Dans deux arrêts du 9 février 2023, la CJUE a répondu à des questions préjudicielles et a donné des indications sur l’interprétation des règles encadrant la révocation du DPO et les conflits d’intérêt.
La CJUE a été saisie de plusieurs questions préjudicielles dans deux affaires allemandes :
- Dans une première affaire, une société a relevé de ses fonctions son DPO salarié au motif qu’il existait un risque de conflit d’intérêts, dans la mesure où le DPO exerçait en même temps les fonctions de président du comité d’entreprise ;
- Dans une seconde affaire, une commune a relevé de ses fonctions son DPO salarié au motif qu’il existait un conflit d’intérêts entre ses activités de DPO et ses autres activités professionnelles.
Les DPO relevés de leurs fonctions ont saisi les juridictions allemandes et se sont appuyés sur une réglementation nationale prévoyant qu’un DPO salarié ne peut être révoqué de ses fonctions que pour un « motif grave ».
Saisie d’une première question préjudicielle, la CJUE a dû se demander si l’article 38.3 du RGPD s’oppose à ce qu’une réglementation nationale limite les possibilités de révocation d’un DPO à un « motif grave ».
Pour rappel, l’article 38.3 du RGPD précise que : « le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».
Dans les deux arrêts, la CJUE a adopté la même solution et a considéré que le RGPD « ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un [DPO] qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce [DPO] ».
La CJUE a cependant émis une réserve, en considérant « qu’une telle réglementation ne [doit pas compromettre] la réalisation des objectifs de ce règlement ». Tel serait le cas, par exemple, (i) si la réglementation nationale empêchait la révocation d’un DPO qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions (article 37.5 du RGPD), ou empêchait la révocation d’un DPO qui serait dans une situation de conflit d’intérêts (article 37.6 du RGPD).
Saisie d’une seconde question préjudicielle à ce sujet, la CJUE a dû se demander dans quelles conditions un « conflit d’intérêts » est susceptible d’être constaté ?
Pour mémoire, l’article 38.9 du RGPD dispose que « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».
Selon la CJUE, un conflit d’intérêts est susceptible d’exister « lorsqu’un DPO se voit confier d’autres missions ou tâches qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant ».
Cette situation doit cependant être déterminée « par le juge national », au « cas par cas », « sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers ».
