To Delete Document
InEditMode: ("1" if Yes) IsNewDoc: ("1" if Yes) DspNow: UserCN: (username-CN) HistoryFields: (is used in the code for the history subform) -

-

RGPD - Le DPO est-il protégé contre le licenciement ?

10/24/2018

Le règlement européen sur la protection des données (ci-après, RGPD), entré en vigueur le 25 mai 2018, a créé un nouveau métier : le délégué à la protection des données personnelles, ci-après DPO (Data Protection Officer). Pour rappel, toutes les entreprises ne sont pas tenues de désigner un DPO[1].

En charge de la protection des données personnelles traitées par un organisme (administration, entreprise, …,) le DPO est-il protégé contre le licenciement ?

Quelle protection ?

Le RGPD prévoit que le DPO, désigné par une entreprise (responsable du traitement des données ou sous-traitant) et membre du personnel de l’entreprise, ne peut être licencié ou pénalisé par son employeur pour l’exercice de ses missions[2]. En effet, les fonctions et missions du DPO doivent être exercées en toute indépendance.

La protection prévue par le RGPD est très large, elle ne se limite pas au licenciement. En effet, cette protection vise également des sanctions directes ou indirectes (absence de promotion, freins à l’avancement de carrière, refus de l’octroi d’avantages dont bénéficient d’autres travailleurs, etc.). Il n’est pas nécessaire que ces sanctions soient effectivement mises en œuvre, une simple menace suffit pour autant qu’elle soit utilisée pour sanctionner le DPO pour des motifs liés à ses missions[3].

Cette protection s’apparente à celle accordée au travailleur victime de 'mobbing' (harcèlement moral et sexuel). Néanmoins, la réglementation relative à la protection du DPO dans l’exercice de ses missions ne précise pas les causes valables de licenciement, ni la procédure à respecter.

Le DPO pourra toujours être licencié pour un motif grave ou pour des motifs autres que ceux liés à l’exercice de ses missions[4].

Le DPO qui serait illégalement licencié, pourra faire appel aux règles du licenciement manifestement déraisonnable de la CCT n° 109 du 12 février 2014 concernant la motivation du licenciement[5].

Missions du DPO

Le DPO est protégé dans le cadre de ses fonctions et missions.

Les missions du DPO sont au moins les suivantes[6] :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations leur incombant en vertu du RGPD et d’autres dispositions applicables en matière de protection des données ;
  • contrôler le respect du RGPD et des autres dispositions applicables en matière de protection des données ;
  • dispenser des conseils, sur demande, concernant l’analyse de l’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
  • coopérer avec l’autorité de contrôle ;
  • être le point de contact pour l’autorité de contrôle sur les questions relatives au traitement.

Le DPO doit aussi tenir compte, dans ses missions, du risque associé aux opérations de traitement, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Responsabilité du DPO

Le DPO n’est pas responsable personnellement du non-respect du RGPD. La responsabilité du DPO reste limitée aux contours de l’article 18 de la loi relative aux contrats de travail. Le DPO ne répond donc que de son dol et de sa faute lourde. Il ne répond de sa faut légère que si celle-ci présente un caractère habituel.

Enfin, la récente loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, publiée et entrée en vigueur le 5 septembre 2018, ne résout pas la question de la protection ni des recours disponibles du DPO contre le licenciement

 


[1] Voyez notre article du 25 mai 2018.

[2] Article 38, 3 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).

[3] Groupe de travail "article 29" sur la protection des données, Lignes directrices concernant les délégués à la protection des données (DPD), Version révisée et adoptée le 5 avril 2017.

[4] Groupe de travail "article 29" sur la protection des données (idem que le précédent).

[5] Pour de plus amples informations à ce sujet, consultez la fiche relative au licenciement manifestement déraisonnable de notre dossier "Rupture du contrat" (sous Social/Dossiers/Rupture du contrat/Motivation du licenciement).

[6] Article 39 du RGPD.

Secrétariat Social Securex - Legal 10/24/2018