La protection du DPO par le RGPD n’interdit pas son licenciement
Statut du DPO
Ses missions. Le délégué à la protection des données, également désigné sous le sigle DPO (Data Protection Officer en anglais) est un salarié de l’entreprise ou un prestataire externe chargé de la protection des données personnelles faisant l’objet de traitements au sein de l’entreprise. À ce titre, il a pour missions d’informer et de conseiller le responsable du traitement (l’employeur) ou le sous-traitant et leurs employés, de veiller au respect du RGPD et des règles françaises en matière de protection des données à caractère personnel, de dispenser des conseils pour réaliser l’analyse d’impact sur la protection des données et de vérifier son exécution, ainsi que de coopérer avec la Cnil et de faire office de point de contact pour la Cnil (règlement européen 2016/679 du 27‑4‑2016 « RGPD » art. 39) .
Sa protection par le RGPD. Le DPO doit être en mesure d’exercer ses fonctions en toute indépendance. Directement rattaché au responsable des traitements ou au sous-traitant, il ne doit recevoir aucune instruction pour l’exercice de ses missions. Il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions (RGPD art. 38) .
DPO salarié non protégé par le Code du travail. Le DPO salarié n’est pas un salarié protégé au sens du droit du travail, comme peuvent l’être les représentants du personnel (Rep. min. Raynal n° 2896, JO Sénat du 7‑2‑2019) . Il peut donc faire l’objet p. ex. d’un licenciement disciplinaire en cas de faute grave.
En cas de défaillance dans ses fonctions
Question. Si le DPO ne possède plus les qualités professionnelles requises pour exercer ses missions ou ne les exerce pas conformément au RGPD, peut-il être licencié ? Oui, a répondu la Cour de justice de l’Union européenne (CJUE 22‑6‑2022, aff. C-534-20) . L’article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de DPO dans l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces règles ne soient pas incompatibles avec l’indépendance fonctionnelle garantie par le RGPD. Le Conseil s’est récemment aligné sur la position de la CJUE.
Illustration. Une salariée recrutée pour exercer la fonction de DPO a été licenciée pour des défaillances dans l’exercice de ses missions. Son employeur lui reprochait l’absence de production d’une feuille de route, des alertes répétées de non-conformité au RGPD non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et de disponibilité délibérée, le non-respect des chaînes hiérarchiques de l’entreprise et la prise de congés sans en avertir en temps utile sa hiérarchie. Estimant que l’employeur n’avait pas respecté les dispositions du RGPD protégeant son indépendance en la licenciant, en ne lui versant pas le taux maximum de sa prime de performance et en lui donnant des instructions en sa qualité de DPO, la salariée a porté plainte auprès de la Cnil.
Pas de protection absolue du DPO par le RGPD. Mais la Cnil a refusé de poursuivre l’employeur pour manquement au RGPD. Elle a considéré que l’exigence de protection de l’indépendance fonctionnelle du DPO n’interdisait pas l’employeur de reprocher à la salariée des carences dans l’exercice de ses fonctions et le non-respect de règles internes à la société. Le Conseil d’État a validé la décision de la Cnil et rejeté la requête de la salariée contre la décision de la Cnil (CE 21‑10‑2022 n° 459254).