Le délégué à la protection des données : un statut qui protège contre le licenciement ?

Devenue un véritable enjeu en entreprise, la protection des données nécessite parfois de faire appel à un délégué à la protection des données. Toutefois, son statut reste souvent mal connu par les entreprises. Dès lors se pose la question de savoir si un employeur a la possibilité de le sanctionner… voire de le licencier ?

Obligatoire pour certaines entreprises (comme les entreprises qui traitent des données dites « sensibles » à grande échelle), la désignation d’un délégué à la protection des données (communément appelé DPO), est recommandée par la Commission nationale de l’informatique et des libertés (Cnil) pour les autres entreprises, afin d’assurer le respect du règlement général sur la protection des données (RGPD).

Pour rappel, le DPO a plusieurs missions parmi lesquelles, l’information et le conseil du responsable du traitement ou du sous-traitant, ainsi que des employés qui procèdent au traitement, le contrôle du respect du RGPD, etc.

De son côté, l’employeur doit veiller à ce que le DPO ne reçoive aucune instruction en ce qui concerne ses missions afin de pouvoir les exercer en toute indépendance. De plus, le RGPD prévoit que ce dernier ne peut pas être relevé de ses fonctions ou pénalisé en raison de l’exercice de ses missions.

DPO : une protection « absolue » ?

Ainsi, dans une récente affaire, une DPO s’est appuyée sur cette règle pour contester son licenciement, rappelant que son statut faisait obstacle à ce type de sanction.

Un argumentaire écarté par l’employeur pour qui le licenciement faisait ici suite à des carences de cette DPO dans l’exercice de ses fonctions. Un manquement qui s’ajoutait au fait qu’elle ne respectait pas les règles internes de la société.

Une situation examinée attentivement par la CNIL qui en a conclu que dès lors qu’un DPO ne possède plus les qualités professionnelles requises pour l’exercice de ses missions ou qu’il ne s’acquitte pas de celles-ci conformément au RGPD, il peut être licencié… sans que cela ne fasse obstacle à l’exigence de protection de l’indépendance fonctionnelle du DPO posée par le RGPD.

Ainsi, s’appuyant sur les observations de la CNIL, le juge a pu conclure que le licenciement de cette DPO était bien fondé.

Grâce à cette décision, les limites de l’indépendance fonctionnelle du DPO sont désormais précisées : si le RGPD a pour principal objectif de protéger le DPO dans le cadre de ses missions, il ne fait pas obstacle à tout licenciement.

Attention toutefois, cette décision étant récente et unique, pour le moment, il convient non seulement de rester prudent avant d’envisager de prononcer une sanction contre un DPO, mais aussi de suffisamment déterminer les motifs qui pourraient entraîner une telle décision.

*Arrêt du Conseil d’État du 21 octobre 2022, n°459254