Par un arrêt rendu le 22 juin 2022, la Cour de justice de l’Union européenne (CJUE) a apporté des précisions sur la question du licenciement du délégué à la protection des données (DPD/DPO) salarié.
Plus précisément, elle se prononce sur l’articulation entre des dispositions de droit national allemand et l’article 38, paragraphe 3 du règlement général sur la protection des données (RGPD).
Ce dernier dispose que :
« Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».
(RGPD, article 38-3)
Le RGPD s’oppose-t-il à des règlementations nationales déclarant illégal le licenciement du DPO avec préavis du responsable de traitement, indépendamment de savoir si le licenciement est en lien avec l’exercice des missions du DPO ? Autrement dit, un État membre peut-il adopter des règles de licenciement du DPO dont les conditions sont plus strictes que les dispositions du RGPD ?
Un bref rappel des faits
Par lettre prenant effet le 15 août 2018, le DPO salarié désigné par une entreprise allemande avait été licencié dans le cadre d’une restructuration de ladite entité.
Les juges du fond avaient estimé, en se fondant sur le droit allemand, que le licenciement était invalide car seul un licenciement sans préavis pour motif grave pouvait être prononcé à l’encontre de la DPO. En l’espèce, cela n’avait pas été le cas puisque « la mesure de restructuration ne constituerait pas un tel motif » (point 13 de l’arrêt). Le droit allemand prévoit en effet que le licenciement d’un DPO est illégal sauf si les faits autorisent l’organisme public ou privé qui l’a désigné à procéder à son licenciement pour motif grave sans respecter de délai de préavis (point 7 et 8 de l’arrêt).
La juridiction de renvoi a réaffirmé la nullité du licenciement au regard du droit allemand, mais a toutefois sursis à statuer pour effectuer un renvoi préjudiciel en interprétation de l’article 38 du RGPD. Elle a adressé trois questions à la CJUE, la première étant de savoir si le RGPD « devrait être interprété en ce sens qu’il s’oppose à des dispositions de droit national qui déclarent illégal le licenciement avec préavis du délégué à la protection des données par le responsable du traitement qui est son employeur, indépendamment du point de savoir si ce licenciement intervient en lien avec l’exercice des missions du délégué ». La réponse à cette question est primordiale puisqu’elle pourrait rendre le licenciement valide.
Quelle est la réponse de la CJUE ?
La Cour de Luxembourg rappelle d’abord que l’article 38 paragraphe 3 vise essentiellement à préserver l’indépendance fonctionnelle du DPO et à garantir l’effectivité des dispositions du RGPD. Cette disposition du RGPD n’a donc pas vocation à régir précisément les relations de travail entre un responsable de traitement ou un sous-traitant et les membres de son personnel, dont le DPO salarié désigné.
La CJUE précise aussi que les objectifs du RGPD seraient compromis si une réglementation nationale empêchait tout licenciement d’un DPO, même lorsque celui-ci « ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».
Point 35 de l’arrêt
A ces égards, la CJUE répond par la négative à la première question posée, en affirmant que « (…) l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut licencier un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD ». Ainsi, un État membre de l’Union européenne peut soumettre le licenciement du DPO à des conditions plus strictes (donc plus protectrices) sans méconnaitre le RGPD.
Quelles sont les répercussions de cette position sur le licenciement du DPO ?
A l’heure actuelle, aucune réglementation affinant les modalités de licenciement du délégué à la protection des données n’existe en France. Cette décision demeure toutefois pertinente en ce qu’elle rappelle que le DPO/DPD salarié ne bénéficie pas d’une protection absolue contre le licenciement. Elle précise également que le droit européen ne s’oppose pas à la définition par la réglementation des Etats membres de conditions de validité du licenciement d’un DPD/DPO.
Dans les mois à venir dans le cadre d’autres questions préjudicielles, la CJUE se prononcera à nouveau sur ce sujet, ainsi que sur l’éventuel conflit d’intérêts entre la fonction de DPO et celle de président du comité d’entreprise du responsable du traitement.
Mathias Avocats vous tiendra informé des apports de cette prochaine décision.