CONTACT

Le Conseil d’Etat dresse les limites de la protection du DPO

21 novembre 2022 | Derriennic Associés|

Dans une décision du 21 octobre 2022, le Conseil d’Etat a statué sur une décision de la CNIL ayant rejeté la demande d’un DPO concernant l’exercice de son droit d’accès et de ses fonctions en qualité de DPO.

Une personne exerçant des fonctions de délégué à la protection des données (« DPO ») a saisi la CNIL d’une plainte contre sa propre société, au motif (i) que l’exercice de son droit d’accès n’aurait pas connu les suites espérées et (ii) que les conditions d’exercice de ses fonctions de DPO ne seraient pas satisfaisantes. Le DPO reprochait notamment à son employeur (i) de lui avoir donné des instructions, (ii) de ne pas lui avoir octroyé le taux maximum d’une de ses primes de performance et (iii) de l’avoir licencié.

La plainte avait été rejetée par la CNIL, à la fois s’agissant de l’exercice du droit d’accès et s’agissant de l’exercice des fonctions de DPO. Sur ce dernier point, la CNIL avait considéré que l’exigence de protection de l’indépendance fonctionnelle du DPO ne faisait pas obstacle à ce que la société « puisse reprocher à l’intéressée des carences dans l’exercice de ses fonctions ainsi que le non-respect des règles internes à la société, dont il n’était pas allégué qu’elles étaient incompatibles avec l’indépendance fonctionnelle du délégué ».

Le DPO a formé un recours devant le Conseil d’Etat afin d’obtenir l’annulation de la décision de rejet émanant de la CNIL l’estimant insuffisamment motivée. Le Conseil d’Etat, dans une décision du 21 octobre 2022, a rejeté la requête du DPO, en statuant comme suit.

1. Droit d’accès : une motivation nécessaire et, en l’espèce, suffisante, du rejet

S’agissant de l’exercice du droit d’accès de la requérante, le Conseil d’Etat a indiqué que la décision de rejet de la CNIL « comporte l’énoncé des considérations de droit et de fait qui en constituent le fondement » et, qu’en conséquence, « la requérante n’est (…) pas fondée à soutenir que cette décision serait entachée d’insuffisance de motivation ».

2. Exercice des fonctions de DPO : la CNIL n’a pas à motiver son rejet

S’agissant de l’exercice estimé insatisfaisant de ses fonctions de DPO par la requérante, le Conseil d’Etat a considéré que le rejet de la CNIL « n’est pas au nombre des décisions individuelles défavorables énumérées à l’article L. 211-2 du code des relations entre le public et l’administration ».

En particulier, cette décision « ne constitue ni une mesure restreignant l’exercice des libertés publiques, ni le refus d’un avantage dont l’attribution constitue un droit pour les personnes qui remplissent les conditions légales pour l’obtenir, eu égard au large pouvoir d’appréciation dont bénéficie la CNIL, saisie d’une plainte qui n’est pas fondée sur l’un des droits individuels reconnus par le RGPD à la personne concernée ».

Ainsi, la juridiction administrative a considéré qu’aucun texte n’imposait à la CNIL de motiver sa décision.

3. Les précisions du Conseil d’Etat quant à la protection des DPO

Le DPO bénéficie d’un régime de protection garanti par l’article 38.3 du RGPD, qui indique que le DPO ne peut pas « être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

La CNIL a eu l’occasion de préciser, dans son guide pratique sur le DPO, que cela signifie que le DPO ne peut pas être inquiété pour des analyses ou remarques fondées en matière de protection des données qu’il adresserait aux opérations de traitement de son employeur, et que « le licenciement abusif d’un DPO constituerait une infraction au RGPD ». En revanche, pour la CNIL, le DPO peut être licencié pour des motifs autres que l’exercice de ses missions de délégué : vol, harcèlement moral, autres fautes graves similaires, etc.

Dans sa décision du 21 octobre 2021, le Conseil d’Etat a apporté des éclairages supplémentaires sur la relation entre le DPO et son employeur.

Il y est indiqué que la protection du DPO au titre du RGPD vise « essentiellement à préserver l’indépendance fonctionnelle » du DPO et, partant, à « garantir l’effectivité des dispositions du RGPD ». Cette protection ne fait pas, en revanche, obstacle au licenciement d’un DPO qui ne posséderait plus les compétences nécessaires à l’exercice de ses fonctions, ou « qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».

Lien vers la décision du Conseil d’Etat : ici

articles similaires

| Derriennic Associés

DPO : quelle gouvernance pour être conforme au RGPD ?

A la suite de l'ouverture de vingt-cinq procédures d'audit par l'autorité de contrôle luxembourgeoise (la "CNPD"), deux enquêtes ont conduit la CNPD à condamner deux organismes qui n'avaient pas pris...

| Derriennic Associés

DPO et licenciement : éclairages de la CJUE

Par un arrêt rendu le 22 juin dernier, la CJUE a apporté des précisions sur les possibilités de licenciement du Délégué à la Protection des Données (DPO).

| Derriennic Associés

Collectivités territoriales : la CNIL a mis demeure 22 communes de désigner un DPO

Le 31 mai dernier, ce ne sont pas moins de 22 mises en demeure de la CNIL qui ont été publiées, enjoignant autant de communes à désigner un DPO dans...

| Derriennic Associés

Conflit d’intérêts : le directeur d’une société ne peut pas être DPO

L’autorité berlinoise de protection des données a annoncé avoir sanctionné une clinique pour avoir nommé son directeur comme DPO.

| Derriennic Associés

Condamnation d’une banque : le DPO était « juge et partie » !

Un DPO peut-il être en situation de conflit d'intérêts? Comment se prémunir de ce risque éventuel ?... La Chambre de résolution des litiges de l'autorité belge de protection de données...

2 octobre 2018 | François-Pierre LANI , Chloé KURFÜRST

Données personnelles fin de mission du DPO : quelles sont les règles ?

L’affaire Cambridge Analytica a mis FACEBOOK au centre de nombreuses préoccupations d’autorités européennes. Le profilage réalisé par la société britannique, à l’époque ...

| Derriennic Associés

La CNIL publie son guide pratique sur le DPO

Le 16 novembre 2021, la CNIL a publié un guide dédié au délégué à la protection des données (ou « data protection officer », DPO), regroupant « les principales connaissances...