Le métier de délégué à la protection des données (Data protection officer ou encore DPO) est essentiel depuis l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018. En dehors du cas des entreprises relevant du secteur public, la désignation d’un DPO n’est obligatoire que pour les entreprises dont l’activité les conduit à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » et des données à caractère personnel relatives à des condamnations pénales et à des infractions.

Même dans les cas où l’entreprise n’en a pas formellement l’obligation, la Commission Nationale de l’Informatique et des Libertés (la CNIL) préconise de désigner une personne qui sera chargée de s’assurer de la mise en conformité des traitements au RGPD.

Aussi, la « culture de la protection des données personnelles » est en plein développement et la fonction de DPO est un métier en pleine évolution. Si la fonction de DPO est souvent exercée par un prestataire de service externe, elle peut également être directement exercée par un salarié du responsable du traitement. Comment concilier cette fonction particulière avec l’exécution habituelle du contrat de travail ?

1. Rôle du DPO dans l’entreprise.

Une nomination en interne, qu’elle soit facultative ou obligatoire, peut parfois s’avérer délicate à gérer, tant pour l’employeur que pour le salarié, au regard des exigences inhérentes à la fonction de DPO et notamment la nécessité de garantir son indépendance.

1.1. Le délicat statut de DPO salarié.

La personne qui a vocation à devenir DPO doit être nommée sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit, des pratiques en matière de protection des données, ainsi que de sa capacité à accomplir ses missions (Article 37.5 du RGPD), qui sont notamment les suivantes :
 Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent ;
 Contrôler le respect du règlement et du droit national en matière de protection des données ;
 Conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et en vérifier l’exécution ;
 Coopérer avec la Cnil et faire office de point de contact avec cette dernière sur les questions relatives au traitement.

Bien évidemment, le niveau d’expertise du DPO devra être ajusté en fonction du type d’opérations de traitement des données réalisées au sein de l’entreprise. Le salarié DPO devra donc bien veiller à se renseigner en amont de son embauche sur le niveau de complexité et le volume des données sensibles qui sont traitées, ou encore si l’organisme qui le recrute transfère systématiquement ou ponctuellement des données à caractère personnel hors de l’Union européenne [1].

1.2. Responsabilité du DPO et respect du RGPD.

Si la principale mission du DPO est de contrôler le respect du RGPD, cela ne signifie pas pour autant qu’il est personnellement responsable en cas de non-respect de celui-ci par le responsable de traitement qui l’emploie. En effet, c’est ce dernier, également l’employeur du DPO salarié, qui est tenu de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Par conséquent, c’est à lui et non au DPO d’effectuer, si besoin, une analyse d’impact relative à la protection des données.

Dans ces conditions, il peut être particulièrement intéressant pour les entreprises de faire appel à un DPO interne, afin de contrôler son embauche et son niveau de formation initiale, mais également le former en continu, et surtout mener une stratégie globale, en collaboration avec la Direction et les services informatiques.

De son côté, le salarié devra être particulièrement vigilant, au moment de son recrutement et/ou une fois en poste, à ce que l’employeur lui fournisse les moyens suffisants pour accomplir ses missions, ce qui implique notamment qu’il dispose du temps, de moyens matériels et humains suffisants, que l’employeur lui donne accès à toutes les informations utiles et surtout l’associe en amont à tous les projets impliquant des données personnelles.

2. Concilier droit du travail et statut du DPO interne.

Alors que le droit allemand prévoit des règles plus protectrices, le délégué à la protection des données ne bénéficie pas du statut de salarié protégé en droit du travail français, comme l’a rappelé le Ministre du Travail (Rép. Raynal n° 02896, JO 7 février 2019, Sénat quest. p. 109). Cependant, il bénéficie bien d’une protection dans l’exercice de ses fonctions, garantie par le RGPD.

2.1. Les garanties d’indépendance du DPO.

Compte tenu de ses missions, il est impératif que le DPO dispose d’un certain degré d’indépendance pour échapper à d’éventuelles pressions, qui pourraient être exercées par le responsable de traitement, qui est aussi son employeur. A ce titre, le RGPD prévoit des garanties destinées à permettre aux DPO d’exercer leurs fonctions et leurs missions en toute indépendance :
 Le DPO ne doit pas recevoir d’instructions sur la façon de traiter une affaire, comment instruire une plainte ou encore s’il y a lieu de consulter ou non l’autorité de contrôle. Il ne peut pas non plus être tenu d’adopter un point de vue déterminé sur une question liée à la législation en matière de protection des données.
 Il doit pouvoir faire directement rapport au niveau le plus élevé de la direction du responsable de traitement, c’est-à-dire son employeur, afin que le niveau auquel les décisions sont prises ait connaissance de ses avis et recommandations.
 Il ne peut pas être relevé de ses fonctions ou pénalisé du fait de l’accomplissement de ses missions. Concrètement, si le DPO considère qu’un traitement de données est risqué et conseille à son employeur de procéder à une analyse d’impact préalable, il ne pourra pas être pénalisé pour avoir formulé cet avis, si ce dernier n’est pas d’accord : cela vise à renforcer l’autonomie du DPO qui devrait pouvoir, dans le cadre de sa mission, faire clairement part d’un avis divergent au niveau le plus élevé de l’organisation de son employeur.

Cela signifie donc que le RGPD n’interdit les sanctions que si elles sont imposées au DPO en raison de l’exercice de ses missions de DPO. Plus généralement, cela signifie aussi que le DPO pourra toujours être licencié légitimement pour des motifs autres que l’exercice de ses missions de DPO (par exemple en cas de harcèlement, de vol ou autres fautes graves), ce qui peut engendrer une forme d’incertitude, tant pour les employeurs que les salariés. Récemment, la CJUE est venue rappeler que le licenciement d’un DPO salarié doit notamment demeurer possible dans le cas où le DPO « ne posséderait plus les qualités professionnelles requises pour exercer ces missions ou […] ne s’acquitterait pas de celles-ci conformément au RGPD » (Cour de justice de l’Union Européenne, 22 juin 2022).

2.2. Protection contre les conflits d’intérêts.

En outre, l’employeur responsable de traitement doit veiller à ce que les missions et tâches du DPO n’entrainent pas de conflit d’intérêts, notamment en raison des autres missions et tâches qui lui seraient confiées. Concrètement, le DPO ne pourra pas exercer une autre mission qui l’amènerait à déterminer les finalités et les moyens du traitement de données personnelles, car il serait alors juge et partie : il s’agit notamment des fonctions d’encadrement supérieur, comme les postes de directeur général, directeur financier, directeur opérationnel, médecin chef, responsable du département marketing ou encore responsable des ressources humaines ou du service informatique [2].

Il est donc fortement conseillé à un employeur qui envisage de recruter ou emploie déjà un DPO interne, de procéder à un audit des fonctions qui seraient incompatibles avec celles du DPO, surtout si ce dernier est susceptible d’exercer d’autres missions et tâches que celles de DPO.

3. Quelles pistes d’évolution pour encadrer le statut de DPO salarié ?

Plusieurs actions peuvent déjà être menées pour encadrer au mieux le statut de DPO salarié au regard de la législation actuelle, notamment sur les éléments suivants :
 L’embauche : les niveaux de qualification, d’expérience et donc de rémunération devront être déterminés conformément au RGPD, mais aussi en fonction de l’intensité et de la complexité du traitement de données pratiqué par l’employeur.
 Le contrat de travail : les missions du DPO, le secret professionnel et l’obligation de confidentialité devront être correctement fixés. Dans l’hypothèse où le salarié se verrait confier d’autres tâches que celles de DPO, il faudra préalablement déterminer les missions qui ne donneront pas lieu à la protection édictée par le RGPD et les distinguer de celles du DPO. Ces clauses devront bien entendu être en cohérence avec la rédaction de la lettre de mission.
 Le suivi de carrière : l’employeur responsable de traitement doit permettre au DPO de mettre à jour sa formation et vérifier qu’il dispose toujours des qualités lui permettant d’accomplir ses missions.
 Le suivi disciplinaire : une sanction ou un licenciement devront être strictement documentés selon les conditions fixées par le contrat de travail et la lettre de mission du DPO. De son côté, le salarié DPO devra être très vigilant sur les sanctions déguisées ou indirectes, comme les freins à l’avancement ou l’absence de promotion, ou simplement le refus de l’octroi d’avantages dont bénéficient les autres salariés. Le Comité européen de la protection des données précise d’ailleurs que ces sanctions n’ont pas à « effectivement être mises en œuvre » dans la mesure où la simple menace de ces dernières suffit pour être qualifiée comme une sanction envers un DPO pour l’exercice de ses activités.

Le statut protecteur de lanceur d’alerte, récemment amélioré par la loi du 21 mars 2022 (Loi 2022-401 du 21-3-2022), pourrait éventuellement être envisagé pour protéger le DPO interne, puisqu’il s’applique aux salariés qui constatent dans l’entreprise un risque grave pour la santé publique ou l’environnement. Néanmoins cette procédure n’est mise en œuvre qu’à un stade déjà critique, et les alertes demeurent rares malgré la protection qui en découle.

Reste que la Cour de justice de l’Union Européenne a récemment rappelé qu’il est possible aux États membres de prévoir une protection plus importante en faveur des DPO, en limitant par exemple le licenciement du DPO salarié à la commission d’une faute grave, même s’il agit en dehors de l’exercice de ses missions [3]. Cela constitue donc un encouragement qui sera peut-être entendu par le législateur afin de renforcer le statut du DPO salarié dans notre législation nationale.

Marion Narran-Finkelstein Avocat associé AGN Avocats - Droit social [->marion.narran@agn-avocats.fr] https://www.agn-avocats.fr/