Dans une décision du 21 octobre 2022, le Conseil d’Etat a statué sur une décision de la CNIL ayant rejeté la demande d’un DPO concernant l’exercice de son droit d’accès et de ses fonctions en qualité de DPO.
Une personne exerçant des fonctions de délégué à la protection des données (« DPO ») a saisi la CNIL d’une plainte contre sa propre société, au motif (i) que l’exercice de son droit d’accès n’aurait pas connu les suites espérées et (ii) que les conditions d’exercice de ses fonctions de DPO ne seraient pas satisfaisantes. Le DPO reprochait notamment à son employeur (i) de lui avoir donné des instructions, (ii) de ne pas lui avoir octroyé le taux maximum d’une de ses primes de performance et (iii) de l’avoir licencié.
La plainte avait été rejetée par la CNIL, à la fois s’agissant de l’exercice du droit d’accès et s’agissant de l’exercice des fonctions de DPO. Sur ce dernier point, la CNIL avait considéré que l’exigence de protection de l’indépendance fonctionnelle du DPO ne faisait pas obstacle à ce que la société « puisse reprocher à l’intéressée des carences dans l’exercice de ses fonctions ainsi que le non-respect des règles internes à la société, dont il n’était pas allégué qu’elles étaient incompatibles avec l’indépendance fonctionnelle du délégué ».
Le DPO a formé un recours devant le Conseil d’Etat afin d’obtenir l’annulation de la décision de rejet émanant de la CNIL l’estimant insuffisamment motivée. Le Conseil d’Etat, dans une décision du 21 octobre 2022, a rejeté la requête du DPO, en statuant comme suit.
1. Droit d’accès : une motivation nécessaire et, en l’espèce, suffisante, du rejet
S’agissant de l’exercice du droit d’accès de la requérante, le Conseil d’Etat a indiqué que la décision de rejet de la CNIL « comporte l’énoncé des considérations de droit et de fait qui en constituent le fondement » et, qu’en conséquence, « la requérante n’est (…) pas fondée à soutenir que cette décision serait entachée d’insuffisance de motivation ».
2. Exercice des fonctions de DPO : la CNIL n’a pas à motiver son rejet
S’agissant de l’exercice estimé insatisfaisant de ses fonctions de DPO par la requérante, le Conseil d’Etat a considéré que le rejet de la CNIL « n’est pas au nombre des décisions individuelles défavorables énumérées à l’article L. 211-2 du code des relations entre le public et l’administration ».
En particulier, cette décision « ne constitue ni une mesure restreignant l’exercice des libertés publiques, ni le refus d’un avantage dont l’attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l’obtenir, eu égard au large pouvoir d’appréciation dont bénéficie la CNIL, saisie d’une plainte qui n’est pas fondée sur l’un des droits individuels reconnus par le RGPD à la personne concernée ».
Ainsi, la juridiction administrative a considéré qu’aucun texte n’imposait à la CNIL de motiver sa décision.
3. Les précisions du Conseil d’Etat quant à la protection des DPO
Le DPO bénéficie d’un régime de protection garanti par l’article 38.3 du RGPD, qui indique que le DPO ne peut pas « être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».
La CNIL a eu l’occasion de préciser, dans son guide pratique sur le DPO, que cela signifie que le DPO ne peut pas être inquiété pour des analyses ou remarques fondées en matière de protection des données qu’il adresserait aux opérations de traitement de son employeur, et que « le licenciement abusif d’un DPO constituerait une infraction au RGPD ». En revanche, pour la CNIL, le DPO peut être licencié pour des motifs autres que l’exercice de ses missions de délégué : vol, harcèlement moral, autres fautes graves similaires, etc.
Dans sa décision du 21 octobre 2021, le Conseil d’Etat a apporté des éclairages supplémentaires sur la relation entre le DPO et son employeur.
Il y est indiqué que la protection du DPO au titre du RGPD vise « essentiellement à préserver l’indépendance fonctionnelle » du DPO et, partant, à « garantir l’effectivité des dispositions du RGPD ». Cette protection ne fait pas, en revanche, obstacle au licenciement d’un DPO qui ne posséderait plus les compétences nécessaires à l’exercice de ses fonctions, ou « qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».
Lien vers la décision du Conseil d’Etat : ici