Dans une décision rendue le 21 octobre 2022, le Conseil d’Etat est revenu sur la fonction de délégué à la protection des données (DPD ou DPO pour Data Protection Officer). Il a, en outre, apporté des précisions quant à la motivation des décisions rendues par la Commission nationale de l’Informatique et des Libertés (CNIL).
Quelles sont les décisions que la CNIL doit motiver ? Quels éléments peuvent-ils être invoqués à l’appui d’une sanction prononcée à l’encontre d’un DPO ? La violation de règles internes peut-elle être utilisée pour licencier un DPO ? Comment l’indépendance du DPO doit-elle être prise en compte ?
Pourquoi la CNIL avait-elle été saisie ?
A la suite de son licenciement, l’ancienne déléguée à la protection des données d’une société avait saisi la CNIL d’une plainte dirigée contre son ancien employeur.
Cette plainte comportait deux volets. D’une part, la plaignante indiquait que son ancien employeur avait méconnu la demande d’exercice de son droit d’accès qu’elle avait formulée. D’autre part, elle exposait que les conditions dans lesquelles elle exerçait sa fonction, ainsi que son licenciement, constitueraient des violations des articles 38 et 39 du RGPD relatifs à la mission et au statut du DPO.
Après avoir confronté les faits et griefs invoqués par l’ancienne DPO à la réponse de son ancien employeur, la CNIL a clôturé cette plainte sans y donner suite par une décision du 8 octobre 2021.
La plaignante a alors introduit un recours devant le Conseil d’Etat afin de voir annulée cette décision pour excès de pouvoir.
Plaintes auprès de la CNIL : l’obligation de motiver le classement sans suite dans certains cas
Dans le cadre de son recours, la requérante soulignait le manque de motivation du classement sans suite de sa plainte par la CNIL.
Sur ce point, le Conseil d’Etat effectue une distinction fondée sur l’article L211-2 du Code des relations entre le public et l’administration. Ce dernier énumère les décisions administratives devant obligatoirement faire l’objet d’une motivation. Cette liste inclut notamment, au point 6°, les décisions qui « refusent un avantage dont l’attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l’obtenir ».
Le Conseil d’Etat met en œuvre ce critère de l’impact sur la personne concernée par la décision pour déterminer le cadre d’une obligation de motivation par la CNIL de ses décisions.
En l’espèce, la décision de ne pas poursuivre les manquements allégués de la société aux règles relatives à la mission et au statut du DPO ne viole en rien les droits personnels de la requérante. Dès lors, pour le Conseil d’Etat, une telle décision n’avait pas à être motivée, et la requérante était mal fondée à reprocher un quelconque manquement sur ce point.
A l’inverse, la décision de la CNIL de ne pas donner suite à une plainte fondée sur la méconnaissance de son droit d’accès constitue, selon le Conseil d’Etat, une « décision administrative individuelle défavorable qui refuse un avantage dont l’attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l’obtenir ». Dès lors, l’autorité de contrôle était bien tenue à une obligation de motivation. En l’espèce, le Conseil d’Etat a retenu que cette obligation avait été honorée par la CNIL.
DPO : l’indépendance fonctionnelle n’exclut pas la sanction
La requérante alléguait la violation par son employeur du troisième paragraphe de l’article 38 du RGPD, ainsi rédigé :
« 3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. ».
Rappelons que le 22 juin dernier, la Cour de justice de l’Union européenne a admis, dans un arrêt Leistritz, que cette disposition ne s’oppose pas à la mise en place d’une réglementation nationale plus stricte, qui restreindrait la possibilité de licencier un DPO à des motifs graves.
Le Conseil d’Etat refuse cependant de déduire de l’article 38 précité et de cet arrêt, auquel il se réfère explicitement, une interdiction générale de sanctionner le DPO.
La haute juridiction souligne que « de telles dispositions visent essentiellement à préserver l’indépendance fonctionnelle du délégué à la protection des données et, partant, à garantir l’effectivité des dispositions du RGPD. ». Elles n’ont donc pas vocation à régir la globalité de la relation de travail entre le DPO et son employeur.
En l’espèce, le Conseil d’Etat décide qu’il n’y a pas lieu d’annuler la décision de la CNIL, cette dernière n’ayant pas commis d’erreur de droit, ni entaché sa décision d’erreur manifeste d’appréciation en retenant, au regard des pièces en sa possession, que le licenciement de la DPO ne constituait pas une violation du RGPD.
Selon les circonstances de l’espèce relevées dans la décision, les pièces versées aux débats démontraient d’une part, que « d’importantes ressources humaines et opérationnelles [avaient été] octroyées » à la DPO (notamment, une équipe de trois collaborateurs, un budget d’intervention important dont elle décidait de l’affectation). D’autre part, les griefs invoqués par la société à l’appui du licenciement de la requérante avaient trait à des défaillances dans l’exercice de sa fonction de DPO : absence de production d’une feuille de route demandée, alertes répétées de non-conformité non motivées et non documentées, absence de réponse aux sollicitations des salariés de la société, absence de disponibilité délibérée, non-respect de processus internes.
Que retenir ?
Les juges du Palais royal apportent des précisions quant à la gestion par la CNIL des plaintes qui lui sont soumises.
D’abord, en fonction du contenu de la plainte, la CNIL instaure un contradictoire en recueillant les éléments de réponse de l’entité mise en cause. Cette pratique n’est pas nouvelle. L’autorité de contrôle procédait déjà ainsi avant l’entrée en application du RGPD.
Par ailleurs, d’un point de vue procédural, il convient de souligne que lorsqu’une décision de la CNIL ne donne pas suite aux plaintes fondées sur l’exercice d’un des droits conférés par le RGPD à la personne concernée par le traitement de ses données personnelles, la décision qui en résulte doit être motivée.
Enfin, l’indépendance du DPO exigée par le RGPD ne fait pas obstacle à ce que ce dernier soit sanctionné pour des carences ou défaillances dans l’exercice de sa fonction.
La violation de règles internes de l’entité qui l’a désigné peut aussi être invoquée. A cet égard, une potentielle limite semble toutefois être indirectement dessinée par le Conseil d’Etat :
« 12. En estimant que l’exigence de protection de l’indépendance fonctionnelle du délégué à la protection des données ne faisait pas obstacle, par principe, à ce que la société … puisse reprocher à l’intéressée des carences dans l’exercice de ses fonctions ainsi que le non-respect de règles internes à la société, dont il n’est pas allégué qu’elles étaient incompatibles avec l’indépendance fonctionnelle du délégué, la CNIL n’a pas commis d’erreur de droit. »
Paragraphe 12 de la décision du Conseil d’Etat
Ainsi, la solution aurait-elle pu être différente s’il avait été démontré que les règles internes étaient incompatibles avec l’indépendance fonctionnelle du DPO ?