Actualité
2 min de lecture
13 février 2023
Dans deux arrêts du 9 février 2023, la CJUE donne des précisions sur les modalités de révocation d’un délégué à la protection des données.

L’article 38, § 3 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données ou RGPD) dispose que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

Pour la CJUE, cette disposition vise à protéger l’indépendance fonctionnelle du délégué à la protection des données (DPD) de façon à garantir l’effectivité des dispositions du RGPD. Ainsi, les règles protectrices relatives à la révocation du DPD doivent être lues dans le sens où elles permettent à cet acteur d’assurer un niveau élevé de protection des personnes physiques au sein de l’Union en ce qui concerne le traitement de leurs données à caractère personnel.

Cette protection accrue ne peut dès lors aboutir à compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait toute révocation d’un DPD qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne serait pas ou plus en mesure d’exercer ses tâches en toute indépendance en raison de l’existence d’un conflit d’intérêts.

La Cour en déduit que le droit de l’Union « ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPD qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce DPD, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD » (aff. C-453/21, point 36 ; aff. C-560/21, point 31).

La notion de conflit d’intérêts est par ailleurs précisée. Un tel conflit peut exister, selon la Cour, quand « un DPD se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant ». Le rôle du DPD ne doit donc pas se confondre avec celui du responsable du traitement. La Cour renvoie ici au juge national le soin de vérifier, « sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers », le rôle joué par le DPD (aff. C-453/21, point 46).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
ELnet DROIT EUROPÉEN DES AFFAIRES
Retrouvez l’ensemble des dispositions européennes en matière sociale, fiscale, économique et commerciales.
à partir de 289.59€ HT/mois
ELnet DROIT EUROPÉEN DES AFFAIRES