Être délégué à la protection des données (DPO ou DPD) de son entreprise protège-t-il du licenciement ?

La mise en place du RGPD dans les entreprises a conduit de nombreux employeurs à confier des fonctions de DPO à des salariés.

Les salariés qui se sont vu confier cette mission sensible bénéficient d’une protection particulière leur permettant d’exercer leur fonction en toute indépendance.

Cette protection est directement prévue dans le texte de la loi informatique et libertés intégrant le RGPD.

L’idée du législateur était d’éviter que le délégué à la protection des données (DPO ou DPD) ne soit « relevé de ses fonctions ou pénalisé » par l’employeur en raison de ses actions pour protéger les données personnelles (RGPD, art. 38).

Mais peut-on parler de salarié protégé au sens du droit du travail ?

En d’autres termes, l’employeur souhaitant licencier un salarié DPO doit-il, en plus du respect de la procédure légale habituelle, obtenir l’autorisation préalable de l’inspecteur du travail ?

Le Ministre du travail avait déjà répondu en 2019 lors d’une session de questions du Sénat par la négative.

Le Conseil d’’Etat confirme cette position.

Le salarié qui est DPO peut être licencié sans l’autorisation préalable de l’inspecteur du travail même quant à son activité de DPO.

Il suffit de démontrer qu’il ne possède plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitte pas de celles-ci conformément aux règles de protection des données personnelles (CE lecture du 21 octobre 2022, ECLI:FR:CECHR:2022:459254.20221021 Décision n° 459254).

De même, ledit salarié peut également être sanctionné ou licencié à raison de manquements aux règles internes de son entreprise, applicables à tous les salariés.

Notons cependant que ces règles internes doivent être compatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD.

De même pour la CJUE, le RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délégué au sein de l’entreprise soit sanctionné ou licencié à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD (CJUE, 22 juin 2022, aff. C-534/20).

Source