L’indépendance du DPO

Licenciement maladroit ou à bon droit d’un Délégué à la Protection des Données ?

Le Conseil d’État précise la notion d’indépendance du DPO [1]

 

Afin de lui permettre de mener à bien ses missions, le Règlement Général sur la Protection des Données (RGPD) octroie au Délégué à la Protection des Données un statut pour le moins singulier.

Ce texte communautaire est toutefois peu précis, voire contredit par les législations nationales des États membres de l’Union européenne (UE).

Dans une décision récente du 21 octobre 2022, le Conseil d’État est venu apporter quelques clarifications bienvenues[2]. De quoi remettre les organismes sur le droit chemin…

 

►QUOI ? Petit rappel des textes

D’après le Règlement Général sur la Protection des Données, les Délégués à la Protection des Données doivent « être en mesure d’exercer leurs fonctions et missions en toute indépendance » [Considérant 97].

Cette indépendance trouve d’abord un sens dès le début de la collaboration du DPO avec l’organisme. En effet, le choix de ce bras droit n’est pas totalement libre. Il doit être désigné en raison de son expertise juridique et technique en matière de protection des données à caractère personnel.

Quant à l’indépendance du DPO durant l’exécution et la rupture de sa collaboration avec son employeur, celle-ci est encadrée par l’article 38(3) du RGPD, qui prévoit que :

Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

►QUI ? L’indépendance du Délégué à la Protection des Données interne

Le Délégué à la Protection des Données peut être interne ou externe à l’entité qui le désigne, tant qu’il répond aux critères de compétences et qu’il n’existe aucune situation de conflits d’intérêts susceptible d’entraver ses actions.

Lorsque l’organisme souhaite faire appel à l’un de ses membres, il ne peut donc pas nommer une personne investie d’un poste à responsabilités. De par ses fonctions, celle-ci est en effet nécessairement amenée à déterminer les finalités et moyens des traitements de données, autrement dit à être responsable de traitements.

Comment un Délégué à la protection des données pourrait-il aller droit au but dans ses préconisations, si les recommandations qu’il lui revient de faire s’opposent à d’autres logiques commerciales, RH ou logistiques dont il serait lui-même aussi en charge ?

Dans une entreprise ou une collectivité, le Délégué à la Protection des Données interne ne peut donc être qu’un membre du personnel du responsable de traitement, c’est-à-dire lié à lui par un contrat de travail.

Or, en droit français, le contrat de travail se définit comme « le contrat par lequel une personne physique (le salarié) s’engage à exécuter un travail sous la subordination d’une personne physique ou morale (l’employeur), en échange d’une rémunération »[3].

 

Le pouvoir juridique reconnu à l’employeur sur son salarié, du fait de ce lien de subordination, n’est-il pas incompatible avec l’indépendance du DPO interne ?

Comment le DPO interne peut-il jouer son rôle non seulement de conseil, mais de contrôle et d’alerte, s’il doit se tenir droit comme un « i » vis-à-vis de sa hiérarchie ?

 

►POURQUOI ? La recherche d’un juste équilibre entre indépendance et subordination

Choisir un DPO interne présente plusieurs avantages : connaissance approfondie du fonctionnement de l’organisme, conscience des contraintes auxquelles la structure doit faire face en matière de protection des données, meilleure disponibilité et réactivité, etc.

Puisque le DPO interne ne peut recevoir « aucune instruction en ce qui concerne l’exercice de ses missions », sa hiérarchie ne devrait avoir un droit de regard sur lui que pour l’encadrement de ses conditions de travail, et non sur le contenu de son travail.

Exemple : son supérieur pourrait avoir son mot à dire sur son emploi du temps, notamment sur la validation de ses demandes de congés, tant que sa décision est sans rapport avec ses fonctions de DPO.

Cette relation hybride est d’autant plus compliquée lorsque le salarié n’exerce les fonctions de Délégué à la Protection des Données qu’à temps partiel. Dans une forme de schizophrénie professionnelle, l’employé est supposé être soumis à ce lien de subordination pour les missions qui ne découlent pas de son rôle de DPO, et censé pouvoir s’en extraire pour les activités qui en relèvent…

La législation ballote donc le statut de Délégué à la Protection des Données interne de gauche à droite entre indépendance et subordination…

►COMMENT ? Le cas particulier de la sanction du DPO

Pour mémoire, le Délégué à la Protection des Données « ne peut être relevé de ses fonctions ou pénalisé […] pour l’exercice de ses missions ».

Cette disposition garantit la liberté de parole du DPO. Il doit pouvoir s’opposer librement aux directives données par le responsable de traitement lorsque celles-ci sont susceptibles de compromettre la protection de données personnelles. Cet extrait du RGPD lui permet d’intervenir sans craindre de représailles – autrement dit d’agir comme son rôle, et non comme son supérieur, l’exige.

 

Pour autant, comme tout salarié, le DPO interne peut ne pas filer droit. Son comportement peut devenir source de difficultés dans l’entreprise…

L’indépendance du DPO définie par le RGPD est-elle synonyme d’immunité professionnelle ?

Zoom sur la jurisprudence communautaire

 

 

Dans un arrêt du 22 juin 2022, la Cour de Justice de l’Union européenne (CJUE) a précisé que l’interdiction de pénaliser un Délégué à la protection des données vise à préserver l’indépendance fonctionnelle de ce dernier[4]. En d’autres termes, ces sanctions sont interdites lorsqu’elles sont motivées par un fait tiré de l’exercice des missions de DPO.

Exemples : un retard dans l’avancement de carrière du DPO ayant déconseillé de mettre en place un traitement de données qui, après analyse d’impact sur la vie privée, présenterait des risques résiduels élevés pour les droits et libertés des personnes concernées ; le refus d’octroyer au DPO des avantages dont bénéficient d’autres salariés après qu’il ait alerté sa hiérarchie sur leur manque de sensibilisation sur les enjeux liés à la protection des données…

Mais la CJUE a précisé que ces dispositions n’ont « pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel ».

Puisque la présence d’un DPO vise à garantir l’effectivité de la législation applicable en matière de protection des données, la Cour estime qu’il reste tout à fait envisageable de sanctionner voire de licencier un Délégué à la Protection des Données qui ne possèderait plus les qualités professionnelles requises pour ce poste, ou qui n’effectueraient pas ses missions selon les prescriptions du RGPD.

 

► A qui de droit ? – Encore faut-il justifier que le défaut de compétences ou les fautes reprochées au Délégué à la protection des données ne résultent pas d’une carence du responsable de traitement lui-même.

En effet, celui-ci est tenu d’allouer à son salarié DPO toutes les ressources nécessaires pour exercer ses missions. Il doit lui avoir fourni le temps ainsi que les moyens financiers, humains et matériels suffisants pour accomplir sa prestation.

Cette obligation implique également d’accorder à l’employé DPO la possibilité d’entretenir régulièrement ses connaissances. D’après une étude menée par l’Agence pour la Formation professionnelle des Adultes (AFPA), 75% des Délégués à la Protection des Données interrogés expriment un besoin d’améliorer leur savoir et 44% d’entre eux considèrent devoir bénéficier d’une formation complète sur le sujet [5].

Amis DPO, vous êtes en droit de demander des formations !

Notre équipe d’experts, qualifiés par Bureau Veritas, vous propose chaque mois un enseignement et un partage d’expériences de 35 heures pour développer vos aptitudes.
RGPD-Experts vous accompagne également dans la préparation des épreuves de certification de vos compétences de DPO par Bureau Veritas, si tel est votre souhait.

Notre formation est certifiée Qualiopi, pour une prise en charge OPCO / FNE / Pôle Emploi.
Nous vous invitons à nous contacter via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

Zoom sur la jurisprudence nationale

 

 

Le 21 octobre dernier, le Conseil d’État est allé plus loin que la Cour de Justice de l’Union européenne.

Au-delà de l’hypothèse de la faute ou de l’insuffisance professionnelle, celui-ci a admis le licenciement d’un Délégué à la Protection des Données « à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés », tant que cette procédure n’est pas « incompatible avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ». Le statut de DPO ne lui confère donc aucun passe-droit.

En l’occurrence, il était reproché au salarié des carences dans l’exercice de ses fonctions (l’absence de production d’une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée), mais aussi la violation de règles internes à la société (affranchissement des chaînes hiérarchiques en s’adressant directement aux collaborateurs d’une équipe sans l’aval de son chef, ou prise de congés sans en avertir en temps utile ses supérieurs).

Il convient de rappeler que le Délégué à la Protection des Données n’est pas un salarié protégé au sens du droit du travail.[6]Son licenciement n’est ainsi régi par aucune procédure particulière. L’autorisation de l’Inspection du travail n’est donc pas nécessaire.

       * * *

La Cour de Justice de l’Union européenne a rappelé que chaque État membre est libre de prévoir des dispositions plus protectrices en matière de licenciement du Délégué à la Protection des Données.[7]

En Allemagne, un DPO ne peut être congédié qu’en cas de « motifs graves ». En Espagne, il doit avoir commis une faute intentionnelle ou une négligence grave dans l’exercice de ses fonctions.

A quand une harmonisation du statut du Délégué à la Protection des Données entre les pays européens ?

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

[1] Acronyme généralement retenu pour désigner le Délégué à la Protection des Données, de l’anglais « Data Protection Officer ».

[2] La décision n°459254 du Conseil d’État du 21 octobre 2022 est disponible dans son intégralité à l’adresse suivante : https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-10-21/459254 .

[3] Selon la formule habituelle retenue par la Cour de cassation.

[4] CJUE 22 juin 2022, Leistritz AG c. LH, aff. C-534/20, [ https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462 ]

[5] « Evolution de la fonction de Délégué à la Protection des Données », Etude de 2022 menée par l’Agence pour la Formation Professionnelle des Adultes (AFPA) et disponible en ligne à l’adresse suivante : https://travail-emploi.gouv.fr/IMG/pdf/synthese_dpo.pdf .

[6] Selon la doctrine de la CNIL en la matière, confirmée par Monsieur le Sénateur Claude RAYNAL dans sa réponse ministérielle à la question écrite n°02896, publiée au JO Sénat le 25 janvier 2019.

[7] Revue de droit du travail 2022 (p.625), Fanny GABROY, « Le statut du délégué à la protection des données en droit du travail ».