Données personnelles : Le DPO ne peut pas être « juge et partie »

Dans un arrêt récent, la CJUE précise la portée de la protection offerte aux DPO et les exigences d’indépendance qui s’appliquent à eux.

Dans le cadre d’un litige opposant une société de droit allemand à son salarié, démis de ses fonctions de délégué à la protection des données (« DPO » pour « data protection officer »), alors qu’il occupait également les fonctions de président du comité d’entreprise, la Cour fédérale du travail allemande a posé plusieurs questions préjudicielles à la Cour de Justice de l’Union Européenne (« CJUE ») qui peuvent être résumées comme suit :

• La première question était de savoir si les dispositions du RGPD qui prévoient que le DPO « ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions » s’opposent à ce que la réglementation nationale d’un Etat membre ajoute des conditions plus contraignantes pour mettre fin aux fonctions d’un DPO.
• La seconde question était de savoir s’il existe un conflit d’intérêts lorsque le DPO exerce également la fonction de président du comité d’entreprise du responsable de traitement.

Dans sa décision du 9 février 2023, affaire C‑453/21, la CJUE juge que la réglementation nationale en cause peut prévoir « qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPO qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué », sous réserve que ces conditions ne compromettent pas la réalisation des objectifs du RGPD, à savoir la protection des personnes physiques à l’égard du traitement des données personnelles mis en œuvre par les responsables de traitements.

En outre, la CJUE rappelle les dispositions de l’article 38-6 du RGPD, à savoir que le DPO peut se voir confier d’autres missions ou tâches à condition qu’il n’en résulte pas un conflit d’intérêts. La CJUE interprète la notion de « conflit d’intérêts » comme étant le fait, pour un DPO, de se voir confier d’autres missions ou tâches, qui le conduirait à déterminer les finalités et les moyens du traitement de données personnelles auprès du responsable de traitement ou de son sous-traitant. Il appartient désormais au juge national d’apprécier, au cas par cas, l’ensemble des circonstances pertinentes.