Licenciement du DPO : une réalité ou une simple crainte ?

Licenciement du DPO : une réalité ou une simple crainte ?
⏱ Lecture 4 min

 

Par Haas Avocats

Si nous avons pu rappeler dans un précédent article que le délégué à la protection des données (DPO)  et qu’il ne peut voir ses fonctions cesser du fait de l’exercice de ses missions, cela ne veut pas dire pour autant qu’il est intouchable.

 

En plus de se prononcer sur le droit d’accès du DPO à la suite de son licenciement, le Conseil d’Etat dans un arrêt en date du 21 octobre 2022 précise la notion d’indépendance fonctionnelle de ce délégué et l’interprétation qui peut en être faite dans le cadre d’un licenciement.

 

La procédure engagée par le DPO contre son licenciement

En réaction à son licenciement, la requérante, qui exerçait la fonction de DPO, a saisi la CNIL[1] d’une plainte relative aux conditions d’exercice de ses fonctions et à l’exercice de son droit d’accès.

Le dépôt d’une plainte ou réclamation devant la CNIL

Selon la législation française[2], la CNIL procède alors à l’examen des faits à l’origine de la plainte ou de la réclamation pour décider s’il y a lieu d’y donner suite.

 

La présidente de la CNIL, s’étant prononcée par une décision du 8 octobre 2021, n’a pas donné suite à cette plainte en se fondant sur les faits invoqués par l’employeur pour justifier ce licenciement.

 

Si la CNIL possède un large pouvoir d’appréciation à l’occasion de l’examen de la plainte ou réclamation qui lui est faite, le DPO peut toujours déférer sa plainte au juge de l’excès de pouvoir[3] lorsque celle-ci est rejetée par la CNIL.

La procédure d’excès de pouvoir

En l’espèce, du fait de la clôture de sa plainte par la CNIL, la requérante décide donc de déférer sa plainte au juge de l’excès de pouvoir dans l’espoir de voir la décision de la CNIL annulée.

 

Pour précision, l’excès de pouvoir de la part d’une autorité consiste en la violation d’une règle de droit à l’occasion de la prise d’un acte administratif tel qu’une décision.

 

Les décisions prises par la CNIL peuvent faire l’objet d’un recours devant le Conseil d’état[4],

 

Ainsi, le Conseil d’Etat se prononce le 21 octobre 2022 pour rejeter la requête.

Le non-exercice du droit d’accès à ses données personnelles

Si la requérante saisit la CNIL d’une plainte tendant à l’examen des faits à l’origine de son licenciement, elle demande également à la commission de lui accorder l’exercice du droit d’accès à ses données personnelles.

 

Le droit d’accès est régi par l'article 15 du RGPD et énonce qu’une personne a le droit d’obtenir du responsable de traitement la confirmation que ses données personnelles sont ou non actuellement traitées et d’y demander accès lorsque ces données font l’objet d’un traitement.

 

Considérant que la décision de la CNIL énonce les considérations de droit et de fait fondant le rejet de la demande, le Conseil d’Etat estime que la requérante n’est pas fondée à soutenir l’insuffisance de la motivation de la CNIL.

La limite à la cessation des fonctions du DPO

Pour rappel, l'article 38 du RGPD prévoit que le DPO doit être indépendant dans l’exercice de ses fonctions de telle sorte qu’il ne doit recevoir aucune instruction de la part du responsable de traitement ou du sous-traitant.

 

Le DPO ne peut donc pas être licencié sur le fondement d’une mission qui lui a été confiée par le RGPD puisqu’il agit selon les règles qui lui sont imposées.

 

Ces dispositions ont été prises dans le but de préserver ce qu’on appelle l’indépendance fonctionnelle du DPO et de garantir l’effectivité de l’application du RGPD.

 

En effet, si un DPO pouvait se voir licencier sur la base des décisions qu’il prend en application du RGPD, l’effectivité du règlement européen se verrait alors fortement compromise.

 

Cependant, qu’en est-il lorsqu’il peut être reproché au DPO des carences dans l’exercice de ses fonctions ?

La portée de l’appréciation du principe d’indépendance fonctionnelle

Le principe d’indépendance fonctionnelle est interprété par la CNIL comme ne faisant pas obstacle au licenciement d’un DPO qui ne posséderait plus les qualités professionnelles requises et/ou ne s’acquitterait plus de ses missions conformément aux dispositions énoncées par le RGPD.

 

Le Conseil d’Etat rappelle le principe édicté par la CJUE[5] à l’occasion d’un arrêt Leistrits AG c/ LH , du 22 juin 2022[6], selon lequel protéger le DPO à l’encontre de toute décision qui mettrait fin à ses fonctions ne ferait que lui faire subir un désavantage et serait à même de constituer pour lui une sanction.

 

Bien que le Conseil d’Etat rappelle qu’aucune disposition ne contraint la CNIL à motiver sa décision en l’espèce[7], il considère que la commission n’a pas commis d’erreur de droit en prenant en compte les faits relatés par l’employeur exposant que le licenciement de la DPO était basé sur :

 

  • La défaillance de la DPO dans l’exercice de ses fonctions (la DPO avait à sa disposition d’importantes ressources humaines et opérationnelles, exerçait à temps complet et exclusif et animait un comité de pilotage réunissant les cadres dirigeants).

  • L’irrespect de processus internes à l’entreprise (production d’une feuille de route ; alertes répétées, sans motivation ni documentations, de non-conformité au RGPD ; absence de réponse et de disponibilité aux sollicitations internes).

 

Après avoir examiné l’ensemble des éléments en sa possession, la CNIL conclut que la requérante ne satisfaisait pas pleinement aux exigences liées à sa fonction de DPO.

 

Ainsi, confirmant la motivation de la CNIL, le Conseil d’Etat considère que l’employeur a respecté les dispositions relatives aux DPO et qu’il y a lieu à ce que la requête soit rejetée puisque la requérante n’est pas en mesure d’établir l’existence d’une quelconque erreur manifeste.

 

***

« Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici »

 

[1] Commission nationale de l’informatique et des libertés.

[2] Article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[3] Articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978 précitée.

[4] R 311-1 Code de justice administrative

[5] Cour de Justice de l’Union Européenne

[6] CJUE, 22 juin 2022, Leistrits AG c/ LH (C-534/20)

[7] L 211-2 du code des relations entre le public et l’administration

 

 

Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin