Le délégué à la protection des données, aussi appelé DPO pour « Data Protection Officer », est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. La notion de DPO a été consacrée le 25 mai 2018, par le Règlement Général sur la Protection des données (RGPD) qui en réglemente la désignation, les fonctions, les missions et la certification dans son chapitre 4. Il lui octroie également une certaine protection qui n'est pas absolue, comme l'a précisé la CJUE. Une position entérinée par le Conseil d'Etat dans une décision du 21 septembre 2022.
Désignation et missions d'un DPO : bref rappel
La nomination d'un DPO est obligatoire notamment pour les structures dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées et pour les structures dont le traitement consiste en un traitement à grande échelle de données sensibles.
Même non obligatoire, la désignation d'un DPO est vivement recommandée lorsque l'organisme rencontre des problématiques relatives à la protection des données personnelles, les obligations de mise en conformité étant plus importantes et les sanctions encourues en cas de manquement plus lourdes.
Le DPO peut être interne ou externe à la structure (sans condition de seuil) ; il peut aussi être mutualisé (sous certaines conditions), qu'il s'agisse d'un DPO interne ou externe. Il n'existe pas de profil type de DPO mais la personne pressentie à cette fonction doit disposer d'un certain niveau de connaissances (expertise juridique et technique en matière de protection des données, connaissance du secteur d'activité, de la réglementation sectorielle et de l'organisation de la structure pour laquelle elle est désignée, compréhension des opérations de traitement, des systèmes d'information et des besoins de l'organisme en matière de protection et sécurité des données...).
Véritable chef d'orchestre de la conformité en matière de protection des données au sein de son organisme, le DPO est principalement chargé :
- d'informer et de conseiller le responsable de traitement ou le sous-traitant ainsi que leurs employés ;
- de contrôler le respect du droit européen et français en matière de protection des données ;
- de conseiller l'organisme sur la réalisation d'une analyse d'impact et d'en vérifier l'exécution ;
- de coopérer avec l'autorité de contrôle (la Cnil) et d'être le point de contact de celle-ci.
Remarque
il peut aussi, mais ce n'est pas obligatoire, tenir le registre des traitements et superviser les audits.
Pour lui permettre d'assurer ses missions, le responsable de traitement (l'entreprise, par exemple) doit s'assurer de son implication dans toutes les questions relatives à la protection des données, lui fournir les ressources nécessaires à la réalisation de ses tâches (ex. : formation, temps nécessaire, ressources financières et humaines), lui permettre d'agir en toute indépendance, lui faciliter l'accès aux données et aux opérations de traitement et veiller à l'absence de conflit d'intérêts.
Protection accordée au DPO par le RGPD
L'indépendance du DPO est une condition essentielle à la bonne réalisation de ses missions.
Ainsi, le RGPD prévoit que le responsable du traitement et le sous-traitant doivent veiller à ce que le DPO ne reçoive aucune instruction en ce qui concerne l'exercice de ses missions. Par ailleurs, le DPO ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016, art. 38 et 97).
Le DPO n'est pas un salarié protégé au sens du code du travail
Au-delà des dispositions prévues par le RGPD, le législateur français n'a pas entendu, selon le ministre du Travail, conférer au DPO le statut de salarié protégé au sens du droit du travail (pas de procédure particulière de licenciement ou de modification du contrat de travail notamment), tel qu'en bénéficient les représentants du personnel ou les conseillers prud'homaux par exemple (Rép. min. n° 2896 : JO Sénat Q, 7 févr. 2019, p. 712).
Ainsi, l'employeur peut donc licencier un DPO pour des raisons relevant de la législation du travail habituelle comme pour un vol, harcèlement ou pour une autre faute grave, par exemple.
Le DPO peut être sanctionné ou licencié pour des carences professionnelles ou des manquements aux règles internes à l'entreprise
Dans une décision du 22 juin 2022 (CJUE, 22 juin 2022, C-534/20), la CJUE a eu l'occasion de préciser le champ de la protection accordée au DPO par le RGPD. En protégeant le DPO contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, le RGPD vise essentiellement à préserver l'indépendance fonctionnelle du DPO et, partant, à garantir l'effectivité du RGPD.
En revanche, cette protection ne fait pas obstacle au licenciement d'un délégué qui ne posséderait pas les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD.
Cette protection n'a pas non plus pour objet de régir les relations de travail entre un responsable de traitement ou un sous-traitant et des membres de son personnel.
Un salarié exerçant les fonctions de DPO au sein d'une entreprise peut donc faire l'objet d'une sanction ou d'un licenciement à raison de manquements aux règles internes à l'entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l'indépendance fonctionnelle qui lui est garantie par le RGPD.
Dans un arrêt du 21 septembre 2022, le Conseil d'Etat reprend la position prise par la CJUE dans cette décision.
En l'espèce, une salariée embauchée pour exercer la fonction de DPO est licenciée suite à de nombreuses défaillances dans l'exercice de ses fonctions (absence de production d'une feuille de route pourtant demandée, alertes répétées de non-conformité non motivées et non documentées, absence de réponse aux sollicitations des salariés, absence de disponibilité délibérée) et à des manquements aux règles internes de l'entreprise applicables à tout le personnel (affranchissement des chaînes hiérarchiques, prise de congés sans avertir la hiérarchie en temps utile).
La salariée saisit alors la Cnil en faisant valoir que son employeur avait violé les dispositions du RGPD protégeant son indépendance :
- en la licenciant ;
- en ne lui ayant pas versé le taux maximum de sa prime de performance 2019 (sanction indirecte) ;
- en lui ayant donné des instructions en sa qualité de DPO.
Elle considère également que l'employeur ne lui a pas fourni les moyens nécessaires à l'exercice de sa mission.
L'employeur réfute avoir donné des instructions à la DPO, apporte la preuve que d'importantes ressources humaines et opérationnelles ont été octroyées à la DPO et expose que son licenciement résultait de défaillances dans l'exercice de ses fonctions. Il fait valoir en outre, que la salariée n'avait jamais fait l'objet de sanctions directes ou indirectes, la circonstance qu'elle n'ait pas obtenu le maximum de sa prime de performance 2019 tenant à ce qu'elle ne satisfaisait pas pleinement aux exigences liées à sa fonction.
La Cnil refuse de poursuivre l'employeur pour manquement au RGPD. Elle considère que « l'exigence de protection des données ne faisait pas obstacle, par principe, à ce que l'employeur puisse reprocher à la salariée des carences dans l'exercice de ses fonctions ainsi que le non-respect des règles internes à l'entreprise, dont il n'est pas allégué qu'elles étaient incompatibles avec l'indépendance fonctionnelle du DPO ».
La salariée saisit alors le Conseil d'Etat. Ce dernier considère qu'en ne donnant pas suite à la plainte de la salariée au regard de tous les éléments versés au dossier, la Cnil n'a commis aucune erreur de droit, ni aucune erreur manifeste. Il rejette la requête de la salariée.