A l’aune d’une ère numérique émergente, les données occupent une place prépondérante dans le paysage des entreprises. Depuis 2018, le règlement sur la protection des données personnelles (RGPD) exige la nomination d’un délégué à la protection des données (DPO) pour garantir la conformité des entreprises aux réglementations en vigueur.
Le RGPD accompagne le DPO dans cette quête de neutralité. Ainsi, la personne sélectionnée pour exercer cette mission doit posséder le statut de délégué à la protection des données, qu’elle soit un membre du personnel de l’entreprise ou un professionnel externe. Selon l’article 37.1 du RGPD, il est donc spécifiquement désigné par un responsable de traitement.
Par ailleurs, le délégué à la protection des données doit adhérer aux principes fondamentaux énoncés par le RGPD. Cela implique qu’il bénéficie d’une indépendance fonctionnelle totale, qu’il n’est soumis à aucune directive et qu’il rend des comptes à la plus haute instance de direction de l’entreprise.
Dans un jugement prononcé le 22 juin 2022, la Cour de justice de l’Union européenne (CJUE) réaffirme une fois de plus le principe de neutralité en reprenant les trois critères susmentionnés. Cette contribution jurisprudentielle semble renforcer le régime de protection du DPO. Cependant, les décisions de la CJUE tendent plutôt à le fragiliser en favorisant une responsabilité atténuée du responsable de traitement.
- Fausse présomption d’irresponsabilité pénale
Le jugement de la CJUE met en évidence une fausse présomption d’immunité pénale du DPO. En effet, l’article 38 du RGPD dispose que “le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions“. Ainsi, même en cas de désaccord sur la gestion de l’entreprise, un DPO agissant de manière diligente dans l’exercice de ses fonctions ne peut être licencié par son responsable de traitement.
Cependant, cette clause d’exemption pénale s’applique uniquement au responsable de traitement du DPO. L’article 38 du RGPD ne protège ni les actions individuelles (telles qu’une personne s’estimant victime d’une infraction), ni les sanctions émises par un ordre professionnel (tels que les avocats exerçant la fonction de DPO externalisé).
- Concrétisation des cas d’éviction
Dans ce jugement, la CJUE intervient pour éclaircir la double interprétation de l’article 38 concernant la notion de “fonction” exercée par le DPO. En effet, cette définition pourrait impliquer à la fois le licenciement du DPO et le retrait de ses responsabilités. Confrontée à cette lacune juridique, la CJUE ajoute que le responsable de traitement ne peut procurer un “ désavantage” au DPO ni même lui infliger de sanctions. Cette précision vise à contrer toute tentative de pression de la part du responsable de traitement, qui pourrait inciter le DPO à se retirer de ses fonctions.
- Le caractère subsidiaire du régime
En accordant au droit des données personnelles le statut de droits fondamentaux, la CJUE affirme la suprématie de ce droit par rapport à celui de la protection du DPO. Cependant, cette hiérarchisation peut pousser le DPO à se retirer en cas de conflit d’intérêts résultant d’un cumul de fonctions. En d’autres termes, lorsque les missions du DPO entrent en contradiction avec la protection des données personnelles, ces dernières seront toujours privilégiées au détriment du professionnel agissant dans l’exercice de ses fonctions.
En outre, cette décision ouvre la voie au responsable de traitement pour engager la responsabilité du DPO en cas de “lacunes” dans l’exercice de ses fonctions. Cela remet en question la notion de licenciement “objectif” précédemment établie par la CJUE. En effet, ces manquements identifiés par le responsable de traitement à l’aide d’indicateurs subjectifs de la Commission nationale de l’informatique et des libertés (CNIL) compromettent le principe d’indépendance du DPO.
- Un contrôle distant de la CNIL
La CNIL a plusieurs fois été soumise à l’évaluation d’un conflit d’intérêt entre le DPO et le responsable de traitement. Finalement, cette dernière se déclare toujours incompétente pour trancher d’un tel litige, en se bornant à un contrôle des règles générales sur la protection des données personnelles. En s’appuyant sur les §2 et §3 de l’article 38 du RGPD, la CNIL refuse systématiquement de reconnaître la responsabilité du responsable de traitement, sans analyser au préalable les reproches qui ont pu être invoqués à l’encontre du DPO.
Cette situation crée une certaine confusion entre les manquements établis par le RGPD et ceux nécessitant une enquête approfondie. Par exemple, il arrive souvent que le DPO “passe outre les chaînes hiérarchiques en s’adressant directement aux collaborateurs d’une équipe sans l’approbation du chef de celle-ci” (cf. CE, 21 oct 2022, n°459254, considérant 11). Ces manquements peuvent être expliqués par un critère d’urgence, voire parfois par une obstruction réelle de la part du responsable de traitement cherchant à placer le DPO dans une situation délicate. Par conséquent, la responsabilité du DPO ne devrait pas automatiquement être engagée dans de telles circonstances.
- Des juridictions spécialisées ?
Face à l’inefficacité de la CNIL dans ce domaine, et étant donné le niveau de technicité requis, Bruno Roussel, DPO en administration, propose la spécialisation territoriale de certaines juridictions comme solution.
Le rôle du DPO est crucial car il comprend toutes les missions liées à la protection des données personnelles, aussi bien pour les entreprises européennes que pour celles opérant en dehors de l’Union européenne et traitant les données personnelles des citoyens de l’UE. Il est alors impératif de renforcer le cadre réglementaire du DPO afin d’établir un socle jurisprudentiel solide pour l’avenir de la profession.
Amandine Derouet
Master 2 Cyberjustice – Promotion 2023/2024
Sources :
Définition du responsable de traitement art. 4,7 du RGPD
L’indépendance fonctionnelle RGPD, cons 97
Art. 38,3 du RGPD, aucune instruction
Rendre des comptes à la direction : CJUE, 22 juin 2022, cons 3.
Désignation du DPO par le responsable de traitement art.37, 1
Irresponsabilité pénale du DPO à l’égard de son responsable de traitement
Impact du RGPD sur les entreprises en dehors de l’UE : CJUE, 6 oct 2020, La Quadrature du Net
Le RGPD ne fait pas obstacle au licenciement du DPO
Bruno Roussel, “Une jurisprudence à double tranchant pour le régime de protection du DPO”, Les revues LexisNexis Communication commerce électronique- Propriété intellectuelle, droits des réseaux et des médias, octobre 2023, n°20, p.6.
