Arrêt CJUE C‑534/​20 du 22 juin 2022

L’affaire portée devant la Cour de justice de l’Union euro­péenne (CJUE)

A. exerce, depuis le 1^er février 2018, la fonc­tion de délé­guée à la protec­tion des données au sein de la société B. (Allemagne). En vertu de l’art. 6 du Bundesdatenschutzgesetz (loi fédé­rale alle­mande sur la protec­tion des données ; BDSG), la société B. est tenue de dési­gner un délé­gué à la protec­tion des données en sa qualité d’autorité publique. En juillet 2018, la société B. licen­cie A. avec préavis, en se préva­lant d’une mesure de restruc­tu­ra­tion de la société, dans le cadre de laquelle le service de protec­tion des données est externalisé.

A. saisit les juges du fond en contes­ta­tion de la vali­dité de son licen­cie­ment. Ils lui donnent raison en inva­li­dant le licen­cie­ment dès lors que, confor­mé­ment aux dispo­si­tions combi­nées de l’art. 38 par. 3 RGPD et de l’art. 6 BDSG, A. pouvait unique­ment, du fait de sa qualité de délé­guée à la protec­tion des données, être licen­ciée sans préavis pour motif grave. Or, la mesure de restruc­tu­ra­tion décrite par la société B. ne consti­tue pas un tel motif.

La société B. intro­duit recours auprès du Bundesarbeitsgericht (Cour fédé­rale du travail alle­mande), qui se demande si le RGPD auto­rise une régle­men­ta­tion d’un État membre qui subor­donne le licen­cie­ment d’un délé­gué à la protec­tion des données à des condi­tions plus strictes que celles prévues par le droit de l’UE. Pour répondre à cette inter­ro­ga­tion, la Bundesarbeitsgericht porte l’affaire devant la CJUE sous la forme d’une demande préju­di­cielle. Le 22 juin 2022, elle rend l’arrêt ici commenté en rete­nant ce qu’il suit.

La dispo­si­tion topique en l’espèce est l’art. 38 par. 3 RGPD. Elle dispose que le délé­gué à la protec­tion des données ne peut être relevé de ses fonc­tions ou péna­lisé par le respon­sable du trai­te­ment ou le sous-trai­tant pour l’exer­cice de ses missions.

Dans son arrêt, la CJUE débute par indi­quer que cette dispo­si­tion ne s’oppose pas à une régle­men­ta­tion natio­nale prévoyant qu’un respon­sable du trai­te­ment ou un sous-trai­tant puisse unique­ment licen­cier un délé­gué à la protec­tion des données membre de son person­nel pour un motif grave. Ce raison­ne­ment est appli­cable même si le licen­cie­ment n’est pas lié à l’exercice des missions de ce délé­gué, pour autant qu’une telle régle­men­ta­tion ne compro­mette pas la réali­sa­tion des objec­tifs du RGPD.

Ensuite, la CJUE souligne que l’interdiction faite au respon­sable du trai­te­ment ou au sous-trai­tant de rele­ver un délé­gué à la protec­tion des données de ses fonc­tions ou de le péna­li­ser signi­fie que ce délé­gué doit être protégé contre toute déci­sion par laquelle il serait mis fin à ses fonc­tions, par laquelle il subi­rait un désa­van­tage ou qui consti­tue­rait une sanc­tion ; une mesure de licen­cie­ment peut consti­tuer une telle déci­sion. La CJUE précise que cette dispo­si­tion s’applique tant au délé­gué à la protec­tion des données qui est un membre du person­nel du respon­sable du trai­te­ment ou du sous-trai­tant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers. La dispo­si­tion a donc voca­tion à s’appliquer aux rela­tions entre un délé­gué à la protec­tion des données et un respon­sable du trai­te­ment ou un sous-trai­tant, indé­pen­dam­ment de la nature de la rela­tion de travail unis­sant ce délé­gué à ces derniers. Elle fixe donc une limite qui consiste à inter­dire le licen­cie­ment d’un délé­gué à la protec­tion des données pour un motif tiré de l’exercice de ses missions, à savoir le contrôle du respect des dispo­si­tions du droit de l’Union ou du droit des États membres en matière de protec­tion des données ainsi que des règles internes du respon­sable du trai­te­ment ou du sous-trai­tant en matière de protec­tion des données à carac­tère personnel.

La CJUE pour­suit en exami­nant l’objectif pour­suivi par l’art. 38 par. 3 RGPD. Le RGPD mentionne que les délé­gués à la protec­tion des données, qu’ils soient ou non des employés du respon­sable du trai­te­ment, devraient être en mesure d’exercer leurs fonc­tions et missions en toute indé­pen­dance, confor­mé­ment à l’objectif du RGPD. Ainsi, l’objectif visant à garan­tir l’indépendance fonc­tion­nelle du délé­gué à la protec­tion des données suppose que celui-ci ne reçoive aucune instruc­tion en ce qui concerne l’exercice de ses missions, qu’il fasse direc­te­ment rapport au niveau le plus élevé de la direc­tion du respon­sable du trai­te­ment ou du sous-trai­tant et qu’il soit soumis au secret profes­sion­nel ou à une obli­ga­tion de confi­den­tia­lité. Partant, cette dispo­si­tion vise à préser­ver l’indépendance du délé­gué à la protec­tion des données, dans la mesure où cette dispo­si­tion le protège contre toute déci­sion en rela­tion avec ses fonc­tions qui mettrait fin à celles-ci, lui ferait subir un désa­van­tage ou consti­tue­rait une sanc­tion. Toutefois, cette dispo­si­tion ne vise pas à régir globa­le­ment les rela­tions de travail entre un respon­sable du trai­te­ment ou un sous-trai­tant et les membres de son personnel.

Enfin, s’agissant du contexte dans lequel s’inscrit cette dispo­si­tion, la CJUE précise que, hormis la protec­tion spéci­fique du délé­gué à la protec­tion des données prévue, la protec­tion contre le licen­cie­ment d’un délé­gué à la protec­tion des données employé par un respon­sable du trai­te­ment ou par un sous-trai­tant ne relève pas de règles pouvant être adop­tées sur la base du RGPD, mais bien du domaine de la poli­tique sociale. Chaque État membre est libre, dans l’exercice de sa compé­tence, de prévoir des dispo­si­tions parti­cu­lières plus protec­trices en matière de licen­cie­ment du délé­gué à la protec­tion des données, pour autant que ces dispo­si­tions soient compa­tibles avec les dispo­si­tions du RGPD. En parti­cu­lier, une telle protec­tion accrue ne saurait compro­mettre la réali­sa­tion des objec­tifs du RGPD. Or tel serait le cas si la dispo­si­tion empê­chait tout licen­cie­ment, par un respon­sable du trai­te­ment ou par un sous-trai­tant, d’un délé­gué à la protec­tion des données qui ne possè­de­rait plus les quali­tés profes­sion­nelles requises pour exer­cer ses missions ou qui ne s’acquitterait pas de celles-ci.

Il résulte de ce qui précède que l’art. 38 par. 3 RGPD doit être inter­prété en ce sens qu’il ne s’oppose pas à une régle­men­ta­tion natio­nale prévoyant qu’un respon­sable du trai­te­ment ou un sous-trai­tant ne peut licen­cier un délé­gué à la protec­tion des données qui est membre de son person­nel que pour un motif grave, même si le licen­cie­ment n’est pas lié à l’exercice des missions de ce délé­gué, pour autant qu’une telle régle­men­ta­tion ne compro­mette pas la réali­sa­tion des objec­tifs du RGPD.

Qu’en est-il en sous l’angle de la nouvelle Loi fédé­rale du 25 septembre 2020 sur la protec­tion des données (nLPD) ?

En Suisse, il faut distin­guer le Préposé à la protec­tion des données et à la trans­pa­rence (PFPDT) des conseillers à la protec­tion des données privés et publics.

Le PFPDT est élu par l’Assemblée fédé­rale (art. 43 al. 1 nLPD). Ses rapports de travail sont régis par la Loi du 24 mars 2000 sur le person­nel de la Confédération (LPers ; RS 172.220.1) pour autant que la nLPD n’en dispose pas autre­ment (art. 43 al. 2 nLPD). Tout comme le droit de l’Union, il exerce ses fonc­tions de manière indé­pen­dante et sans rece­voir ni solli­ci­ter d’instructions de la part d’une auto­rité ou d’un tiers (art. 43 al. 4 nLPD). La période de fonc­tion du PFPDT est limi­tée dans le temps, à savoir un mandat de 4 ans renou­ve­lable deux fois (art. 44 al. 1 nLPD). Il peut cepen­dant deman­der à l’Assemblée fédé­rale, moyen­nant le respect d’un délai de 6 mois, de mettre fin à ses rapports de travail pour la fin d’un mois (art. 44 al. 2 nLPD). Enfin, l’Assemblée fédé­rale peut révo­quer le PFPDT avant la fin de sa période de fonc­tion s’il a violé grave­ment ses devoirs de fonc­tion de manière inten­tion­nelle ou par négli­gence grave ou s’il a dura­ble­ment perdu la capa­cité d’exercer sa fonc­tion (art. 44 al. 3 nLPD). Ces dispo­si­tions sont préci­sées par l’Ordonnance de l’Assemblée fédé­rale du 17 juin 2022 concer­nant les rapports de travail du chef du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (FF 2022 1571).

S’agissant du conseiller à la protec­tion des données, les entre­prises en Suisse sont libres de nommer ou non un conseiller à la protec­tion des données (art. 10 al. 1 nLPD) contrai­re­ment à l’art. 37 par. 1 RGPD qui oblige, dans certains cas, les respon­sables de trai­te­ment à dési­gner un délé­gué à la protec­tion des données. Néanmoins, les organes fédé­raux doivent dési­gner un conseiller (art. 10 al. 4 nLPD cum art. 25 OPDo). Tout comme en droit de l’Union, le conseiller à la protec­tion des données veille au respect des pres­crip­tions de protec­tion des données au sein d’une entre­prise et prodigue au respon­sable du trai­te­ment des conseils en matière de protec­tion des données (art. 10 al. 2 nLPD). Il doit donc avoir les connais­sances profes­sion­nelles néces­saires pour exer­cer ses tâches, s’agissant notam­ment de la légis­la­tion en matière de protec­tion des données et des normes tech­niques rela­tives à la sécu­rité des données. De plus il doit exer­cer sa fonc­tion de manière indé­pen­dante par rapport au respon­sable du trai­te­ment et sans rece­voir d’instruction de celui-ci (art. 10 al. 3 nLPD). À l’inverse du PFPDT, ses rapports de travail ne sont pas réglés par la nLPD.

Il résulte de ce qui précède tout d’abord que seule la fin des rapports de travail du PFPDT sont réglés par la nLPD et l’Ordonnance de l’Assemblée fédé­rale du 17 juin 2022 concer­nant les rapports de travail du chef du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence. Il en va de même pour les conseillers à la protec­tion des données des organes fédé­raux. Cependant, la fin de leurs rapports de travail sont réglés par la LPers. S’agissant des conseillers à la protec­tion des données privés, le respon­sable du trai­te­ment a le choix entre dési­gner un colla­bo­ra­teur interne dont les rapports de travail seront régis en prin­cipe par un contrat de travail (art. 319 ss CO) ou un tiers dont les rapports seront en prin­cipe régis par un contrat de mandat (art. 394 ss CO). Ainsi, la nLPD mentionne les tâches et devoirs du conseiller, tandis que ses rapports de travail sont réglés parle Code des obli­ga­tions, qui offre aux respon­sables de trai­te­ment des motifs de rési­lia­tion plus éten­dus. Si une affaire simi­laire était soule­vée devant les tribu­naux suisses, ces derniers ne suivraient sans doute pas le même raison­ne­ment que la CJUE au vu de l’importance – réduite – du statut de conseiller à la protec­tion des données. La liberté contrac­tuelle en Suisse permet une plus grande diver­sité quant aux motifs de rési­lia­tion du contrat de travail ou de fin de mandat.