La protection du DPO est-elle absolue ?
Publié le 10/02/2023 par Etienne Wery , Geoffroy Blondiau
Le DPO est spécifiquement protégé par le RGPD. Comment concilier cette protection spécifique avec les règles nationales de droit du travail ? Les Etats peuvent-il protéger davantage le DPO ? A partir de quand le DPO est-il en situation de conflit d’intérêt ? A travers deux arrêts rendus à quelques mois d’intervalles, la CJUE trace les contours de la protection spécifique du DPO instituée par le RGPD. Décryptage et analyse.
La Cour a eu l’occasion de fixer une première fois sa doctrine en juin dernier, à l’occasion de l’arrêt Leistritz, qu’elle confirme dans la décision commentée. Dans ce premier dossier, le licenciement du DPO avait été décidé dans le cadre d’une restructuration économique qui ne touchait pas spécifiquement le DPO mais bien l’ensemble du département. Le DPO invoquait la protection spécifique issue du RGPD, combinée avec une règle spécifique issue du droit allemand, pour s’y opposer. Dans l’affaire jugée ce 9 février, c’est un potentiel conflit d’intérêt qui justifiait la révocation immédiate du DPO. Les deux affaires venaient d’Allemagne, où une règle spécifique stipule que le DPO ne peut être licencié que pour motif grave, même si la révocation n’est pas liée à sa mission de DPO.
Révoquer un DPO est-il possible ?
Selon l’article 38 du RGPD, le DPO ne peut pas être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.
La Cour avait déjà précisé la portée des termes « relevé de ses fonctions » et « pénalisé » dans l’arrêt Leistritz. Elle y renvoie ; ces termes désignent toute décision :
- par laquelle il serait mis fin à ses fonctions,
- par laquelle il subirait un désavantage ou
- qui constituerait une sanction.
La Cour rappelle également que cette protection s’applique indistinctement tant au DPO qui est un membre du personnel du responsable du traitement ou du sous-traitant, qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers.
Pour autant, une décision ne doit être analysée sous l’angle de sa conformité avec le RGPD que si elle relève le DPO « pour un motif tiré de l’exercice de ses missions ».
Quelle est la portée de cette dernière précision ? Il nous semble que la Cour indique qu’une décision de révocation fondée sur un motif qui n’est pas tiré de l’exercice de ses missions par le DPO, ne serait pas contraire à la protection instituée par le RGPD : c’est le droit du travail national qui s’appliquera (sans prise en compte du RGPD) si la révocation du DPO est étrangère à l’exercice des missions, mais il appartiendra au juge de s’assurer que le motif invoqué, par hypothèse étranger à la mission spécifique du DPO, n’est pas simplement un alibi.
Concilier cette protection avec le droit du travail national ?
Le droit du travail est, on le sait, largement la chasse gardée des états. Il en résulte des mécanismes nationaux dans lesquels les travailleurs peuvent être davantage protégés, soit en raison de règles de procédure d’application générale (agir dans un certain délai ou moyennant le respect de certaines formes), soit en raison de règles spécifiques (un délégué syndical, un travailleur malade, ou le DPO spécifiquement comme c’est le cas en Allemagne).
Comment articuler cette protection accrue avec le RGPD ? Tel est l’enjeu de la question préjudicielle qui demande, en substance, si l’article 38 RGPD s’oppose à une réglementation nationale prévoyant qu’un DPO qui est membre du personnel ne peut être révoqué que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué.
Pour la Cour, la réponse à cette question passe par la finalité de la protection instituée par l’article 38.3 RGPD, qu’elle lit comme un tout : après avoir énoncé que le délégué à la protection des données ne reçoit aucune instruction en ce qui concerne l’exercice des missions, cette disposition le protège une décision préjudiciable pour un motif tiré de l’exercice de ses missions.
Pour la Cour, la protection instituée par le RGPD est donc fonctionnelle : elle vise à garantir l’indépendance du DPO. En ce sens, elle note que l’article 38.3 RGPD « doit être considéré comme visant essentiellement à préserver l’indépendance fonctionnelle du DPO et, partant, à garantir l’effectivité des dispositions du RGPD ».
Il en résulte que « chaque État membre est libre, dans l’exercice de sa compétence retenue, de prévoir des dispositions particulières plus protectrices en matière de révocation du DPO, pour autant que ces dispositions soient compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD (…) ».
La Cour s’aligne à nouveau sur l’arrêt Leistritz dans lequel elle avait considéré que l’article 38 RGPD « n’a, en revanche, pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation de ces objectifs. »
Ce faisant, la cour déplace simplement l’enjeu de la question préjudicielle qui devient : à partir de quand une protection accrue issue du droit du travail n’est-elle plus compatible avec le RGPD ?
La limite à ne pas franchir est tracée par la Cour : « une protection accrue du DPO qui empêcherait toute révocation de celui-ci dans l’hypothèse où il ne serait pas ou plus en mesure d’exercer ses tâches en toute indépendance en raison de l’existence d’un conflit d’intérêts compromettrait la réalisation de [l’objectif poursuivi par le RGPD] » qui « vise notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 207 ainsi que jurisprudence citée) ».
Ce faisant, la Cour valide en principe les règles de protection spécifiques ou complémentaires issues du droit national, y compris celles qui visent spécifiquement le DPO comme c’est le cas en Allemagne, mais à la condition que leur mise en œuvre ne porte pas atteinte à l’indépendance du DPO ni à sa capacité à assurer une application cohérente des règles du RGPD dont il est le gardien.
C’est au juge national qu’il incombe de procéder à cette mise en équilibre.
Quand y a-t-il conflit « conflit d’intérêts » ?
L’article 38.6 RGPD énonce que le délégué à la protection des données peut exécuter d’autres missions et tâches, mais le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.
La situation est en réalité très fréquente : il y a, au bout du compte, assez peu de DPO qui affectent 100 % de leur temps de travail à cette tâche.
La Cour confirme qu’il n’y a « pas d’incompatibilité de principe entre, d’une part, l’exercice des fonctions de DPO et, d’autre part, celui d’autres fonctions auprès du responsable du traitement ou de son sous-traitant ».
Pour autant dit-elle, « le DPO ne saurait se voir confier l’exécution de missions ou de tâches qui serait susceptible de nuire à l’exercice des fonctions qu’il exerce en tant que DPO. »
C’est dans le placement du curseur que l’on attendait la Cour.
À ce niveau, sa réponse est décevante ; elle se borne pour l’essentiel à juger qu’un DPO « ne saurait se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens du traitement (…) ».
Ainsi rédigé, l’arrêt n’est malheureusement pas d’une grande utilité. En effet, dans la mesure où la détermination des finalités et les moyens du traitement est le critère central qui permet d’apprécier la qualité de responsable du traitement, il tombe sous le sens que le DPO doit s’abstenir de s’impliquer dans cette détermination sous peine d’être juge et partie. On attendait un peu plus de la Cour qui renvoie la patate chaude au juge national, chargé de « déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers », si les missions ou tâches du DPO le conduisent à déterminer les finalités et les moyens du traitement.
Plus d’infos ?
En lisant les deux arrêts commentés, disponibles en annexe.