Le Délégué à la Protection des données (DPD), plus connu sous le nom Data Protection Officer (DPO), est le garant de la conformité des entreprises au Règlement général sur la protection des données (RGPD).

Son rôle est multiforme : il peut exercer sa mission aussi bien comme prestataire externe que comme salarié de l'entreprise.

Néanmoins, sous cette dernière forme où le DPO serait pleinement intégré à l'entreprise, son degré de protection en tant que salarié reste une question primordiale.

Quelle protection est conférée au DPO par le RGPD ?

En effet, en tant que salarié, le DPO est soumis à un lien de subordination au profit de son employeur, comme pour toute relation de travail. Cependant, le RGPD prévoit que le DPO doit être indépendant dans l'exercice de ses fonctions.

L'article 38§3 du RGPD dispose ainsi que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l'exercice de ses fonctions ».

Ainsi, le DPO ne peut pas encourir de sanctions pour avoir réalisé les missions qui lui sont conférées dans le cadre du RGPD.

Le Comité européen de la protection des données (CEPD – anciennement G29) a précisé dans des lignes directrices quelles sanctions (directes ou indirectes) ne peuvent pas être mises en place à l'égard du DPO :

  • Absence de promotion ;
  • Retard dans la promotion ;
  • Freins à l'avancement de la carrière ;
  • Refus de l'octroi d'avantages dont bénéficient d'autres travailleurs.

Le CEPD précise que ces sanctions n'ont pas à « effectivement être mises en Suvre » dans la mesure où la simple menace de ces dernières suffit pour être qualifiée comme une sanction envers un DPO pour l'exercice de ses activités.

Le DPO salarié bénéficie-t-il d'une protection spécifique en droit français ?

Cette question se pose vis-à-vis du statut de « salarié protégé » dont le DPO pourrait éventuellement dépendre. Il s'agit du statut dont bénéficient notamment les représentants du personnel en entreprise, en vertu duquel leur licenciement suit une procédure beaucoup plus contraignante (autorisation préalable de l'inspecteur du travail, consultation des instances représentatives du personnel...).

En France, le Parlement n'a pas conféré cette protection au DPO, qui n'est donc pas un salarié protégé au sens du droit du travail.

Toutefois, le ministère du Travail a notamment rappelé que «si le législateur n'a pas entendu conférer au délégué à la protection des données le statut de salarié protégé au sens du droit du travail, il bénéficie néanmoins d'une large protection dans l'exercice de ses missions ».

En effet, même si le DPO n'est pas un salarié protégé, les dispositions du RGPD et l'indépendance inhérente à ses fonctions le protègent particulièrement dès lors qu'il agit dans l'exercice de ses missions.

La CJUE ouvre la voie à une protection encore plus importante du DPO

Par un arrêt du 22 juin 2022, la Cour de justice de l'Union Européenne a indiqué qu'il est possible pour les Etats membres de prévoir une protection sociale plus poussée en faveur du DPO.

En effet, la Cour relève que l'article 38§3 du RGPD ne s'oppose pas à ce que le DPO dispose d'un statut le protégeant davantage dès lors que cette protection ne compromet pas la réalisation des objectifs du règlement.

En particulier, la Cour note qu'il est possible de protéger le DPO en limitant son licenciement à la commission d'une faute grave, et ce même s'il agit en dehors de l'exercice de ses missions.

On pourrait alors facilement imaginer cette décision comme un appel du pied lancé aux Etats membres ayant pour but de les inciter à renforcer le statut des DPO dans leur législation nationale.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.