Le 21 octobre 2022, le Conseil d’État a rendu la décision n° 459254 en matière de protection des données personnelles.
Le Conseil d’État s’est prononcé sur :
 la motivation d’un refus de donner suite à une plainte déposée auprès de la Commission nationale de l’informatique et des libertés (ci-après « Cnil ») ;
 la protection d’un délégué à la protection des données (ci-après « DPO ») en cas de sanction disciplinaire ou de licenciement par l’organisme qui l’a désigné.

La nécessité pour la CNIL de motiver le refus de donner suite à l’exercice d’un droit d’accès.

En vertu de l’article 15 du Règlement général sur la protection des données personnelles (ci-après « RGPD »), l’exercice du droit d’accès [1] permet de savoir si des données vous concernant sont traitées par un organisme et d’en obtenir la communication dans un format compréhensible.

En l’espèce, une personne concernée par un traitement de données personnelles a demandé auprès de la société qui est responsable du traitement, d’exercer son droit d’accès.

La société n’a pas fait suite à la demande de la personne concernée.

La personne concernée a alors déposé une plainte auprès de la Cnil, qui a rejeté sa demande.

Selon le Conseil d’État,

« le refus de la Cnil de donner suite à une plainte fondée sur la méconnaissance du droit d’accès qu’une personne concernée tient des dispositions de l’article 15 du RGPD est au nombre des décisions administratives individuelles défavorables qui refusent un avantage dont l’attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l’obtenir, au sens et pour l’application du 6° de l’article L211-2 du Code des relations entre le public et l’administration, et qui doivent, à ce titre, être motivées ».

En d’autres termes, le Conseil d’État précise que la Cnil doit motiver sa décision de ne pas donner suite à une plainte fondée sur la méconnaissance du droit d’accès.

En l’espèce, le Conseil d’État a jugé que la décision de la Cnil n’est pas « entachée d’insuffisance de motivation ».

Un éclaircissement sur l’encadrement des modalités de licenciement d’un DPO [2].

Selon une définition [3] de la Cnil, le DPO est chargé de mettre en œuvre la protection des données personnelles au sein de l’organisme (public ou privé) qui l’a désigné.

Dans sa décision n°459254 du 21 octobre 2022, le Conseil d’État, qui s’appuie sur les dispositions du paragraphe 3 de l’article 38 du RGPD, éclairées par la Cour de justice de l’Union européenne dans son arrêt [4] du 22 juin 2022 (C-534/20), Leistritz AG c/ LH, a tenu à clarifier l’encadrement de la protection d’un DPO.

En premier lieu, le Conseil d’État estime que la préservation de l’indépendance fonctionnelle du DPO et la garantie de l’effectivité des dispositions du RGPD justifient qu’un DPO soit protégé contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou constituerait une sanction lorsqu’une telle décision serait en relation avec l’exercice de ses missions.

Le Conseil d’État précise que

« ces dispositions n’ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD ».

S’agissant du licenciement d’un DPO, le Conseil d’État ajoute qu’il peut être prononcé dans la mesure où le DPO ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou ne s’acquitterait pas de celles-ci conformément au RGPD.

Enfin, cette décision apporte une précision sur l’interprétation de l’article 38 [5] du RGPD, en affirmant que cet article ne fait pas obstacle à ce qu’un DPO soit licencié pour des manquements aux règles de l’entreprise qui ne portent pas atteinte à son indépendance.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/