La protection du DPO n’empêche pas son licenciement

Le Règlement Général sur la Protection des Données (RGPD) a mis en place en 2018 le statut de « Délégué à la protection des données », appelé aussi DPO (pour l’anglais « Data Protection Officer »).

Le DPO est chargé de piloter la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné : il apporte son expertise à la Direction afin que celle-ci puisse s’assurer de la conformité des traitements de données, et diffuse les règles relatives à la protection des données à appliquer au sein de la structure.

Sa nomination est obligatoire au sein des entités réalisant un traitement de données personnelles à  un haut niveau, notamment lorsque les données traitées sont sensibles : données médicales, condamnation pénales…

Afin de réaliser à bien ses missions, le DPO bénéficie d’une indépendance : il ne doit recevoir aucune instruction en ce qui concerne l’exercice de ses missions. Par ailleurs, il ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

S’est alors posée la question de savoir si cela signifiait que le DPO bénéficiait du statut de salarié protégé, à l’instar des représentants du personnel.

En juin 2022, la Cour de Justice de l’Union Européenne avait déjà affirmé que cette protection ne faisait pas obstacle au licenciement du DPO s’il ne possède pas les qualités professionnelles requises pour exercer ses missions ou qui ne s'acquitterait pas de celles-ci conformément au RGPD.

Le 21 octobre 2022, le Conseil d’Etat a repris la position de la CJUE : une salariée avait été licenciée suite à de nombreuses défaillances dans l’exercice de ses fonctions de DPO et à des manquements aux règles internes de l'entreprise applicables à tout le personnel. Elle avait alors saisit la CNIL pour manquement de l’employeur au RGPD, qui a affirmé que « l'exigence de protection des données ne faisait pas obstacle, par principe, à ce que l'employeur puisse reprocher à la salariée des carences dans l'exercice de ses fonctions ainsi que le non-respect des règles internes à l'entreprise, dont il n'est pas allégué qu'elles étaient incomptables avec l'indépendance fonctionnelle du DPO ».

La salariée a alors saisit le Conseil d’Etat, qui confirma la position de la CNIL : il rejette la requête, car la CNIL n’a commis aucune erreur de droit, ni aucune erreur manifeste.

A ce titre, le Conseil d’Etat confirme que la protection du DPO ne doit pas être assimilée à celle des salariés protégés prévue par les articles L2411-1 et suivants du code du travail.