Le licenciement du Data Protection Officer

La CJUE, dans le cadre d’une demande de décision préjudicielle portant sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase RGPD, examine si le droit national peut prévoir qu’un responsable de traitement ou un sous-traitant ne peut licencier un délégué à la protection des données (DPO) qui est membre de son personnel, que pour un motif grave, comme le prévoit le droit allemand. En d’autres termes, une règlementation d’un Etat membre subordonnant le licenciement d’un DPO à des conditions plus strictes que le droit de l’Union est-elle admissible ? (CJUE, arrêt du 22 juin 2022, Leistrit AG, C-534/20, EU :C :2022 :495 ; lien : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62020CJ0534&from=EN)

Photo de Mati Mango sur Pexels.com

La demande de décision préjudicielle a été présentée dans le cadre d’un litige opposant Leistritz AG à LH, qui exerçait les fonctions de déléguée à la protection des données au sein de cette société, au sujet de la rupture de son contrat de travail, motivée par une réorganisation des services de ladite société.

Les considérants 10 et 97 du RGPD énoncent : « (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. […] […] (97) […] [Les] délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance.

L’article 37 du RGPD, intitulé « Désignation du délégué à la protection des données », se lit comme suit : « 1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque : a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. […] 6. Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. […] »

L’article 38 du RGPD, intitulé « Fonction du délégué à la protection des données », prévoit, à ses paragraphes 3 et 5 : « 3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant. […] 5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres. »

L’article 39 du RGPD, intitulé « Missions du délégué à la protection des données », dispose, à son paragraphe 1, sous b) : « Les missions du délégué à la protection des données sont au moins les suivantes : […] b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ; […] »

En droit allemand, l’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 (BGBl. 2017 I, p. 2097) (ci-après le « BDSG »), intitulé « Fonction », dispose, à son paragraphe 4 : « La ou le délégué à la protection des données ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [(code civil), dans sa version publiée le 2 janvier 2002 (BGBl. 2002 I, p. 42, et rectificatifs BGBl. 2002 I, p. 2909, et BGBl. 2003 I, p. 738)]. Le licenciement d’un(e) délégué(e) à la protection des données est illégal, à moins que les faits n’autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de délégué(e) à la protection des données, le licenciement est illégal pendant un an, à moins que l’organisme public ne soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »

L’article 38 du BDSG, intitulé « Délégués à la protection des données d’organismes non publics », prévoit : « (1) En complément de l’article 37, paragraphe 1, sous b) et c), du [RGPD], le responsable du traitement et le sous-traitant désignent un(e) délégué(e) à la protection des données dès lors qu’ils emploient habituellement au moins dix personnes affectées en permanence au traitement automatisé de données à caractère personnel. […] (2) L’article 6, paragraphe 4, paragraphe 5, deuxième phrase, et paragraphe 6, est applicable ; toutefois, l’article 6, paragraphe 4, ne s’applique que lorsque la désignation d’un(e) délégué(e) à la protection des données est obligatoire. »

L’article 134 du code civil, dans sa version publiée le 2 janvier 2002 (ci-après le « code civil »), intitulé « Interdiction légale », se lit comme suit : « Tout acte juridique contraire à une interdiction légale est nul à moins que la loi n’en dispose autrement. »

L’article 626 du code civil, intitulé « Résiliation sans préavis pour motif grave », dispose : « (1) Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat

Les juges du fond saisis par LH de la contestation de la validité de son licenciement ont décidé que ce licenciement était invalide, dès lors que, conformément aux dispositions combinées de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG, LH pouvait uniquement, du fait de sa qualité de déléguée à la protection des données, être licenciée sans préavis pour motif grave. Or, la mesure de restructuration décrite par Leistritz ne constituerait pas un tel motif.

La juridiction de renvoi, saisie du recours en Revision formé par Leistritz, fait observer que, au regard du droit allemand, le licenciement de LH est nul en application de ces dispositions et de l’article 134 du code civil. Elle relève toutefois que l’applicabilité de l’article 38, paragraphe 2, et de l’article 6, paragraphe 4, deuxième phrase, du BDSG dépend du point de savoir si le droit de l’Union et, en particulier, l’article 38, paragraphe 3, deuxième phrase, du RGPD autorisent une réglementation d’un État membre subordonnant le licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union.

La  juridiction de renvoi demande, en substance, si l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué.

En premier lieu, s’agissant du libellé de la disposition en cause, il convient de rappeler que l’article 38, paragraphe 3, du RGPD dispose, à sa deuxième phrase, que « [l]e délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ». Le RGPD ne définit pas les termes « relevé de ses fonctions », « pénalisé » et « pour l’exercice de ses missions », figurant à cet article 38, paragraphe 3, deuxième phrase.

Cela étant, premièrement, conformément au sens de ces termes dans le langage courant, l’interdiction faite au responsable du traitement ou au sous-traitant de relever un délégué à la protection des données de ses fonctions ou de le pénaliser signifie que ce délégué doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction.  À cet égard, est susceptible de constituer une telle décision une mesure de licenciement d’un délégué à la protection des données qui serait prise par son employeur et qui mettrait fin à la relation de travail existant entre ce délégué et cet employeur ainsi que, partant, également à la fonction de délégué à la protection des données au sein de l’entreprise concernée.

Deuxièmement, l’article 38, paragraphe 3, deuxième phrase, du RGPD s’applique indistinctement tant au délégué à la protection des données qui est un membre du personnel du responsable du traitement ou du sous-traitant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers, conformément à l’article 37, paragraphe 6, du RGPD. Il s’ensuit que l’article 38, paragraphe 3, deuxième phrase, du RGPD a vocation à s’appliquer aux relations entre un délégué à la protection des données et un responsable du traitement ou un sous-traitant, indépendamment de la nature de la relation de travail unissant ce délégué à ces derniers.

Troisièmement, il convient de relever que cette disposition fixe une limite qui consiste à interdire le licenciement d’un délégué à la protection des données pour un motif tiré de l’exercice de ses missions, lesquelles comprennent, en particulier, en vertu de l’article 39, paragraphe 1, sous b), du RGPD, le contrôle du respect des dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ainsi que des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel.

En deuxième lieu, en ce qui concerne l’objectif poursuivi par l’article 38, paragraphe 3, deuxième phrase, du RGPD, il y a lieu de souligner, premièrement, que le considérant 97 de ce dernier énonce que les délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. À cet égard, une telle indépendance doit nécessairement leur permettre d’exercer ces missions conformément à l’objectif du RGPD, qui vise notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union

Deuxièmement, l’objectif visant à garantir l’indépendance fonctionnelle du délégué à la protection des données, tel qu’il découle de l’article 38, paragraphe 3, deuxième phrase, du RGPD, ressort également de cet article 38, paragraphe 3, première et troisième phrases, qui impose que ce délégué ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions et fasse directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant, ainsi que dudit article 38, paragraphe 5, qui prévoit, s’agissant de cet exercice, que ledit délégué est soumis au secret professionnel ou à une obligation de confidentialité.

Ainsi, l’article 38, paragraphe 3, deuxième phrase, du RGPD, en protégeant le délégué à la protection des données contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu’une telle décision serait en relation avec l’exercice de ses missions, doit être considéré comme visant essentiellement à préserver l’indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l’effectivité des dispositions du RGPD. Cette disposition n’a, en revanche, pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation de ces objectifs.

Cette interprétation est corroborée, en troisième lieu, par le contexte dans lequel s’inscrit ladite disposition et, en particulier, par la base juridique sur le fondement de laquelle le législateur de l’Union a adopté le RGPD.

En effet, il ressort du préambule du RGPD que celui-ci a été adopté sur le fondement de l’article 16 TFUE, dont le paragraphe 2 prévoit notamment que le Parlement européen et le Conseil de l’Union européenne, statuant conformément à la procédure législative ordinaire, fixent les règles relatives, d’une part, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et, d’autre part, à la libre circulation de ces données. En revanche, hormis la protection spécifique du délégué à la protection des données prévue à l’article 38, paragraphe 3, deuxième phrase, du RGPD, la fixation de règles relatives à la protection contre le licenciement d’un délégué à la protection des données employé par un responsable du traitement ou par un sous-traitant ne relève ni de la protection des personnes physiques à l’égard du traitement des données à caractère personnel ni de la libre circulation de ces données, mais du domaine de la politique sociale.

À cet égard, il y a lieu de rappeler, d’une part, que, en vertu de l’article 4, paragraphe 2, sous b), TFUE, l’Union et les États membres disposent, dans le domaine de la politique sociale, pour les aspects définis dans le traité FUE, d’une compétence partagée, au sens de l’article 2, paragraphe 2, TFUE. D’autre part, ainsi que le précise l’article 153, paragraphe 1, sous d), TFUE, l’Union soutient et complète l’action des États membres dans le domaine de la protection des travailleurs en cas de résiliation du contrat de travail.

Cela étant, ainsi qu’il résulte de l’article 153, paragraphe 2, sous b), TFUE, c’est par voie de directives que le Parlement et le Conseil peuvent arrêter des prescriptions minimales à cet égard, de telles prescriptions minimales ne pouvant, selon la jurisprudence de la Cour, au regard de l’article 153, paragraphe 4, TFUE, empêcher un État membre de maintenir ou d’établir des mesures de protection plus strictes, compatibles avec les traités.

Il s’ensuit que chaque État membre est libre, dans l’exercice de sa compétence retenue, de prévoir des dispositions particulières plus protectrices en matière de licenciement du délégué à la protection des données, pour autant que ces dispositions soient compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD, notamment son article 38, paragraphe 3, deuxième phrase. En particulier une telle protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait tout licenciement, par un responsable du traitement ou par un sous-traitant, d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD.

Eu égard aux considérations qui précèdent, il y a lieu de conclure que l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.

[Nous avions par ailleurs déjà traité, sur ce site, du contrat de travail du Data Protection Officer (https://droitdutravailensuisse.com/2021/07/13/le-contrat-de-travail-du-data-protection-officer-dpo/)]

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Licenciement abusif, Protection des données, RGPD, est tagué , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s