Par Gérard Haas, Anne-Charlotte Andrieux, Gaël Mahé et Antoine Kraska-Delsol
Le Délégué à la Protection des données (DPD), plus connu sous le nom Data Protection Officer (DPO), est le garant de la conformité des entreprises au Règlement général sur la protection des données (RGPD).
Son rôle est multiforme : il peut exercer sa mission aussi bien comme prestataire externe que comme salarié de l’entreprise.
Néanmoins, sous cette dernière forme où le DPO serait pleinement intégré à l’entreprise, son degré de protection en tant que salarié reste une question primordiale.
En effet, en tant que salarié, le DPO est soumis à un lien de subordination au profit de son employeur, comme pour toute relation de travail. Cependant, le RGPD prévoit que le DPO doit être indépendant dans l’exercice de ses fonctions.
L’article 38§3 du RGPD dispose ainsi que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses fonctions ».
Ainsi, le DPO ne peut pas encourir de sanctions pour avoir réalisé les missions qui lui sont conférées dans le cadre du RGPD.
Le Comité européen de la protection des données (CEPD – anciennement G29) a précisé dans des lignes directrices quelles sanctions (directes ou indirectes) ne peuvent pas être mises en place à l’égard du DPO :
Le CEPD précise que ces sanctions n’ont pas à « effectivement être mises en œuvre » dans la mesure où la simple menace de ces dernières suffit pour être qualifiée comme une sanction envers un DPO pour l’exercice de ses activités.
Cette question se pose vis-à-vis du statut de « salarié protégé » dont le DPO pourrait éventuellement dépendre. Il s’agit du statut dont bénéficient notamment les représentants du personnel en entreprise, en vertu duquel leur licenciement suit une procédure beaucoup plus contraignante (autorisation préalable de l’inspecteur du travail, consultation des instances représentatives du personnel…).
En France, le Parlement n’a pas conféré cette protection au DPO, qui n’est donc pas un salarié protégé au sens du droit du travail.
Toutefois, le ministère du Travail a notamment rappelé que « si le législateur n’a pas entendu conférer au délégué à la protection des données le statut de salarié protégé au sens du droit du travail, il bénéficie néanmoins d’une large protection dans l’exercice de ses missions ».
En effet, même si le DPO n’est pas un salarié protégé, les dispositions du RGPD et l’indépendance inhérente à ses fonctions le protègent particulièrement dès lors qu’il agit dans l’exercice de ses missions.
Par un arrêt du 22 juin 2022, la Cour de justice de l’Union Européenne a indiqué qu’il est possible pour les Etats membres de prévoir une protection sociale plus poussée en faveur du DPO.
En effet, la Cour relève que l’article 38§3 du RGPD ne s’oppose pas à ce que le DPO dispose d’un statut le protégeant davantage dès lors que cette protection ne compromet pas la réalisation des objectifs du règlement.
En particulier, la Cour note qu’il est possible de protéger le DPO en limitant son licenciement à la commission d’une faute grave, et ce même s’il agit en dehors de l’exercice de ses missions.
On pourrait alors facilement imaginer cette décision comme un appel du pied lancé aux Etats membres ayant pour but de les inciter à renforcer le statut des DPO dans leur législation nationale.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.