqu’il viole le secret professionnel auquel il  est soumis par le RGPD dans l’exercice de ses missions [27] ;
  • en cas de conflit d’intérêts [28]. Relevons à ce propos que la CJUE est saisie de deux affaires par la Cour fédérale du travail d’Allemagne avec des questions préjudicielles identiques à l’arrêt commenté, mais qui concerne des cas de relèvement des fonctions pour cause de conflits d’intérêts. Dans l’une de ces affaires, la Cour fédérale d’Allemagne a également transmis une question supplémentaire qui porte sur les critères d’un tel conflit [29].

En conclusion, relevons que la protection accordée au DPO par l’article 38, § 3 du RGPD n’est pas absolue. Cette protection a été instituée afin de protéger le DPO de manœuvres ayant pour objet de faire taire un délégué consciencieux qui solliciterait l’application des règles européennes et internes en matière de données personnelles. Néanmoins, la rédaction large de l’interdiction issue de l’article 38, § 3 du RGPD ou encore l’absence de précisions du législateur dans la loi relative à l’informatique, aux fichiers et aux libertés concernant la portée de cette protection risque d’entraîner un certain nombre de contentieux sur l’application de cette disposition. Partant, l’on ne peut que recommander aux responsables de traitement ou aux sous-traitants de motiver avec le plus grand soin le courrier de rupture des relations de travail, si cette rupture devait être en lien avec les missions du DPO.


[1] Article 6 § 4 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données) du 20 décembre 1990, dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019.

[2] Cour fédérale du travail, Allemagne.

[3] CJUE, 22 juin 2022, aff. C-534/20 N° Lexbase : A168278S, point 35.

[4] Voir en ce sens le considérant n° 10 et l’article 1er du RGPD, mais également CJUE, 6 octobre 2020, aff. C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a. N° Lexbase : A78303WW, point 207 : « Quant aux exigences découlant du règlement n° 2016/679, il convient de rappeler que celui-ci vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union (voir, en ce sens, CJUE, 16 juillet 2020, aff. C-311/18, Facebook Ireland Ltd N° Lexbase : A26443RD, point 101) ».

[5] Voir considérant 13 du RGPD.

[6] RGPD, art. 37, § 5.

[7] RGPD, art. 39.

[8] Considérant 97 du RGPD : « [...] De tels délégués à la protection des données, qu’ils soient ou non employés du responsable du traitement, devrait être en mesure d’exercer leurs fonctions et missions en toute indépendance ».

[9] Question écrite n° 02896 M. Claude Raynal, Haute-Garonne - SOCR, publiée dans le JO Sénat du 25 janvier 2018, p. 285.

[10] RGPD, art. 38, § 1.

[11] RGPD, art. 38, § 2.

[12] RGPD, art. 38, § 3.

[13] RGPD, art. 38, § 5.

[14] RGPD, art. 38, § 3.

[15] CJUE, 22 juin 2022, aff. C-534/20 N° Lexbase : A168278S, point 24.

[16] Organe consultatif de l’Union européenne indépendant sur la protection des données et de la vie privée.

[17] Lignes directrices concernant les délégués à la protection des données (DPO), adoptées le 13 décembre 2016, version révisée et adoptée le 5 avril 2017, p. 18 et 19.

[18] Notamment informations et conseils aux dirigeants et aux employés qui procèdent au traitement, contrôle du respect du RGPD, conseils sur la réalisation de l’analyse d’impact relative à la protection des données et la vérification de la bonne exécution de cette analyse, coopération avec les autorités de contrôle.

[19] Lignes directrices concernant les délégués à la protection des données (DPO), adoptées le 13 décembre 2016, version révisée et adoptée le 5 avril 2017, p. 18.

[20] Idem, p. 19.

[21] CJUE, 22 juin 2022, aff. C-534/20 N° Lexbase : A168278S, point 28.

[22] Arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données du 6 décembre 2015, publié le 28 décembre 2015, Belgique.

[23] Loi espagnole, article 36, § 2, Ley Organica 3/2018 de Proteccion de datos personales y garantia de los derechos digitales du 5 décembre 2018.

[24] CJUE, 22 juin 2022, aff. C-534/20 N° Lexbase : A168278S, point 35.

[25] RGPD, art. 37, § 5.

[26] RGPD, art. 38, § 3.

[27] RGPD, art. 38, § 5.

[28] RGPD, art. 38, § 6.

[29] CJUE, 13 septembre 2021, aff. C-560/21, KISA ; CJUE, 21 juillet 2021, aff. C-453/21, X-FAB

newsid:482814