Peut-on licencier un DPO au sein de l’entreprise au motif qu’il serait également le responsable du comité d’entreprise ?
CJUE., 9 février 2023, aff. n° C-453/21, X-FAB Dresden GmbH & Co. KG c/ FC
CJUE., 9 février 2023, aff. n° C-560/21, ZS c/ Zweckverband « Kommunale Informationsverarbeitung Sachsen » KISA, Körperschaft des öffentlichen Rechts
Dès avant l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), les législations nationales aménageaient déjà l’existence de « référents » au sein des entreprises spécialisés dans le contrôle et l’audit des traitements de données personnelles (par exemple le correspondant informatique et libertés en France). Depuis 2018, cette responsabilité est désormais désignée dans le RGPD comme le « délégué à la protection des données » (« DPO »). Le texte du Règlement insiste sur la nécessité d’assurer l’indépendance des fonctions du DPO, de sorte notamment que : « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».
Le rôle du DPO consiste donc à assurer l’effectivité des dispositions du RGPD et un niveau élevé de protection des personnes physiques quant aux traitements effectués sur leurs données personnelles. C’est pourquoi le RGPD insiste sur l’indépendance fonctionnelle du DPO, dont la mission ne doit pas se confondre avec l’intérêt du responsable de traitement ou de son sous-traitant.
Dans ce contexte, la Cour de justice de l’Union européenne (« CJUE ») était interrogée par deux juridictions allemandes sur cette problématique de l’indépendance du DPO interne à l’entreprise qui exercerait, par ailleurs, une autre fonction comme celle de responsable du comité d’entreprise. Dans ces deux affaires, les sociétés tiraient prétexte de l’existence d’un « conflit d’intérêt » affectant l’exercice du DPO interne exerçant également une autre fonction au sein de l’entreprise, pour ordonner la fin de son activité de DPO.
La Cour répond que le RGPD prohibe le licenciement (ou le relevé des fonctions) du DPO par l’employeur ou le responsable de traitement, qui serait motivé par l’exercice des fonctions du DPO. Il s’agit d’un seuil minimal de protection du DPO qui peut toutefois être complété par les législations nationales, mais uniquement dans la mesure où cette protection contre le licenciement ne vise qu’à protéger les personnes physiques dont les données personnelles sont collectées et traitées. Il en résulte qu’un DPO ne peut pas être protégé à l’extrême, y compris dans des situations où il « ne posséderait plus les qualités professionnelles requises pour exercer ses missions […] [ou] ne s’acquitterait pas de celles-ci »
Les juges ajoutent que le cumul de fonctions au sein de l’entreprise est expressément autorisé par le RGPD, dans la mesure où ce cumul n’entraîne pas un conflit d’intérêts. Pour détecter s’il existe un tel risque de conflit d’intérêts, la CJUE expose que le : « [DPO] ne saurait se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant. En effet, conformément au droit de l’Union ou au droit des États membres en matière de protection des données, le contrôle de ces finalités et moyens doit être effectué de manière indépendante par le [DPO] ».
CJUE., 9 février 2023, aff. n° C-560/21, ZS c/ Zweckverband « Kommunale Informationsverarbeitung Sachsen » KISA, Körperschaft des öffentlichen Rechts
Dès avant l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), les législations nationales aménageaient déjà l’existence de « référents » au sein des entreprises spécialisés dans le contrôle et l’audit des traitements de données personnelles (par exemple le correspondant informatique et libertés en France). Depuis 2018, cette responsabilité est désormais désignée dans le RGPD comme le « délégué à la protection des données » (« DPO »). Le texte du Règlement insiste sur la nécessité d’assurer l’indépendance des fonctions du DPO, de sorte notamment que : « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».
Le rôle du DPO consiste donc à assurer l’effectivité des dispositions du RGPD et un niveau élevé de protection des personnes physiques quant aux traitements effectués sur leurs données personnelles. C’est pourquoi le RGPD insiste sur l’indépendance fonctionnelle du DPO, dont la mission ne doit pas se confondre avec l’intérêt du responsable de traitement ou de son sous-traitant.
Dans ce contexte, la Cour de justice de l’Union européenne (« CJUE ») était interrogée par deux juridictions allemandes sur cette problématique de l’indépendance du DPO interne à l’entreprise qui exercerait, par ailleurs, une autre fonction comme celle de responsable du comité d’entreprise. Dans ces deux affaires, les sociétés tiraient prétexte de l’existence d’un « conflit d’intérêt » affectant l’exercice du DPO interne exerçant également une autre fonction au sein de l’entreprise, pour ordonner la fin de son activité de DPO.
La Cour répond que le RGPD prohibe le licenciement (ou le relevé des fonctions) du DPO par l’employeur ou le responsable de traitement, qui serait motivé par l’exercice des fonctions du DPO. Il s’agit d’un seuil minimal de protection du DPO qui peut toutefois être complété par les législations nationales, mais uniquement dans la mesure où cette protection contre le licenciement ne vise qu’à protéger les personnes physiques dont les données personnelles sont collectées et traitées. Il en résulte qu’un DPO ne peut pas être protégé à l’extrême, y compris dans des situations où il « ne posséderait plus les qualités professionnelles requises pour exercer ses missions […] [ou] ne s’acquitterait pas de celles-ci »
Les juges ajoutent que le cumul de fonctions au sein de l’entreprise est expressément autorisé par le RGPD, dans la mesure où ce cumul n’entraîne pas un conflit d’intérêts. Pour détecter s’il existe un tel risque de conflit d’intérêts, la CJUE expose que le : « [DPO] ne saurait se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant. En effet, conformément au droit de l’Union ou au droit des États membres en matière de protection des données, le contrôle de ces finalités et moyens doit être effectué de manière indépendante par le [DPO] ».
