CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:79

ARRÊT DE LA COUR (sixième chambre)

9 février 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 38, paragraphe 3 – Délégué à la protection des données – Interdiction de relèvement de ses fonctions pour l’exercice de ses missions – Exigence d’indépendance fonctionnelle – Réglementation nationale interdisant le relèvement de ses fonctions d’un délégué à la protection des données en l’absence d’un motif grave – Article 38, paragraphe 6 – Conflit d’intérêts – Critères »

Dans l’affaire C‑453/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), par décision du 27 avril 2021, parvenue à la Cour le 21 juillet 2021, dans la procédure

X-FAB Dresden GmbH & Co. KG

contre

FC,

LA COUR (sixième chambre),

composée de M. P. G. Xuereb, président de chambre, M. A. Kumin et M^me I. Ziemele (rapporteure), juges,

avocat général : M. J. Richard de la Tour,

greffier : M. D. Dittert, chef d’unité,

vu la procédure écrite et à la suite de l’audience du 26 septembre 2022,

considérant les observations présentées :

– pour X-FAB Dresden GmbH & Co. KG, par Me S. Leese, Rechtsanwalt,

– pour FC, par MM. R. Buschmann et T. Heller, Prozessbevollmächtigte,

– pour le gouvernement allemand, par MM. J. Möller, D. Klebs et P.‑L. Krüger, en qualité d’agents,

– pour le Parlement européen, par M^mes O. Hrstková Šolcová et B. Schäfer, en qualité d’agents,

– pour le Conseil de l’Union européenne, par M^me T. Haas et M. K. Pleśniak, en qualité d’agents,

– pour la Commission européenne, par M. A. Bouchagiar, M^me K. Herrmann et M. H. Kranenborg , en qualité d’agents,

vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation et la validité de l’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »), ainsi que sur l’interprétation de l’article 38, paragraphe 6, de ce règlement.

2 Cette demande a été présentée dans le cadre d’un litige opposant X‑FAB Dresden GmbH & Co. KG (ci-après « X‑FAB ») à FC, son employé, au sujet de la révocation de ce dernier de ses fonctions de délégué à la protection des données (ci-après le « DPD »), prononcée par X‑FAB.

Le cadre juridique

Le droit de l’Union

3 Les considérants 10 et 97 du RGPD énoncent :

« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(97) [...] De tels [DPD], qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. »

4 L’article 37 du RGPD, intitulé « Désignation du [DPD] », dispose, à ses paragraphes 5 et 6 :

« 5. Le [DPD] est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

6. Le [DPD] peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. »

5 L’article 38 du RGPD, intitulé « Fonction du [DPD] », prévoit, à ses paragraphes 3, 5 et 6 :

« 3. Le responsable du traitement et le sous-traitant veillent à ce que le [DPD] ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le [DPD] ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le [DPD] fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

[...]

5. Le [DPD] est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions, conformément au droit de l’Union ou au droit des États membres.

6. Le [DPD] peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts. »

6 L’article 39 du RGPD, intitulé « Missions du [DPD] », se lit comme suit :

« 1. Les missions du [DPD] sont au moins les suivantes :

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;

b) contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

c) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;

d) coopérer avec l’autorité de contrôle ;

e) faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. Le [DPD] tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement. »

Le droit allemand

Le BDSG

7 L’article 6 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version en vigueur du 25 mai 2018 au 25 novembre 2019 (BGBl. 2017 I, p. 2097) (ci-après le « BDSG »), intitulé « Fonction », dispose, à son paragraphe 4 :

« La ou le [DPD] ne peut être relevé(e) de ses fonctions que dans le cadre d’une application par analogie de l’article 626 du Bürgerliches Gesetzbuch [(code civil), dans sa version publiée le 2 janvier 2002 (BGBl. 2002 I, p. 42, et rectificatifs BGBl. 2002 I, p. 2909, et BGBl. 2003 I, p. 738)]. Le licenciement d’un(e) [DPD] est illégal, à moins que les faits n’autorisent l’organisme public à procéder à son licenciement pour motif grave sans respecter de délai de préavis. Après la cessation des fonctions de [DPD], le licenciement est illégal pendant un an, à moins que l’organisme public ne soit autorisé à procéder au licenciement pour motif grave sans respecter de délai de préavis. »

8 L’article 38 du BDSG, intitulé « [DPD] d’organismes non publics », prévoit :

« (1) En complément de l’article 37, paragraphe 1, sous b) et c), du [RGPD], le responsable du traitement et le sous-traitant désignent un(e) [DPD] dès lors qu’ils emploient habituellement au moins dix personnes affectées en permanence au traitement automatisé de données à caractère personnel. [...]

(2) L’article 6, paragraphe 4, paragraphe 5, deuxième phrase, et paragraphe 6, est applicable ; toutefois, l’article 6, paragraphe 4, ne s’applique que lorsque la désignation d’un(e) [DPD] est obligatoire. »

Le code civil

9 L’article 626 du code civil, intitulé « Résiliation sans préavis pour motif grave », dispose :

« (1) Chacune des parties au contrat peut résilier la relation de travail pour motif grave sans respecter de délai de préavis lorsque, en raison de certains faits, la poursuite de la relation de travail jusqu’à l’expiration du délai de préavis ou jusqu’au terme convenu de la relation de travail ne peut pas être exigée de la partie qui résilie, eu égard à toutes les circonstances du cas d’espèce et compte tenu des intérêts des deux parties au contrat.

(2) La résiliation peut uniquement avoir lieu dans un délai de deux semaines. Le délai court à partir du moment où la partie qui peut procéder à la résiliation a connaissance des faits pertinents pour la résiliation. […] »

Le litige au principal et les questions préjudicielles

10 FC est employé par X-FAB depuis le 1^er novembre 1993.

11 Il exerce dans cette société les fonctions de président du comité d’entreprise et est, à ce titre, partiellement dispensé de travailler. Il occupe en outre la fonction de vice‑président du comité central d’entreprise qui a été constitué pour trois entreprises du groupe de sociétés auquel appartient X-FAB, qui sont établies en Allemagne.

12 Avec effet au 1^er juin 2015, FC a été désigné, par chaque entreprise séparément, en qualité de DPD de X-FAB, de la société mère de celle-ci ainsi que des autres filiales de cette dernière établies en Allemagne. Selon la juridiction de renvoi, le but de cette désignation parallèle de FC comme DPD de toutes ces entreprises était d’assurer un niveau uniforme de protection des données dans lesdites entreprises.

13 À la demande du délégué à la protection des données et à la liberté de l’information de Thuringe (Allemagne), X‑FAB et les entreprises mentionnées au point 12 du présent arrêt ont, par lettres du 1^er décembre 2017, relevé avec effet immédiat FC de ses fonctions de DPD. Par lettres séparées du 25 mai 2018, ces entreprises ont, à toutes fins utiles, répété leur démarche, sur le fondement de l’article 38, paragraphe 3, deuxième phrase, du RGPD, devenu applicable entre-temps, en invoquant des motifs liés au groupe de sociétés auquel appartient X‑FAB.

14 L’action introduite par FC devant les juridictions allemandes vise à faire constater qu’il a toujours la qualité de DPD de X-FAB. Celle-ci fait valoir qu’il existe un risque de conflit d’intérêts si FC exerce en même temps les fonctions de DPD et de président du comité d’entreprise, au motif que ces deux postes sont incompatibles. Il existerait, par conséquent, un motif grave justifiant que FC soit relevé de ses fonctions de DPD.

15 Les juridictions de première instance et d’appel ont accueilli l’action introduite par FC. Le recours en Revision, introduit par X-FAB devant le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne), qui est la juridiction de renvoi, tend au rejet de cette action.

16 La juridiction de renvoi fait observer que l’issue de ce recours dépend de l’interprétation du droit de l’Union. En particulier, se poserait, d’une part, la question de savoir si l’article 38, paragraphe 3, deuxième phrase, du RGPD s’oppose à ce que la réglementation d’un État membre soumette la révocation d’un DPD à des conditions plus strictes que celles prévues par le droit de l’Union et, dans l’affirmative, si cette disposition repose sur une base juridique suffisante. Dans l’hypothèse où la Cour estimerait que les conditions auxquelles le BDSG soumet la révocation sont conformes au droit de l’Union, il conviendrait de déterminer si les fonctions de président du comité d’entreprise et de DPD de cette même entreprise peuvent être exercées par une seule et même personne ou si cela entraîne un conflit d’intérêts au sens de l’article 38, paragraphe 6, deuxième phrase, du RGPD.

17 C’est dans ces conditions que le Bundesarbeitsgericht (Cour fédérale du travail) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) L’article 38, paragraphe 3, deuxième phrase, du [RGPD] doit-il être interprété en ce sens qu’il s’oppose à des dispositions de droit national, telles que, en l’occurrence, les dispositions combinées de l’article 38, paragraphes 1 et 2, et de l’article 6, paragraphe 4, première phrase, du [BDSG], qui subordonne la révocation du [DPD] par le responsable du traitement, qui est son employeur, à certaines conditions, indépendamment du point de savoir si le [DPD] est relevé de ses fonctions en lien avec l’exercice de ses missions ?

En cas de réponse affirmative à la première question :

2) L’article 38, paragraphe 3, deuxième phrase, du RGPD s’oppose‑t‑il également à de telles dispositions du droit national lorsque la désignation du [DPD] est obligatoire non pas en vertu de l’article 37, paragraphe 1, du RGPD, mais uniquement en vertu du droit de l’État membre ?

En cas de réponse affirmative à la première question :

3) L’article 38, paragraphe 3, deuxième phrase, du RGPD repose-t-il sur une base juridique suffisante, notamment en ce que relèvent de cette disposition les [DPD] qui sont liés au responsable du traitement par un contrat de travail ?

En cas de réponse négative à la première question :

4) Un conflit d’intérêts au sens de l’article 38, paragraphe 6, deuxième phrase, du RGPD existe-t-il lorsque le [DPD] est en même temps titulaire de la fonction de président du comité d’entreprise du responsable du traitement ? Est-il nécessaire que les tâches au sein du comité d’entreprise soient spécifiquement réparties entre ses membres pour qu’un conflit d’intérêts puisse être considéré exister ? »

Sur les questions préjudicielles

Sur la première question

18 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPD qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué.

19 Ainsi qu’il ressort d’une jurisprudence constante, il y a lieu, pour l’interprétation d’une disposition du droit de l’Union, de tenir compte non seulement des termes de celle-ci conformément à leur sens habituel dans le langage courant, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 18 et jurisprudence citée).

20 En premier lieu, s’agissant du libellé de la disposition en cause, il convient de relever que l’article 38, paragraphe 3, du RGPD dispose, à sa deuxième phrase, que « [l]e [DPD] ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions ».

21 À cet égard, dans son arrêt du 22 juin 2022, Leistritz (C‑534/20, EU:C:2022:495, points 20 et 21), la Cour, après avoir constaté que le RGPD ne définit pas les termes « relevé de ses fonctions », « pénalisé » et « pour l’exercice de ses missions », figurant à cet article 38, paragraphe 3, deuxième phrase, a souligné, premièrement, que, conformément au sens de ces termes dans le langage courant, l’interdiction faite au responsable du traitement ou au sous-traitant de relever un DPD de ses fonctions ou de le pénaliser signifie que ce DPD doit être protégé contre toute décision par laquelle il serait mis fin à ses fonctions, par laquelle il subirait un désavantage ou qui constituerait une sanction.

22 Or, est susceptible de constituer une telle décision une mesure de révocation d’un DPD qui serait prise par son employeur et qui aurait pour conséquence de relever le DPD de ses fonctions auprès du responsable du traitement ou de son sous-traitant.

23 Deuxièmement, ainsi que la Cour l’a également relevé, l’article 38, paragraphe 3, deuxième phrase, du RGPD s’applique indistinctement tant au DPD qui est un membre du personnel du responsable du traitement ou du sous-traitant qu’à celui qui exerce ses missions sur la base d’un contrat de service conclu avec ces derniers, conformément à l’article 37, paragraphe 6, du RGPD, de sorte que cet article 38, paragraphe 3, deuxième phrase, a vocation à s’appliquer aux relations entre un DPD et un responsable du traitement ou un sous-traitant, indépendamment de la nature de la relation de travail unissant ce DPD à ces derniers (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, points 23 et 24).

24 Troisièmement, cette dernière disposition fixe une limite qui consiste à interdire le relèvement des fonctions d’un DPD pour un motif tiré de l’exercice de ses missions, lesquelles comprennent, en particulier, en vertu de l’article 39, paragraphe 1, sous b), du RGPD, le contrôle du respect des dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ainsi que des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 25).

25 En deuxième lieu, en ce qui concerne l’objectif poursuivi par l’article 38, paragraphe 3, deuxième phrase, du RGPD, premièrement, le considérant 97 de ce dernier énonce que les DPD, qu’ils soient ou non des employés du responsable du traitement, devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance. À cet égard, une telle indépendance doit nécessairement leur permettre d’exercer ces missions conformément à l’objectif du RGPD, qui vise notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 26 et jurisprudence citée).

26 Deuxièmement, l’objectif visant à garantir l’indépendance fonctionnelle du DPD, tel qu’il découle de l’article 38, paragraphe 3, deuxième phrase, du RGPD, ressort également de l’article 38, paragraphe 3, première et troisième phrases, de celui-ci qui impose que ce DPD ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions et fasse directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant, ainsi que de l’article 38, paragraphe 5, du RGPD qui prévoit, s’agissant de cet exercice, que ledit DPD est soumis au secret professionnel ou à une obligation de confidentialité (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 27).

27 Ainsi, l’article 38, paragraphe 3, deuxième phrase, du RGPD, en protégeant le DPD contre toute décision qui mettrait fin à ses fonctions, lui ferait subir un désavantage ou qui constituerait une sanction, lorsqu’une telle décision serait en relation avec l’exercice de ses missions, doit être considéré comme visant essentiellement à préserver l’indépendance fonctionnelle du DPD et, partant, à garantir l’effectivité des dispositions du RGPD (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 28).

28 Ainsi que la Cour l’a également jugé, cette interprétation est corroborée, en troisième lieu, par le contexte dans lequel s’inscrit cette disposition et, en particulier, par la base juridique sur le fondement de laquelle le législateur de l’Union a adopté le RGPD (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 29).

29 En effet, il ressort du préambule du RGPD que celui-ci a été adopté sur le fondement de l’article 16 TFUE, dont le paragraphe 2 prévoit notamment que le Parlement européen et le Conseil de l’Union européenne, statuant conformément à la procédure législative ordinaire, fixent les règles relatives, d’une part, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et, d’autre part, à la libre circulation de ces données (arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 30).

30 À cet égard, la fixation de règles relatives à la protection contre la révocation d’un DPD employé par un responsable du traitement ou par un sous-traitant ne relève de la protection des personnes physiques à l’égard du traitement des données à caractère personnel que dans la stricte mesure où de telles règles visent à préserver l’indépendance fonctionnelle de ce dernier, conformément à l’article 38, paragraphe 3, deuxième phrase, du RGPD (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 31).

31 Il s’ensuit que chaque État membre est libre, dans l’exercice de sa compétence retenue, de prévoir des dispositions particulières plus protectrices en matière de révocation du DPD, pour autant que ces dispositions soient compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD, notamment son article 38, paragraphe 3, deuxième phrase (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 34).

32 En particulier, une telle protection accrue ne saurait compromettre la réalisation des objectifs du RGPD. Or, tel serait le cas si celle-ci empêchait toute révocation, par un responsable du traitement ou par un sous-traitant, d’un DPD qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions, conformément à l’article 37, paragraphe 5, du RGPD, ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions de ce règlement (voir, en ce sens, arrêt du 22 juin 2022, Leistritz, C‑534/20, EU:C:2022:495, point 35).

33 À cet égard, il convient de rappeler, ainsi que cela a été relevé au point 25 du présent arrêt, que le RGPD vise à assurer un niveau élevé de protection des personnes physiques au sein de l’Union en ce qui concerne le traitement de leurs données à caractère personnel, et que, pour la réalisation de cet objectif, le DPD doit être en mesure d’exercer ses fonctions et missions en toute indépendance.

34 Ainsi, une protection accrue du DPD qui empêcherait toute révocation de celui-ci dans l’hypothèse où il ne serait pas ou plus en mesure d’exercer ses tâches en toute indépendance en raison de l’existence d’un conflit d’intérêts compromettrait la réalisation de cet objectif.

35 C’est au juge national qu’il incombe de s’assurer que des dispositions particulières telles que celles visées au point 31 du présent arrêt sont compatibles avec le droit de l’Union et, en particulier, avec les dispositions du RGPD.

36 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un DPD qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce DPD, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs du RGPD.

Sur les deuxième et troisième questions

37 Eu égard à la réponse apportée à la première question, il n’y a pas lieu de répondre aux deuxième et troisième questions.

Sur la quatrième question

38 Par sa quatrième question, la juridiction de renvoi demande, en substance, dans quelles conditions l’existence d’un « conflit d’intérêts », au sens de l’article 38, paragraphe 6, du RGPD, est susceptible d’être constatée.

39 S’agissant, en premier lieu, du libellé de la disposition en cause, il convient de relever que, aux termes de l’article 38, paragraphe 6, deuxième phrase, du RGPD, « [l]e [DPD] peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».

40 Il résulte ainsi des termes de cette disposition, premièrement, que le RGPD n’établit pas d’incompatibilité de principe entre, d’une part, l’exercice des fonctions de DPD et, d’autre part, celui d’autres fonctions auprès du responsable du traitement ou de son sous-traitant. En effet, l’article 38, paragraphe 6, de ce règlement prévoit spécifiquement que le DPD peut se voir confier l’exécution d’autres missions et tâches que celles qui lui incombent en vertu de l’article 39 du RGPD.

41 Il n’en demeure pas moins, deuxièmement, que le responsable du traitement ou son sous-traitant doit veiller à ce que ces autres missions et tâches n’entraînent pas de « conflit d’intérêts ». Au regard de la signification de ces termes dans le langage courant, il y a lieu de considérer que, conformément à l’objectif poursuivi par l’article 38, paragraphe 6, du RGPD, le DPD ne saurait se voir confier l’exécution de missions ou de tâches qui serait susceptible de nuire à l’exercice de des fonctions qu’il exerce en tant que DPD.

42 S’agissant de cet objectif, il convient, en deuxième lieu, de relever que cette disposition vise essentiellement, à l’instar des autres dispositions visées au point 25 du présent arrêt, à préserver l’indépendance fonctionnelle du DPD et, partant, à garantir l’effectivité des dispositions du RGPD.

43 En troisième lieu, en ce qui concerne le contexte dans lequel s’inscrit l’article 38, paragraphe 6, du RGPD, il convient de relever que, selon l’article 39, paragraphe 1, sous b), du RGPD, le DPD a pour mission, notamment, de contrôler le respect du RGPD, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant.

44 Il s’ensuit, en particulier, qu’un DPD ne saurait se voir confier des missions ou des tâches qui le conduiraient à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable de traitement ou de son sous-traitant. En effet, conformément au droit de l’Union ou au droit des États membres en matière de protection des données, le contrôle de ces finalités et moyens doit être effectué de manière indépendante par le DPD.

45 La détermination de l’existence d’un conflit d’intérêts, au sens de l’article 38, paragraphe 6, du RGPD, doit être effectuée au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

46 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la quatrième question que l’article 38, paragraphe 6, du RGPD doit être interprété en ce sens qu’un « conflit d’intérêts », au sens de cette disposition, est susceptible d’exister lorsqu’un DPD se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu’il incombe au juge national de déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

Sur les dépens

47 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (sixième chambre) dit pour droit :

1) L’article 38, paragraphe 3, deuxième phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale prévoyant qu’un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n’est pas liée à l’exercice des missions de ce délégué, pour autant qu’une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.

2) L’article 38, paragraphe 6, du règlement 2016/679 doit être interprété en ce sens qu’un « conflit d’intérêts », au sens de cette disposition, est susceptible d’exister lorsqu’un délégué à la protection des données se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu’il incombe au juge national de déterminer au cas par cas, sur la base d’une appréciation de l’ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l’ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

Signatures

* Langue de procédure : l’allemand.