Affaire C‑534/20
Leistritz AG
contre
LH
(demande de décision préjudicielle, introduite par le Bundesarbeitsgericht)
Arrêt de la Cour (première chambre) du 22 juin 2022
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 38, paragraphe 3, deuxième phrase – Délégué à la protection des données – Interdiction, pour un responsable du traitement ou un sous-traitant, de relever un délégué à la protection des données de ses fonctions ou de le pénaliser pour l’exercice de ses missions – Base juridique – Article 16 TFUE – Exigence d’indépendance fonctionnelle – Réglementation nationale interdisant le licenciement d’un délégué à la protection des données en l’absence d’un motif grave »
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Délégué à la protection des données – Fonction – Interdiction, pour un responsable du traitement ou un sous-traitant, de relever un délégué à la protection des données de ses fonctions ou de le pénaliser pour l’exercice de ses missions – Réglementation nationale interdisant le licenciement d’un délégué à la protection des données en l’absence d’un motif grave – Licenciement non lié à l’exercice des missions de ce délégué – Admissibilité – Condition – Respect des objectifs prévus par ce règlement
(Règlement du Parlement européen et du Conseil 2016/679, art. 38, § 3, 2e phrase)
(voir points 21-36 et disp.)
Résumé
LH exerce, depuis le 1er février 2018, la fonction de déléguée à la protection des données au sein de la société Leistritz AG. Cette société est tenue, en vertu de la réglementation allemande, de désigner un délégué à la protection des données. En juillet 2018, Leistritz à licencié LH avec préavis, en se prévalant d’une mesure de restructuration de ses activités, en vertu de laquelle le service de protection des données était externalisé.
Saisis par LH qui contestait la validité de son licenciement, les juges du fond ont décidé que ce licenciement était invalide. En effet, conformément aux dispositions de la réglementation fédérale allemande, LH, en sa qualité de déléguée à la protection des données, pouvait uniquement être licenciée sans prévis pour motif grave. Or, la restructuration des activités de Leistritz ne constituerait pas un tel motif.
À la suite du recours formé par Leistritz auprès du Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), cette juridiction se demande si le règlement général sur la protection des données (1) autorise une réglementation d’un État membre qui subordonne le licenciement d’un délégué à la protection des données à des conditions plus strictes que celles prévues par le droit de l’Union.
Par son arrêt, la Cour juge que l’article 38, paragraphe 3, deuxième phrase, du RGPD (2) ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant puisse uniquement licencier un délégué à la protection des données membre de son personnel pour motif grave. Ce raisonnement est applicable même si le licenciement n’est pas lié à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.
Appréciation de la Cour
En premier lieu, la Cour souligne que, conformément aux termes de l’article 38, paragraphe 3, deuxième phrase, du RGPD, l’interdiction faite au responsable du traitement ou au sous-traitant de relever un délégué à la protection des données de ses fonctions ou de le pénaliser signifie que ce délégué doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction. Ainsi, une mesure de licenciement d’un délégué à la protection des données qui serait prise par son employeur et mettrait fin à la relation de travail existant entre ce délégué et cet employeur peut constituer une telle décision. S’agissant de cette relation de travail, la Cour précise que l’article 38, paragraphe 3, deuxième phrase, du RGPD s’applique tant au délégué à la protection des données qui est un membre du personnel du responsable du traitement ou du sous-traitant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers. Cette disposition a donc vocation à s’appliquer aux relations entre un délégué à la protection des données et un responsable du traitement ou un sous-traitant, indépendamment de la nature de la relation de travail unissant ce délégué à ces derniers. En outre, cette même disposition fixe une limite qui consiste à interdire le licenciement d’un délégué à la protection des données pour un motif tiré de l’exercice de ses missions (3).
S’agissant, en deuxième lieu, de l’objectif poursuivi par l’article 38, paragraphe 3, deuxième phrase, du RGPD, ce règlement (4) énonce que les délégués à la protection des données, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance, conformément à l’objectif du RGPD (5). Ainsi, l’objectif visant à garantir l’indépendance fonctionnelle du délégué à la protection des données (6) suppose que celui-ci ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions, qu’il fasse directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant et qu’il soit soumis au secret professionnel ou à une obligation de confidentialité. Partant, l’article 38, paragraphe 3, deuxième phrase, du RGPD vise à préserver l’indépendance du délégué à la protection des données, dans la mesure où cette disposition le protège contre toute décision en relation avec ses fonctions qui mettrait fin à celles-ci, lui ferait subir un désavantage ou constituerait une sanction. Toutefois, cette disposition ne vise pas à régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et les membres de son personnel.
En ce qui concerne, en troisième et dernier lieu, le contexte dans lequel s’inscrit l’article 38, paragraphe 3, deuxième phrase, du RGPD, la Cour précise que, hormis la protection spécifique du délégué à la protection des données prévue à cette disposition, la protection contre le licenciement d’un délégué à la protection des données employé par un responsable du traitement ou par un sous-traitant ne relève pas de règles pouvant être adoptées sur la base du RGPD (7) mais bien du domaine de la politique sociale. Or, l’Union et les États membres disposent d’une compétence partagée (8) dans ce domaine. En effet, l’Union soutient et complète l’action des États membres dans le domaine de la protection des travailleurs en cas de résiliation du contrat de travail, en arrêtant des prescriptions minimales à cet égard. Partant, chaque État membre est libre, dans l’exercice de sa compétence, de prévoir des dispositions particulières plus protectrices en matière de licenciement du délégué à la protection des données, pour autant que ces dispositions soient compatibles avec les dispositions du RGPD. En particulier, une telle protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait tout licenciement, par un responsable du traitement ou par un sous-traitant, d’un délégué à la protection des données qui ne possèderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD.