Par Haas Avocats
Si nous avons pu rappeler dans un précédent article que le délégué à la protection des données (DPO) et qu’il ne peut voir ses fonctions cesser du fait de l’exercice de ses missions, cela ne veut pas dire pour autant qu’il est intouchable.
En plus de se prononcer sur le droit d’accès du DPO à la suite de son licenciement, le Conseil d’Etat dans un arrêt en date du 21 octobre 2022 précise la notion d’indépendance fonctionnelle de ce délégué et l’interprétation qui peut en être faite dans le cadre d’un licenciement.
En réaction à son licenciement, la requérante, qui exerçait la fonction de DPO, a saisi la CNIL[1] d’une plainte relative aux conditions d’exercice de ses fonctions et à l’exercice de son droit d’accès.
Selon la législation française[2], la CNIL procède alors à l’examen des faits à l’origine de la plainte ou de la réclamation pour décider s’il y a lieu d’y donner suite.
La présidente de la CNIL, s’étant prononcée par une décision du 8 octobre 2021, n’a pas donné suite à cette plainte en se fondant sur les faits invoqués par l’employeur pour justifier ce licenciement.
Si la CNIL possède un large pouvoir d’appréciation à l’occasion de l’examen de la plainte ou réclamation qui lui est faite, le DPO peut toujours déférer sa plainte au juge de l’excès de pouvoir[3] lorsque celle-ci est rejetée par la CNIL.
En l’espèce, du fait de la clôture de sa plainte par la CNIL, la requérante décide donc de déférer sa plainte au juge de l’excès de pouvoir dans l’espoir de voir la décision de la CNIL annulée.
Pour précision, l’excès de pouvoir de la part d’une autorité consiste en la violation d’une règle de droit à l’occasion de la prise d’un acte administratif tel qu’une décision.
Les décisions prises par la CNIL peuvent faire l’objet d’un recours devant le Conseil d’état[4],
Ainsi, le Conseil d’Etat se prononce le 21 octobre 2022 pour rejeter la requête.
Si la requérante saisit la CNIL d’une plainte tendant à l’examen des faits à l’origine de son licenciement, elle demande également à la commission de lui accorder l’exercice du droit d’accès à ses données personnelles.
Le droit d’accès est régi par l'article 15 du RGPD et énonce qu’une personne a le droit d’obtenir du responsable de traitement la confirmation que ses données personnelles sont ou non actuellement traitées et d’y demander accès lorsque ces données font l’objet d’un traitement.
Considérant que la décision de la CNIL énonce les considérations de droit et de fait fondant le rejet de la demande, le Conseil d’Etat estime que la requérante n’est pas fondée à soutenir l’insuffisance de la motivation de la CNIL.
Pour rappel, l'article 38 du RGPD prévoit que le DPO doit être indépendant dans l’exercice de ses fonctions de telle sorte qu’il ne doit recevoir aucune instruction de la part du responsable de traitement ou du sous-traitant.
Le DPO ne peut donc pas être licencié sur le fondement d’une mission qui lui a été confiée par le RGPD puisqu’il agit selon les règles qui lui sont imposées.
Ces dispositions ont été prises dans le but de préserver ce qu’on appelle l’indépendance fonctionnelle du DPO et de garantir l’effectivité de l’application du RGPD.
En effet, si un DPO pouvait se voir licencier sur la base des décisions qu’il prend en application du RGPD, l’effectivité du règlement européen se verrait alors fortement compromise.
Cependant, qu’en est-il lorsqu’il peut être reproché au DPO des carences dans l’exercice de ses fonctions ?
Le principe d’indépendance fonctionnelle est interprété par la CNIL comme ne faisant pas obstacle au licenciement d’un DPO qui ne posséderait plus les qualités professionnelles requises et/ou ne s’acquitterait plus de ses missions conformément aux dispositions énoncées par le RGPD.
Le Conseil d’Etat rappelle le principe édicté par la CJUE[5] à l’occasion d’un arrêt Leistrits AG c/ LH , du 22 juin 2022[6], selon lequel protéger le DPO à l’encontre de toute décision qui mettrait fin à ses fonctions ne ferait que lui faire subir un désavantage et serait à même de constituer pour lui une sanction.
Bien que le Conseil d’Etat rappelle qu’aucune disposition ne contraint la CNIL à motiver sa décision en l’espèce[7], il considère que la commission n’a pas commis d’erreur de droit en prenant en compte les faits relatés par l’employeur exposant que le licenciement de la DPO était basé sur :
Après avoir examiné l’ensemble des éléments en sa possession, la CNIL conclut que la requérante ne satisfaisait pas pleinement aux exigences liées à sa fonction de DPO.
Ainsi, confirmant la motivation de la CNIL, le Conseil d’Etat considère que l’employeur a respecté les dispositions relatives aux DPO et qu’il y a lieu à ce que la requête soit rejetée puisque la requérante n’est pas en mesure d’établir l’existence d’une quelconque erreur manifeste.
***
« Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici »
[1] Commission nationale de l’informatique et des libertés.
[2] Article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[3] Articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978 précitée.
[4] R 311-1 Code de justice administrative
[5] Cour de Justice de l’Union Européenne
[6] CJUE, 22 juin 2022, Leistrits AG c/ LH (C-534/20)
[7] L 211-2 du code des relations entre le public et l’administration