[Note sur la terminologie : délégué à la protection des données, abrégé DPD dans le texte ci-dessous ; soit Data Protection Office dans la version anglaise du RGPD ou DPO]

Extrait de l’arrêt CJUE X-FAB Dresden GmbH & Co. KG du 9 février 2023, C-453/21, ECLI:EU:C:2023:79 points 38 à 46 :

Par sa quatrième question, la juridiction de renvoi demande, en substance, dans quelles conditions l’existence d’un « conflit d’intérêts » [du DPO/DPD], au sens de l’article 38, paragraphe 6, du RGPD, est susceptible d’être constatée.

S’agissant, en premier lieu, du libellé de la disposition en cause, il convient de relever que, aux termes de l’article 38, paragraphe 6, deuxième phrase, du RGPD, « [l]e [DPD] peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».

Il résulte ainsi des termes de cette disposition, premièrement, que le RGPD n’établit pas d’incompatibilité de principe entre, d’une part, l’exercice des fonctions de DPD et, d’autre part, celui d’autres fonctions auprès du responsable du traitement ou de son sous-traitant. En effet, l’article 38, paragraphe 6, de ce règlement prévoit spécifiquement que le DPD peut se voir confier l’exécution d’autres missions et tâches que celles qui lui incombent en vertu de l’article 39 du RGPD.

Il n’en demeure pas moins, deuxièmement, que le responsable du traitement ou son sous-traitant doit veiller à ce que ces autres missions et tâches n’entraînent pas de « conflit d’intérêts ». Au regard de la signification de ces termes dans le langage courant, il y a lieu de considérer que, conformément à l’objectif poursuivi par l’article 38, paragraphe 6, du RGPD, le DPD ne saurait se voir confier l’exécution de missions ou de tâches qui serait susceptible de nuire à l’exercice de des fonctions qu’il exerce en tant que DPD.

S’agissant de cet objectif, il convient, en deuxième lieu, de relever que cette disposition vise essentiellement (… )  à préserver l’indépendance fonctionnelle du DPD et, partant, à garantir l’effectivité des dispositions du RGPD.

En troisième lieu, en ce qui concerne le contexte dans lequel s’inscrit l’article 38, paragraphe 6, du RGPD, il convient de relever que, selon l’article 39, paragraphe 1, sous b), du RGPD, le DPD a pour mission, notamment, de contrôler le respect du RGPD, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant.

Il s’ensuit, en particulier, qu’un DPD ne saurait se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant. En effet, conformément au droit de l’Union ou au droit des États membres en matière de protection des données, le contrôle de ces finalités et moyens doit être effectué de manière indépendante par le DPD.

La détermination de l’existence d’un conflit d’intérêts, au sens de l’article 38, paragraphe 6, du RGPD, doit être effectuée au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la quatrième question que l’article 38, paragraphe 6, du RGPD doit être interprété en ce sens qu’un « conflit d’intérêts », au sens de cette disposition, est susceptible d’exister lorsqu’un DPD se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu’il incombe au juge national de déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

(Texte de la décision : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=ecli%3AECLI%3AEU%3AC%3A2023%3A79)

Le raisonnement est évidemment transposable en droit suisse, le régime applicable au « Conseiller à la protection des données » figurant aux art. 10 et 23 al. 4 nLPD.

Sur le licenciement du Data Protection Officer en droit suisse :

Sur le contrat de travail du Data Protection Officer en droit suisse :

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)