Délégué indépendant ne rime pas avec absence de licenciement !

Délégué indépendant ne rime pas avec absence de licenciement !
Actualité Minute RGPD

Comme tout curieux qui se respecte, au sein de RGPD Academy, on aime bien aller grapiller des miettes d’actualité « RGPD » un peu partout. Parfois sur les réseaux sociaux (LinkedIn RGPD Academy), parfois en passant au peigne fin les actualités de la CNIL, du Comité européen de la protection des données, de l’ANSSI ou encore de l’AFCDP. On se tourne aussi régulièrement, vers les sites d’associations engagées dans la protection des personnes (NYOB, l’UFC que choisir, etc.), et aussi en consultant les newsletters de cabinets d’avocats spécialisés en protection des données.

C’est d’ailleurs en consultant la newsletter du cabinet HAAS Avocats que nous avons découvert une actualité qui nous avait échappée : une histoire de licenciement d’un délégué à la protection des données (la publication d’origine à lire ici).

On a dévoré l’article : ce sujet est particulièrement intéressant car il s’agit d’une première en France depuis l’entrée en application du RGPD en mai 2018. D’ailleurs, si on sait qu’un délégué à la protection des données peut être déchargé de ses fonctions (suite à un licenciement, une démission, un abandon de poste), on n’avait pas encore trouvé d’exemple concret de licenciement qui faisait débat.

Du coup, on a souhaité creuser un peu plus le sujet.

Commençons par ce que nous disent les textes de loi applicables sur la fin de mission du délégué à la protection des données.

  • Côté RGPD, c’est au sein de la section 4 du chapitre IV que vous trouverez les articles propres aux conditions de désignation d’un délégué à la protection des données, à ses fonctions et à ses missions.
  • Côté Loi Informatique et Libertés, l’article 57 fait d’ailleurs directement renvoi au texte du RGPD…  Entre ces deux textes, une seule phrase émerge : l’article 38, paragraphe 3 du RGPD, dispose que le délégué à la protection des données ne devrait pas être « relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

Pour avoir un peu plus d’informations sur le sujet, il faut donc se tourner vers la Soft Law : les Lignes directrices du Comité européen de la protection des données et les diverses publications de la CNIL.

Les lignes directrices adoptées le 13 décembre 2016, puis révisées et adoptées le 5 avril 2017 par le G29 (aujourd’hui Comité européen de la protection des données) porte sur le Délégué à la protection des données. On y trouve un passage entièrement dédié aux sanctions et licenciement d’un délégué à la protection des données (pages 18 à 19).

Il en ressort que la disposition de l’article 38, citée plus haut, est là pour renforcer l’indépendance des délégués à la protection des données. Si vous avez suivi la publication de nos minutes, vous devez le savoir. Le délégué à la protection des données doit bénéficier de garanties lui permettant d’agir de manière indépendante, c’est d’ailleurs ce que rappelle le considérant 97 du RGPD : « de tels délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, ils devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance ». (Pour la voir ou la revoir, c’est par ici)

Ce qui ressort également de cette disposition c’est que le RGPD interdit uniquement des sanctions qui seraient imposées au délégué à la suite de l’exercice de ses missions. La CNIL reprend ce raisonnement dans le Guide pratique du délégué à la protection des données. Un délégué ne doit pas se voir injustement relevé de ses fonctions ou pénalisé quand il remplit ses missions correctement. Par exemple « si le délégué conseille au responsable de traitement d’effectuer une analyse d’impact et que celui-ci n’est pas d’accord, ou consigne une analyse juridique ou technique en contradiction avec celle retenue par le responsable de traitement », ce dernier ne devrait pas être pénalisé du fait de ces actions (Guide pratique du délégué à la protection des données, page 32). 

En revanche, il n’est pas interdit de licencier un délégué à la protection des données. Si on reprend les lignes directrices du Comité, ceci est très clairement exprimé : « un DPD pourra toujours être licencié légitimement pour des motifs autres que l’exercice de ses missions de DPD (par exemple, en cas de vol, de harcèlement physique, moral ou sexuel ou d’autres fautes graves similaires) ». 

Revenons donc au contentieux découvert grâce au cabinet d’avocats. Dans notre affaire de licenciement, le délégué à la protection des données sortant a déposé une plainte auprès des services de la CNIL, en mettant en avant notamment son défaut d’indépendance. La CNIL a également interrogé l’organisme à l’origine du licenciement avant de se prononcer. En l’espèce, la CNIL se doit de contrôler les versions des deux parties (le délégué sortant et son ex-employeur) : l’enjeu est de vérifier si l’organisme a, ou au contraire, n’a pas respecté l’article 38 du RGPD. En effet, le licenciement abusif d’un délégué à la protection des données constitue une infraction au RGPD et justifie sa compétence sur le sujet. Ici, la CNIL n’est pas venue à la défense du délégué sortant en considérant que le licenciement n’était pas une infraction au RGPD.

En lisant la réponse du Conseil d’Etat, saisi d’une requête par le délégué licencié, son ex-employeur « a réfuté avoir donné des instructions à l’intéressé en sa qualité de délégué à la protection des données et a exposé que son licenciement résultait de défaillances dans l’exercice de ses fonctions […] ». L’ex-employeur a également précisé que le délégué sortant « n’avait jamais fait l’objet de sanctions directes ou indirectes ». De plus, un dernier élément mis en avant est que le délégué bénéficiait « d’importantes ressources humaines et opérationnelles ». Le Conseil d’état en conclut ainsi que, en plus d’être indépendant, l’ex délégué bénéficiait de garanties pour l’exercice de ses missions.

Ainsi, le Conseil d’état a pu se prononcer clairement sur le fait que « l’article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD », et a pu rappeler que la Cour de justice de l’Union européenne s’était déjà prononcée sur ce point dans son arrêt du 22 juin 2022 (C-534/20), Leistritz AG c/ LH. En effet, dans cette décision précédente, la CJUE indiquait que la disposition de l’article 38 visait essentiellement « à préserver l’indépendance fonctionnelle du délégué à la protection des données » mais ne faisait en aucun cas obstacle à son licenciement.

Que peut-on donc retenir de cette jurisprudence ?

On peut ici rappeler que le délégué à la protection des données n’est pas un acteur « protégé » : s’il est délégué externalisé, le contrat de prestation de services peut être rompu ; s’il est salarié, il peut être licencié.

Cette jurisprudence vient ici éclairer à la fois les employeurs et les délégués à la protection des données sur certaines garanties qui permettront de démontrer comment remplir les attentes des uns et des autres.

Côté employeur (responsable du traitement ou sous-traitant), bien qu’il nous manque certains éléments du dossier pour fournir une analyse complète, le Conseil d’état met en avant la question des ressources nécessaires prévues à l’article 38, paragraphe 2, du RGPD : des ressources nécessaires à l’exercice des missions d’un délégué à la protection des données, et qui favorisent la démonstration de son indépendance !

En l’espèce, le Conseil d’état a reconnu que les ressources suivantes étaient suffisantes : « une équipe de trois collaborateurs et un budget d’intervention important dont [le DPD] décidait de l’affectation », une fonction de délégué « à temps complet et à titre exclusif », « un comité de pilotage de la protection des données à caractère personnel réunissant des cadres dirigeants. »

Il peut donc être opportun de s’inspirer de ces ressources et de les adapter selon les moyens à disposition pour faciliter l’exercice des missions du délégué à la protection des données !

Côté délégué à la protection des données, on peut tirer des reproches formulés, certains conseils :

  • Rédiger une feuille de route (ou un plan d’actions) qui, présentée à la hiérarchie, permettra de détailler les actions nécessaires à mener, et, le cas échéant, permettra de les faire valider ;
  • Motiver ses recommandations et en garder une trace écrite (dans la feuille de route par exemple, mais également de manière continue), les recommandations peuvent être motivées du fait du texte même du RGPD, mais aussi grâce à la jurisprudence ou à la doctrine correspondante ;
  • Être réactif pour traiter les demandes internes comme externes, on vous le rappelle, le délégué à la protection des données est un point de contact pour divers acteurs et doit être à même de prendre en compte les demandes de chacun et de les traiter ;
  • Présenter un bilan de vos activités, au moins annuellement.

En bref, on vous recommande, en tant que délégué à la protection des données, ou même chargé de conformité, de tracer vos activités par écrit. Ces traces vous serviront à présenter le travail en cours et à rendre des comptes à votre employeur (et aussi à la CNIL).

Et si vous avez besoin d’être coaché ou accompagné, RGPD Academy et Actecil sont là pour vous.

Partager l'article

Articles similaires

La 18ème université des DPO organisé par l’AFCDP
Actualité Article RGPD

La 18ème université des DPO organisé par l’AFCDP

Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Lire la suite
Rappel à l’ordre de deux ministères par la CNIL
Actualité Article RGPD

Rappel à l’ordre de deux ministères par la CNIL

La CNIL (Commission Nationale de l’Informatique et Libertés) a récemment émis un rappel à l'ordre visant deux ministères, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, ainsi que le Ministère de la Transformation et de la Fonction Publiques.
Lire la suite