La désignation d’un DPO est obligatoire pour les entreprises dont l’activité les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données sensibles. Son rôle consiste notamment à s’assurer de la mise en conformité des traitements avec le règlement général sur la protection des données (RGPD) et la loi Informatique et libertés.
Le DPO est indépendant dans l’exercice de ses missions, de sorte qu’il ne doit pas recevoir d’instructions pour l’exercice de celles-ci, ni faire l’objet d’une sanction ou d’un licenciement en raison de l’accomplissement de ses fonctions.
Toutefois, dans son arrêt du 21 octobre 2022, le Conseil d’Etat vient poser des limites à cette protection, rappelant ainsi que le DPO n’est pas un salarié protégé au sens du droit du travail.
En l’espèce, à la suite de son licenciement, une DPO a saisi la Commission nationale de l’informatique et des libertés (Cnil). Elle entendait faire juger son licenciement comme contraire au principe d’indépendance et de non-sanction du DPO dans l’exercice de ses missions fixé par le RGPD, dans la mesure où son employeur lui avait reproché des défaillances dans l’exercice de ses fonctions (absence de production d’une feuille de route demandée, alertes répétées de non-conformité non motivées et non documentées, absence de réponse aux sollicitations des salariés de la société et absence de disponibilité délibérée, en sus du non-respect de processus internes à la société).
Toutefois, la Cnil n’a pas donné suite à la plainte de la DPO en considérant que son indépendance ne faisait pas obstacle à ce que la société employeur puisse lui reprocher des carences dans l’exercice de ses fonctions.
Le Conseil d’Etat a validé cette appréciation en jugeant que le RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de DPO au sein de l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD.
Ainsi, pour la première fois, le Conseil d’Etat est venu affirmer que la protection accordée au DPO n’est pas absolue et que celui-ci ne saurait donc être assimilé à un salarié protégé au sens du droit du travail.
CE, 21 oct. 2022, n° 459254